Hi
ich hab Probleme. Sobald ich eine Netzwerkverbindung aktiviere, schickt mein Rechner Daten über Daten ans Internet. MIr ist das durch das heftige Blinken an meinem Router aufgefallen als mein Rechner grade frisch hochgefahren war und ich noch keinerlei Aktionen mit dem Internet unternommen habe.

Habe grade HijackThis laufen lassen. Hier das Ergebnis....

Logfile of HijackThis v1.99.0
Scan saved at 13:11:19, on 29.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\mssqlsrv.exe
C:\WINDOWS\System32\winhosting.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Manuel\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [RSPC Driver] szyy.exe
O4 - HKLM\..\Run: [Microsoft SQL Srv] mssqlsrv.exe
O4 - HKLM\..\Run: [Microsoft Hosting Service] winhosting.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft SQL Srv] mssqlsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Hosting Service] winhosting.exe
O4 - HKLM\..\RunServices: [RSPC Driver] szyy.exe
O4 - HKLM\..\RunServices: [Windows Task Manager] wintask.exe
O4 - HKCU\..\Run: [Microsoft SQL Srv] mssqlsrv.exe
O4 - HKCU\..\Run: [Microsoft Hosting Service] winhosting.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104067747671
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Oben steht SP1 lade grade SP2 runter nur ist mir dabei nicht ganz wohl, weil mein rechner halt so viele Daten veschickt.

Woran kann das liegen, das ich so viele Daten irgendwo hin schicke? Gibt es tools, die mich sehen lassen, wohin ich was schicken und in welchen Mengen?

Danke im Voraus schonmal für euere Mühen...
Maxx

Hallo,


lass bitte diese beiden Dateien:

C:\WINDOWS\System32\mssqlsrv.exe

C:\WINDOWS\System32\winhosting.exe

hier online überprüfen,und poste dann das Ergebnis:

http://virusscan.jotti.org/de

Hi
danke für die schnelle Antwort.

Die dateien sind beide im ordner C:\windows\Prefetch

und heißen dort:

WINHOSTING.EXE-2D6A1A2F.pf

und

MSSQLSRV.EXE-3AB66FD1.pf

Und beinhalten laut der von dir angegebenen Seite keine Viren.
Maxx

Sorry, habe eine atwort geschrieben, und als ich auf Antworten klickte kam das gleiche wie beim ersten post.

Hi
danke für die schnelle Antwort.

Die dateien sind beide im ordner C:\windows\Prefetch

und heißen dort:

WINHOSTING.EXE-2D6A1A2F.pf

und

MSSQLSRV.EXE-3AB66FD1.pf

Und beinhalten laut der von dir angegebenen Seite keine Viren.
Maxx


Das war die Nachricht die eigenlich kommen sollte.

Achja, noch ein Nachtrag. Immer wenn ich meine Netzwerkverbindung Deaktiviere, also über windows und dann wieder aktiviere, öffnet sich automatisch ein Eingabefenster (DOS) ohne jeglichen INhalt und oben im Fensterkopf steht der Pfad: C:\dokumente und....\Benutzer\whs.exe

Maxx

War es das mit hilfe schon?

Die Dateien, die du testen solltest, sind nicht im Prefetch-Ordner, der Ordner steht doch im HJT-Log klar drin. Aber du kannst es dir auch sparen, es handelt sich um Rbot-Varianten

http://www.trendmicro.com/vinfo/viru...=WORM_RBOT.AEV

das heisst, dein System ist kompromittiert und sollte nach folgender Anleitung neu gemacht werden:

http://board.protecus.de/showtopic.p...me=1097944155&

Für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html