Sound geht von selbst an

[Ezekiel4]

Auf meinem Notebook ging der Ton heute in der Schule 3 oder 4x von selbst wieder an, obwohl ich eigentlich den Haken bei "Ton aus" gesetzt hatte. Arbeite jetzt schon ne Stunde am selben Geraet (allerdings mit USB Maus + Tastatur und angeschlossenem Monitor) und das Problem tritt seltsamer Weise nicht auf.

Zum System:
Acer Travel Mate 66x
1,5 Ghz Centrino
512 MB Ram
Win XP Home + SP2 + Alle Updates
XP Firewall is an

Hab gerade mit der Konsolenversion von MCAfee auf Viren gescannt und das ist dabei rausgekommen:

McAfee VirusScan for Win32 v4.32.0
Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Nov 27 2003

Scan engine v4.3.20 for Win32.
Virus data file v4406 created Nov 10 2004
Scanning for 107076 viruses, trojans and variants.



11/17/2004 17:18:09


Options:
/ADL /RPTCOR /RPTERR /STREAMS /REPORT C:\DOKUME~1\MICHAEL\LOKALE~1\TEMP\SCAN.TXT

Scanning C: [ACER]
Scanning C:\*.*
C:\Dokumente und Einstellungen\All Users\«Ó¡¦ ... file could not be opened.
C:\Dokumente und Einstellungen\All Users\Î++µ ... file could not be opened.
C:\Dokumente und Einstellungen\All Users\¦++- +¡©Ú ... file could not be opened.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT ... file could not be opened.
C:\Dokumente und Einstellungen\Michael\Desktop\bkdebackup\site\poll\admin\xiit ... Found the Linux/BackDoor-GMM trojan !!!
C:\Dokumente und Einstellungen\Michael\Desktop\postsp\server\xampp\htdocs\F\PAGEFILE.SYS ... file could not be opened.
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MGN3IZF9\xiit[1] ... Found the Linux/BackDoor-GMM trojan !!!
C:\Dokumente und Einstellungen\Michael\NTUSER.DAT ... file could not be opened.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT ... file could not be opened.
C:\hiberfil.sys ... file could not be opened.
C:\WINDOWS\SoftwareDistribution\EventCache\{17837AB0-544D-4454-A4AA-0D325E19504C}.bin ... file could not be opened.
C:\WINDOWS\system32\config\DEFAULT ... file could not be opened.
C:\WINDOWS\system32\config\SAM ... file could not be opened.
C:\WINDOWS\system32\config\SECURITY ... file could not be opened.
C:\WINDOWS\system32\config\SOFTWARE ... file could not be opened.
C:\WINDOWS\system32\config\SYSTEM ... file could not be opened.
C:\WINDOWS\temp\Perflib_Perfdata_3b8.dat ... file could not be opened.

Summary report on C:\*.*
File(s)
Total files: ........... 125310
Clean: ................. 64075
Not scanned: ........... 61215
Possibly Infected: ..... 2
Non-critical Error(s): 1
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning F: []
Scanning F:\*.*
F:\PAGEFILE.SYS ... file could not be opened.

Summary report on F:\*.*
File(s)
Total files: ........... 32567
Clean: ................. 13632
Not scanned: ........... 18934
Possibly Infected: ..... 0
Non-critical Error(s): 1
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:37.17

Die fetten Dinge kommen mir seltsam vor, der Virus ist in nem relativ neuen Backup meiner Homepage in nem Ordner den ich am Server schon ewig (=2 Jahre) nimmer verändert habe. Muesste also eigentlich auch bei frueheren Virenscanns schon aufgefallen sein, war aber nicht der Fall. Warum das File dann auch noch im IE Cache ist kann ich noch weniger verstehen, ich verwende IE vielleicht 2x im Monat.

Hier noch ein HijackThis Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 18:14:52, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Dokumente und Einstellungen\Michael\Desktop\postsp\server\xampp\apache\bin\Apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Dokumente und Einstellungen\Michael\Desktop\postsp\server\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\windows\system32\ctfmon.exe
C:\windows\System32\vmnat.exe
C:\Programme\Miranda IM\miranda32.exe
C:\windows\System32\vmnetdhcp.exe
C:\Dokumente und Einstellungen\Michael\Desktop\postsp\server\xampp\apache\bin\Apache.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michael\Desktop\postsp\notepad2_de\Notepad2.exe
C:\windows\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Michael\Desktop\postsp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.254:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -

Ausserdem ist das Touchpad kaputt, aber das sollte ja eigentlich nichts mit dem Ton zu tun haben ...

Bin fuer jede Hilfe dankbar, hab kb das morgen noch 3x waehrend des Unterrichts ploetzlich der Ton an ist =/

 

[Vystup]

Klingt wahrscheinlich schon ein bisschen bescheuert, aber Du bist nicht zufaellig auf die Taste fuer die Lautstaerkeregelung gekommen?

 

[Ezekiel4]

Original geschrieben von Vystup
Klingt wahrscheinlich schon ein bisschen bescheuert, aber Du bist nicht zufaellig auf die Taste fuer die Lautstaerkeregelung gekommen?

Naja das dachte ich zuerst auch, aber 4x an einem Tag drück ich nicht versehentlich FN + F8.

Edit: Die 3 seltsamen Files in C:\Dokumente und Einstellungen\All Users scheinen irgendwas von Acer zu sein, sind also sauber.

Hab allerdings jetzt auch mit Antivir gescannt und dabei noch was gefunden:

C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
classload.jar-74ee3ad7-503b70bd.zip
[FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
WURDE GELÖSCHT!

Denke allerdings nich, dass das mit dem eigentlichen Problem zusammenhängt.

 

[[For]Hood2]

Linux/BackDoor-GMM trojan
Na und? Du hast einen Linux Trojaner auf einen Windows system...

lösche die Datei im abgeischerten Modus auch wenn ich schwer an einem false/positiv glaube

 

[Ezekiel4]

VMWare war schuld, bei jedem booten einer VM hat es den Sound wieder aufgedreht.