# Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.



## Tequilaomega (2. März 2011)

*Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Hallo 

also bei meinen Problem geht es das ich anscheinen auf meinen Festplatten oder denke fast schon in meiner Pheripherie sich verankert hat.

Zum Fehler: Meine Maus "Sidewinder X8" meint sie müsse das ein oder andere mal von selbst klicken! Auffällig ist aber da der Fehler auch eintritt wenn ich die Maus abschalte. Weitere Fehler seit kurzem ist mir aufgefallen das die Batterie in der Maus nicht mehr übers Ladekabel geladen wird. Erste vermutung Akku tot. War auch die Originale Batt. nach nen Jahr erst den geist aufgeben. Aber nun mit 2 weiteren neuen Akus probiert und ladet noch immer nicht. Entweder Defekt od vom Virus betroffen.  Da Kurze Ladeimpulse bzw für ca 10-15Sec lädt sie. Sieht man an der Anzeige. Meine Tastatur ne G15, meinte sie müsse sich eingaben merken und dann wiederholt von sich geben. Wird trotzdem mal eingeschickt. Da auch gerade mein Asus Mainboard im Service ist. Zur Zeit eh kein Spielen möglich.

Kämpfe mit diesen Problem nun schon geraumer Zeit. Speziel wenn ich die Windows 7 Startmenü aufmache, "tippt" dort der "Virus" schön vor sich hin, nachdem ich zb Battlefield BDC2 gezockt habe, "wasd34" oder sowie heute nachdem ich mal nach dem Thema "Kompressor Kühlung" gesucht habe den angeführten Text. Nun tritt das Phenomen immer öfter in verschiedenen Eingabe fenster bis hier im Forum auf. 

Der Fehler muss aber irgendwo in der Hardware Stecken weil auch nach neuinstallation ist der Fehler nach einer geraumen Zeit wieder aufgetretten. Verdacht geht schon hin zu ICQ 7,x. Nutze dies seit langen wiedermal wegen Facebook Addon usw. 

Ach ja. Habe nun am Ersatz Pc dem gleichen Fehler aber gleiche Maus Tastatur wie vom anderen. Kann den Fehler nicht eingrenzen da ich nun 2 von meinen Festplatten via USB und Zeitgleich mein Handy (Vivaz Pro) gestern zum ersten mal angeschlossen habe. Nur auf allen Geräten findet kein Programm auch nur eine Einzige Warnung.  

Antivirus Programme habe ich Kaspersky Internet Security 2011 in einer Vollversion ständig am laufen. Erkennt nichts, Danach zusätlich mit Antivir mehrmals getestet findet nichts. Nun ist der GData 2011 in ner Testversion als Schutz am suchen findet auch nichts. Norton soll als nächstes kommen.

Kennt jemand so einen Fehler ? 

Was ist das beste Programm gegen solch "Virus".

mfg
Peter


----------



## Jimini (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Was für Programme laufen bei dir? Lass mal Hijackthis drüberlaufen.
Und führe mal "netstat >> c:\bla.txt" in der Eingabeaufforderung (Startmenü => Ausführen => cmd) sofort dann aus, wenn das Problem auftritt. Den Inhalt der bla.txt postest du dann hier.
Die verschiedenen Virenscanner hast du aber nicht parallel installiert, oder?

Wie hast du deine Kiste neu installiert? Wenn du einen Virus hast, macht es meist wenig Sinn, einfach Windows neu drüberzubügeln, wenn man nach einer Woche wieder eine infizierte Datei o.ä. öffnet.

MfG Jimini


----------



## Tequilaomega (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Das mit deinen Vorschlag mach ich gleich mal Jimini. 

Also die Virenprog. laufen nicht parallel. Zuerst Deinstalliert dann wieder installiert. Immer wieder durchlaufen lassen.
Jetzt hat mir endlich das Tool von GData 1 Virus angezeigt aber in ner Image und eher "harmlos".

Beim neu installiern hab ich alles andere Abgeschlossen bis auf die System Platte. Die mehrmals Formatiert und via Cd Win7 aufgespielt. Danach wieder Vierenschutz, Updates. Erst nach dem alles lief nach der Reihe die Festplatten dran und auf Vieren gecheckt. Sogar vor dem neu aufsetzn die Platten überprüft. 

