Gleich hüpf' ich aus dem Fenster

vomwegzursonne

Seid nahezu 48h sitze ich mit kurzer Unterbrechung vor dem Rechner und habe auch schon div. Neuinstallationen hinter mich gebracht.

Das Problem muß sich jetzt lösen lassen ... so geht das nicht weiter.

Basisinformationen zum Rechner und Software:

PC
AMD 1GHz
XPhome
SP1 + die Updates von Microsoft
Outpost 2.025...
Sophos 3.79 (jetzt auf Empf. Trial von Kaspersky)
Verbindung zum Internet: DSL
In Betrieb sind keine Messenger, Shareutillities etc ...


So begann alles:
In aller Routine setzte ich ca. alle 2 Monate das System neu auf. Kein Problem. Die Routine machts. Mit Viren, Trojanern etc... gab

es bis dato noch nie Probleme ... zumindest fielen diese nicht in meine Wahrnehmung. Vor ca. 3 1/2 Tagen habe ich das System erneut

aufgesetzt und erhalte keine Meldungen der Sec.Programme zwecks Trojaner etc... jedoch sehe ich in der Firewall unter Angriffen

Tausende in der Stunde ... jeweils eine andere IP. Nachdem ich mir das ein bischen näher angesehen habe und ich dachte, dass evtl.

jetzt mein System geh. wurde (hmmmm) habe ich das System erneut aufgesetzt und stelle bekomme von einem Freund den Tipp die

Batchfile "svc2kxp" zu installieren. Das war easy, einleuchtend und in der Aktivitätenliste von Outpost war auch nix mehr zu sehen.

Denkste: Hah ... da findet sich die "File" "System". Ein Vorgang der sich mit der rechten Maustaste nicht bedienen (beenden, konfig.

...) läßt.

Recherchen habe ergeben, dass es Trojaner gibt die hier fleißig am arbeiten sind. Die Auskünfte im Outpost Forum von Agnitum ist

rel. spärlich. Die Einträge sehen immer so aus:

Mein Internet
- Netzwerk-Aktivität
- Offene Ports
- system / Zeige Netzwerk-Aktivität
system
System
Lokale Adresse: localhost
Lokaler Port: 12032
Protokoll: GRE
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 0
Protokoll: RAWSOCKET
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 1025
Protokoll: TCP
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

oder

Mein Internet
- Netzwerk-Aktivität
System
Grund: System
Entfernte Adresse: z.B. 24.232.10.117
Protokoll: TCP oder auch mal UDP
Richtung: In Refused
Enterner Port: 62448 und alle anderen möglichen Zahlenkombinationen
Ereignis; Von Block Hacker IP After Attack, Block NetBIOS Traffic bis Reject Connection To Port Opened By System ... ist

alles dabei
Lokale Adresse: meine (denke ich doch)
Lokaler Port: MICROSOFT_DS, NETBIOS_DS, 6882, 3127, MY_SQL_S, 16100 und alle anderen möglichen Zahlen etc...
- Offene Ports
- system / Zeige Netzwerk-Aktivität
system
System
Lokale Adresse: localhost
Lokaler Port: 12032
Protokoll: GRE
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 0
Protokoll: RAWSOCKET
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 1025
Protokoll: TCP
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

Auf meinem System ist ebenso auch noch Winpatrol installiert. Als mir hier dieser "System"-Vorgang nicht gemeldet wurde und auch

nicht aufgezeigt wurde, bin ich etwas misstrauisch geworden. Auf der Suche nach weiterer det. Software bin ich dann auf die Versin

1.10 vom Security Task Manager gestoßen. Und siehe da: Er zeigt dieses "System"-Ding. Das sieht dann so aus:

Name: System
Bewertung: 32
CPU: 2% etc ... (es arbeitet)
RAM:
Datei: System (und nicht wie bei allen anderen Prozessen eben z.b: c:\Windows\system32\nvsvc32.exe oder so
Typ: Programm
Start: 01.01.1601 (DATUM) 01:00:00 (UHRZEIT)
Titel, Beschreibung:
Hersteller, Produkt: -

Weiter auf der Suche bin ich auf Trojanerdefinitionen gestoßen die sich hier übereinstimmend mit meiner "Diagnose" halten. Sophos,

AntiVir, Kaspersky etc ... haben nichts gefunden, Spybot-Search & Destroy hat ihn sogar in der upgedateten Datenbank ... findet aber

nix und diese Programme habe auch alle nix gefunden: a² free (a Squared 2), hijackthis, elbtecscan, Anti-Trojan 5.54, McAfee Avert

Stinger 2.04, F-Prot 3.14b, Cool Web Shredder 1.49, Ewido Security Suite 1.00, Trojan Check 6.02, Ad-aware, Spy Sweeper 2.20 ... .

Jetzt wird es aber erst richtig interessant: Als ich den Taskmanager öffner (der nat. diese "System"-File auch nicht anzeigt sehe

ich unter dem Reiter Netzwerk zwei Verbindungsfenster:

Adaptername: LAN-Verbindung
Netzwerkauslastung: 0 % (schwankt)
Übertragungsrate: 10 MBit/s
Status: In Betrieb

Adapername: Hansenet (mein Provider)
Netzwerkauslastung: 0% (schwankt)
Übertragungsrate 10MBit/s (stand auch zwischenzeitlich auf 30 MBit/S)
Statut: verbindung hergestellt

Ich habe ins. 6 Screenshot gemacht die auch optisch verdeutlichen, dass hier was nicht stimmt. Z.B. vom Taskmanager:

Adaptername: LAN-Verbindung
Netzwerkauslastung: 0 % (schwankt)
Übertragungsrate: 10 MBit/s
Status: Nicht in Betrieb

Adapername: LAN-Verbindung 2
Netzwerkauslastung: 0% (schwankt)
Übertragungsrate 30 MBit/s
Statut: In Betrieb

Outpost gibt mir dazu folgende Informationen:

Netzwerkadresse: 169.254.0.0 (255.255.0.0)
Bereich: Local
NetBIOS: Häckchen
Geschützt: kein Häckchen

und gleichzeitig unten drunter

Netzwerkadresse: 4.0.1.0 (255.255.255.255)
Bereich: Internet
NetBIOS: kein Häckchen
Geschützt: kein Häckchen

Dann wird dieser "System"-Vorgang auch mal wieder im Taskmanager angezeigt: mit einem Speicherverbrauch von 76 k.

Also: Ganz ehrlich gesagt: Ich komme mir erstens bekloppt vor mein Wochenende vor dem Rechner wegen diesem Scheiß zu verbringen. Ich

muß mit meinem PC arbeiten und kann es nicht. Zeitens brauche ich ernsthaft eine gute, schnelle und seriöse Hilfe. Ich weiß hier

nicht mehr weiter. Keine Ahnung.

Ich freue mich auf Feedback. Ich gehe jetzt duschen, lasse Kaspersky nochmal drüber laufen und schaue dann nochmal gleich ins Board

und hoffe auf Lösungen. Es nervt wirklich. Vielen Dank.

Vomwegzursonne

Sollte es möglich sein jemanden sehr Erfahrenen die Screenshot zukommen zulassen wäre ich auch dankbar.

__________________
Vom Weg zur Sonne ... hmmm