Nun deine Tipps mal anwenden. DANKE

mfG Peter


----------



## Tequilaomega (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Brauch man mal den "Virus" kommt er nicht ...


----------



## Tequilaomega (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Nachdem der Upload nicht geht hier der Inhalt 

Bla


Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    10.0.0.23:52076        bw-in-f100:http        SCHLIESSEN_WARTEN
  TCP    10.0.0.23:54543        212.161.8.5:12350      HERGESTELLT
  TCP    10.0.0.23:54547        c-98-206-225-139:29913  HERGESTELLT
  TCP    10.0.0.23:54884        dslb-188-101-216-220:8850  HERGESTELLT
  TCP    10.0.0.23:56398        channel7-02-01-snc4:http  HERGESTELLT
  TCP    10.0.0.23:56709        178-191-195-33:51685   HERGESTELLT
  TCP    10.0.0.23:56733        188-22-148-141:26060   HERGESTELLT
  TCP    10.0.0.23:56866        178-27-44-80-dynip:51413  WARTEND
  TCP    10.0.0.23:56877        ip-95-223-98-74:25644  HERGESTELLT
  TCP    10.0.0.23:56963        212.230.45.50:63245    FIN_WARTEN_1
  TCP    10.0.0.23:56974        151.5.111.21:30736     HERGESTELLT
  TCP    10.0.0.23:56979        dslb-188-102-234-142:10277  HERGESTELLT
  TCP    10.0.0.23:57023        BRB-PC:icslap          WARTEND
  TCP    10.0.0.23:57030        18-148-63-194:36749    HERGESTELLT
  TCP    10.0.0.23:57066        217-162-139-53:11632   HERGESTELLT
  TCP    10.0.0.23:57086        74.125.230.83:http     WARTEND
  TCP    10.0.0.23:57112        a92-123-255-139:http   WARTEND
  TCP    10.0.0.23:57117        www-10-01-tst1:http    WARTEND
  TCP    10.0.0.23:57120        77.67.19.105:http      WARTEND
  TCP    10.0.0.23:57121        77.67.19.105:http      WARTEND
  TCP    10.0.0.23:57126        fx-in-f100:http        WARTEND
  TCP    10.0.0.23:57127        www-10-01-tst1:http    WARTEND
  TCP    10.0.0.23:57180        wy-in-f157:http        WARTEND
  TCP    10.0.0.23:57189        ww-in-f149:http        WARTEND
  TCP    10.0.0.23:57197        85.90.254.44:http      WARTEND
  TCP    10.0.0.23:57201        a92-122-206-16:http    WARTEND
  TCP    10.0.0.23:57209        ww-in-f148:http        WARTEND
  TCP    10.0.0.23:57223        bru01m01-in-f164:http  WARTEND
  TCP    10.0.0.23:57272        188-22-148-141:26060   HERGESTELLT
  TCP    10.0.0.23:57353        sitecheck2:http        WARTEND
  TCP    10.0.0.23:57359        ppp-188-174-45-199:44425  HERGESTELLT
  TCP    10.0.0.23:57385        dsl-217-174-140:15113  HERGESTELLT
  TCP    10.0.0.23:57390        www-10-01-tst1:http    WARTEND
  TCP    10.0.0.23:57400        188-193-5-121-dynip:26711  HERGESTELLT
  TCP    10.0.0.23:57424        xdsl-213-196-247-29:19616  HERGESTELLT
  TCP    10.0.0.23:57438        178-190-219-232:34684  HERGESTELLT
  TCP    10.0.0.23:57441        dslb-188-102-108-132:61148  HERGESTELLT
  TCP    10.0.0.23:57448        dslb-178-004-219-247:64476  HERGESTELLT
  TCP    10.0.0.23:57451        178-190-250-122:38570  HERGESTELLT
  TCP    10.0.0.23:57485        dslb-188-106-089-016:28828  HERGESTELLT
  TCP    10.0.0.23:57490        g231171142:60159       HERGESTELLT
  TCP    10.0.0.23:57492        ip-178-202-191-87:54259  HERGESTELLT
  TCP    10.0.0.23:57496        178-83-128-101:39007   HERGESTELLT
  TCP    10.0.0.23:57497        188-195-68-66-dynip:39635  SYN_GESENDET
  TCP    10.0.0.23:57499        www-10-01-tst1:http    HERGESTELLT
  TCP    10.0.0.23:57502        77.67.19.105:http      HERGESTELLT
  TCP    10.0.0.23:57505        178-83-128-101:39007   HERGESTELLT
  TCP    10.0.0.23:57506        188-22-106-148:42586   HERGESTELLT
  TCP    10.0.0.23:57508        dslb-188-102-108-132:61148  HERGESTELLT
  TCP    10.0.0.23:57509        194-208-251-175:55057  HERGESTELLT
  TCP    127.0.0.1:5357         BRB-PC:57426           WARTEND

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    10.0.0.23:2869         BRB-PC:59938           HERGESTELLT
  TCP    10.0.0.23:52076        bw-in-f100:http        SCHLIESSEN_WARTEN
  TCP    10.0.0.23:54543        212.161.8.5:12350      HERGESTELLT
  TCP    10.0.0.23:54547        c-98-206-225-139:29913  HERGESTELLT
  TCP    10.0.0.23:57424        xdsl-213-196-247-29:19616  HERGESTELLT
  TCP    10.0.0.23:57572        188-192-115-210-dynip:49965  HERGESTELLT
  TCP    10.0.0.23:58018        bos-d066b-rdr2:5190    HERGESTELLT
  TCP    10.0.0.23:58598        95-90-140-64-dynip:61655  HERGESTELLT
  TCP    10.0.0.23:58698        channel7-02-01-snc4:http  HERGESTELLT
  TCP    10.0.0.23:58989        217-162-139-53:11632   WARTEND
  TCP    10.0.0.23:59567        188-23-101-155:30266   HERGESTELLT
  TCP    10.0.0.23:59721        178-191-195-33:51685   HERGESTELLT
  TCP    10.0.0.23:59791        195.2.169.5:25374      HERGESTELLT
  TCP    10.0.0.23:59806        91-65-34-93-dynip:60411  HERGESTELLT
  TCP    10.0.0.23:59810        151.5.111.21:30736     HERGESTELLT
  TCP    10.0.0.23:59830        18-148-63-194:36749    HERGESTELLT
  TCP    10.0.0.23:59833        ip-109-91-144-119:14758  HERGESTELLT
  TCP    10.0.0.23:59842        www-12-03-ash2:http    WARTEND
  TCP    10.0.0.23:59844        178-27-44-80-dynip:51413  HERGESTELLT
  TCP    10.0.0.23:59857        chello212186124193:45659  HERGESTELLT
  TCP    10.0.0.23:59860        dslb-094-218-018-010:55125  HERGESTELLT
  TCP    10.0.0.23:59866        188-22-67-136:15186    HERGESTELLT
  TCP    10.0.0.23:59876        stgt-5d843197:51413    HERGESTELLT
  TCP    10.0.0.23:59880        ppp-94-69-26-122:15375  WARTEND
  TCP    10.0.0.23:59882        ip-88-153-249-234:57390  HERGESTELLT
  TCP    10.0.0.23:59890        85-127-220-199:14900   HERGESTELLT
  TCP    10.0.0.23:59905        ppp-188-174-45-199:44425  HERGESTELLT
  TCP    10.0.0.23:59912        F-402:62287            HERGESTELLT
  TCP    10.0.0.23:59917        19-192:6889            HERGESTELLT
  TCP    10.0.0.23:59927        188-22-148-141:26060   HERGESTELLT
  TCP    10.0.0.23:59932        c9348223:51667         HERGESTELLT
  TCP    10.0.0.23:59935        ip-95-223-104-84:50968  HERGESTELLT
  TCP    10.0.0.23:59938        BRB-PC:icslap          HERGESTELLT
  TCP    10.0.0.23:59940        www-11-01-tst1:http    HERGESTELLT
  TCP    10.0.0.23:59941        a92-122-216-122:http   HERGESTELLT
  TCP    10.0.0.23:59964        ip-178-202-2-234:55283  HERGESTELLT
  TCP    10.0.0.23:59967        188-195-22-191-dynip:25706  HERGESTELLT
  TCP    10.0.0.23:59969        153-71:31544           HERGESTELLT
  TCP    10.0.0.23:59973        178-190-194-230:43736  HERGESTELLT
  TCP    10.0.0.23:59974        dslb-188-108-187-219:11624  HERGESTELLT
  TCP    10.0.0.23:59993        178-82-201-119:46460   HERGESTELLT
  TCP    10.0.0.23:59994        188-192-86-236-dynip:42834  SCHLIESSEN_WARTEN
  TCP    10.0.0.23:59998        dslb-094-218-018-010:55125  HERGESTELLT
  TCP    10.0.0.23:60000        dslb-178-004-221-052:51715  SYN_GESENDET
  TCP    10.0.0.23:60001        188-23-40-205:36185    HERGESTELLT
  TCP    10.0.0.23:60003        188-193-5-121-dynip:26711  HERGESTELLT
  TCP    10.0.0.23:60005        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60006        bw-in-f113:http        HERGESTELLT
  TCP    10.0.0.23:60010        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60012        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60013        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60014        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60015        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60016        62.146.104.133:http    HERGESTELLT
  TCP    10.0.0.23:60017        adserver:http          HERGESTELLT
  TCP    10.0.0.23:60021        194-17-45-184:http     HERGESTELLT
  TCP    10.0.0.23:60022        194-208-046-115:61945  SYN_GESENDET
  TCP    10.0.0.23:60029        188.64.58.124:http     ZULETZT_ACK
  TCP    10.0.0.23:60035        limg05:http            HERGESTELLT
  TCP    10.0.0.23:60036        limg05:http            HERGESTELLT
  TCP    10.0.0.23:60038        94.127.76.3:http       HERGESTELLT
  TCP    10.0.0.23:60041        195.71.93.141:http     HERGESTELLT
  TCP    10.0.0.23:60042        dslb-094-221-233-255:54516  HERGESTELLT
  TCP    10.0.0.23:60043        LB230:http             HERGESTELLT


----------



## Jimini (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Hm, das sind jede Menge Verbindungen. Am besten führst du diesmal "netstat -b" aus, wenn du alle Programme wie Browser, Mailclient, Instant Messenger etc. beendet hast. Mit dem Parameter "-b" wird die Datei, die die Verbindung gestartet / empfangen hat, mit angezeigt.

MfG Jimini


----------



## AdeE (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Tag,

hast du deine Platte mal komplett leer gemacht und formatiert (mehrmals mit Zufallszahlen überschrieben) und dann Windows neu installiert? Dazu nur eine Festplatte und mind. Konfiguration angeschlossen? 
Mal eine andere Tastatur und Maus  nach neu Installation versucht? Was sagt Hijackthis?


----------



## Jimini (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*



AdeE schrieb:


> Tag,
> hast du deine Platte mal komplett leer gemacht und formatiert (mehrmals mit Zufallszahlen überschrieben) und dann Windows neu installiert?


 
Mehrmals überschreiben ist da allerdings nicht mal notwendig - wenn es nur darum geht, einen möglichen Virus zu entfernen, reicht eine Schnellformatierung aus. Selbst nach einmaligem Überschreiben mit Nullen ist ein Wiederherstellen in der Regel nicht mehr möglich.

MfG Jimini


----------



## Tequilaomega (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

So das kommt bei Netstat -b raus


Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    10.0.0.23:50115        bw-in-f100:http        SCHLIESSEN_WARTEN
 [GoogleToolbarNotifier.exe]
  TCP    10.0.0.23:54799        sitecheck2:http        WARTEND
  TCP    10.0.0.23:54817        ber01s02-in-f113:http  HERGESTELLT
 [opera.exe]
  TCP    10.0.0.23:54833        85.90.254.44:http      HERGESTELLT
 [opera.exe]

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    10.0.0.23:50115        bw-in-f100:http        SCHLIESSEN_WARTEN
 [GoogleToolbarNotifier.exe]
  TCP    10.0.0.23:54817        ber01s02-in-f113:http  WARTEND
  TCP    10.0.0.23:54833        85.90.254.44:http      WARTEND
  TCP    127.0.0.1:2869         BRB-PC:54891           WARTEND
  TCP    127.0.0.1:2869         BRB-PC:54893           HERGESTELLT
 Es konnten keine Besitzerinformationen abgerufen werden.
  TCP    127.0.0.1:54893        BRB-PC:icslap          HERGESTELLT
 [wmpnetwk.exe]
  TCP    [::1]:5357             BRB-PC:54889           WARTEND
  TCP    [fe80::c99e:e07e:53f9:a191%11]:54894  BRB-PC:icslap          HERGESTELLT
 [wmpnetwk.exe]


----------



## Tequilaomega (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

und hier wenn nur Netstat 


Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    10.0.0.23:50115        bw-in-f100:http        SCHLIESSEN_WARTEN
  TCP    10.0.0.23:54895        sitecheck2:http        HERGESTELLT
  TCP    10.0.0.23:54899        sitecheck2:http        HERGESTELLT
  TCP    10.0.0.23:54964        ber01s02-in-f100:http  HERGESTELLT
  TCP    10.0.0.23:54999        85.90.254.44:http      HERGESTELLT
  TCP    10.0.0.23:55069        LB230:http             SCHLIESSEN_WARTEN
  TCP    10.0.0.23:55101        74.125.230.82:http     HERGESTELLT

mir ist aber nun das erste mal aufgefallen das auch ohne ICQ Skype od sonstiges hier im Eingabefeld und auch im Facebook Chat sich die "Eingabe" selbständig macht. 

Worte wiederholen sich "Kron" "Kompressor Kühlung" und mittlerweile via "Enter" auch dann abgesendet. 

Meine Maus wechselt gerne mal via die Makro Taste eine Seite zurück, od verwendet den linksklick 1mal.

Zum Hijackthis, was muss ich da auf die schnelle machen weil wirklich hat er mir noch nichts angezeigt lese mir aber sonst gleich mal ne Manual durch.


----------



## Jimini (3. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Du hast nicht zufällig Eingabegeräte wie z.B. diese Roccat-Mäuse, die Tasteneingaben aufzeichnen und wiedergeben können?

Hijackthis schaut, welche Prozesse aktuell laufen und checkt zudem diverse Registry-Einträge. Das Ergebnis kannst du dann auf der Homepage von dem Projekt untersuchen lassen.

MfG Jimini


----------



## Tequilaomega (4. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Nein hab eine Microsoft Sidewinder X8 mit Wlan. 

Aber werd nun mal 1-2 Tage ohne die Maus arbeitn und sehen ob der Fehler weiterhin besteht.


----------



## Tequilaomega (6. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Ich glaub der Fehler steht klar. Lag an der Maus.

Nun ne andere Standart USB Maus angeschlossen, da die X8 auch gerade im Service ist. Bekannte Fehler sind mittlerweile noch nicht aufgetaucht. Nach ca 3-4Std Betrieb. 

Frage ist nur wie kann man den Fehler vorbeugen das er nicht mehr kommt oder an was könnte er liegen. Hoffe ich bekomme die Maus ausgetauscht, da auch schon die 
rechte Taste nach 2 Jahren ab und zu mal ganz leicht stecken bleibt. 

Zur Software hole ich mir immer aus den Net direkt von den Herstellerseiten nach einer Neuinstallation des Systems. Virenprog is das erste was ich nach einer Neuinstallation raufmache. 
Hab mir gerade überlegt einen USB Stick für die Win7 install + SP1 und den notwendigsten Programmen zu erstellen. So das alles läuft bevor ich das erste mal Online gehe. 

Werd ich nach dem Service von meinem Mainboard sowie so neu aufsetzen.


----------



## Jimini (6. März 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*



Tequilaomega schrieb:


> Hab mir gerade überlegt einen USB Stick für die Win7 install + SP1 und den notwendigsten Programmen zu erstellen. So das alles läuft bevor ich das erste mal Online gehe.


 
So mache ich es auch immer. Das Netzwerkkabel wird erst eingesteckt, wenn ich das aktuellste Service-Pack und einen Virenscanner installiert habe.

MfG Jimini


----------



## Tequilaomega (10. Juni 2011)

*AW: Virus Befall, Trotz Kaspersky. Verdacht auf Keylogger und Selbständiges Arbeitn von Maus usw.*

Schade das dieser Thread nicht einsam und alleine hat untergehn können. 

Muss den Thread leider wieder ausgraben. Diesmal nicht bei mir sondern es hat meine Schwester erwischt.

Hat sich mal einen Gaming Laptop besorgt und auch die Microsoft Sidewinder X8, der Witz am ganzen Kaspersky ist auch dort permanent im Einsatz. 

Wohl eine Lücke des Programm. Werde Kaspersky mal auf diesen Fehler mit einer Email darauf hinweisen. 

Teste ja gerade die 2012er Version und nach diesen Fehler schon stark am überlegen ob es nicht eine andere Software wird den verwende noch immer meine X8.

Lösung um diesen Fehler schnell auf den Grund zu gehen gibt es wohl noch immer nichts bekanntes ?


----------

