| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: IP-Konflikt. Internetstick nur 1-10 KB/s schnell. Späht mich einer aus?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.05.2012, 21:15
| #1 |
| |  IP-Konflikt. Internetstick nur 1-10 KB/s schnell. Späht mich einer aus? Hallo Trojaner-Boarder, ich glaube, dass jemand meine Daten ausspäht, weswegen u.a. meine Internetverbindung so langsam ist. Ich habe einen Internetstick, der ein Datenvolumen von 5 GB pro Monat hat. Wenn das Volumen verbaucht wird, werde ich auf 54 KB/s runtergedrosselt. Ansonsten habe ich 7,2 MB/s. Vor einem halben Jahr bekam ich zum ersten mal die Meldung "IP-Konflikt" und da wurde mein Stick sehr langsam bzw. hatte er gar keine Geschwindigkeit. Wenn ich auf 10 KB/s kam, dann war das schon gut. Als ich dann 2 Wochen weg war, funktionierte der Stick wieder, wie vorher. Neulich bekam ich wieder die Meldung "IP-Konflikt" und der Stick ist jetzt wieder sehr langsam. Ich bekam aber noch keine SMS, dass mein Stick runtergedrosselt wird. Normalerweise kriege ich die selten bzw. nur am Ende des Monats und da habe ich dann immer noch die 54 KB/s. Ich vermute, dass jemand meine Daten ausspäht, weil ich in einem Forum mit jemanden Stress hatte, der Informatik studiert hat. Er hat mir früher immer Links geschickt, aber ich hab nie drauf geklickt, weil ich dachte, dass er mir einen Virus schicken will. Irgendwann hat er mit einem Fake-Account mir ein Link geschickt und ich hab dummerweise drauf geklickt. Seit dem weiß der Typ sehr private Sachen über mich, die ich im Internet nie erzählt habe und die man nur wissen kann, wenn man u.a. meinen Lebenslauf gelesen hat oder meine Lesezeichen gesehen hat. Er hat auch mal rumgeprahlt, dass er von Userinnen aus dem Forum Nacktbilder hat und in diesem Forum werden immer wieder mal mit Fake-Accounts von bekannten Userinnen Nackbilder gepostet. Ich vermute, dass er das ist. Er weiß jedenfalls etwa 10 ganz private Sachen über mich, die niemand außer meiner Familie wissen kann. Auf meiner externen Festplatte ist seit etwa einem halben Jahr ein Ordner mit vielen Zahlen und Buchstaben, der einfach so von alleine aufgetaucht ist. Könnte er das auch sein? Hat er auch auf meiner Festplatte einen Virus zum auspähen plaziert? Sorry, den Mangel an Kenntnissen und für so viel Text, aber ich kann mich leider nicht anders ausdrücken. Bitte helft mir. Ich habe die Sorge, dass er auch meine Schwester ausspäht, weil sie auch in dem Forum mal aktiv war. Ich weiß nur, dass er im Internet anonym ist, weil er jeden Monat 5 € zahlt, damit er, was die IP angeht, anonym ist. Könnt ihr rausfinden, ob jemand anderes auf meinem Notebook war und wie ich mich vor sowas bestmöglich in Zukunft schützen kann bzw. wie ich auch noch meine externe Festplatte jetzt gereinigt kriege? Vielen, vielen Dank!   DSS: [QUOTE].DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421
Run by PC at 20:42:13 on 2012-05-15
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\ProgramData\DatacardService\HWDeviceService.exe
C:\Program Files\Silvercrest MTS2218 driver\KMWDSrv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\ProgramData\Mobile Partner\OnlineUpdate\ouc.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\XSManager\WTGService.exe
C:\Windows\service4g.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\starter4g.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\PC\Desktop\dds.com
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.babylon.com/?affID=109989&babsrc=HP_ss&mntrId=54aa36d20000000000000022437a6956
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
TCP: DhcpNameServer = 193.189.244.206 193.189.244.225
TCP: Interfaces\{0D63037D-AA02-4FB6-A1BA-5E1E4F5D1F72} : DhcpNameServer = 193.189.244.225 193.189.244.206
TCP: Interfaces\{5D363D66-A414-4417-89BF-1D6DD040DD99} : DhcpNameServer = 193.189.244.225 193.189.244.206
TCP: Interfaces\{A71D16DE-08DC-45E3-8DBC-5DA2CE884018} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{A9147691-E016-4357-9393-7060DE12E705} : DhcpNameServer = 193.189.244.206 193.189.244.225
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\pc\appdata\roaming\mozilla\firefox\profiles\g8j9x2pd.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=109989&babsrc=KW_ss&mntrId=54aa36d20000000000000022437a6956&q=
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_235.dll
.
---- FIREFOX POLICIES ----
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109989
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 54aa36d20000000000000022437a6956
FF - user.js: extensions.BabylonToolbar_i.hardId - 54aa36d20000000000000022437a6956
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15434
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1720:47:43
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
============= SERVICES / DRIVERS ===============
.
R? AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service
R? clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86
R? cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s
R? ew_hwusbdev;Huawei MobileBroadband USB PNP Device
R? ewusbnet;HUAWEI USB-NDIS miniport
R? Mobile Partner. RunOuc;Mobile Partner. OUC
R? MozillaMaintenance;Mozilla Maintenance Service
R? WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0
S? AdobeARMservice;Adobe Acrobat Update Service
S? AntiVirSchedulerService;Avira Planer
S? AntiVirService;Avira Echtzeit Scanner
S? avgntflt;avgntflt
S? avkmgr;avkmgr
S? FontCache;Windows-Dienst fr Schriftartencache
S? huawei_enumerator;huawei_enumerator
S? HWDeviceService.exe;HWDeviceService.exe
S? KMWDSERVICE;Keyboard And Mouse Communication Service
S? MBAMProtector;MBAMProtector
S? MBAMService;MBAMService
S? SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver
S? WTGService;WTGService
S? XS Stick Service;XS Stick Service
.
=============== Created Last 30 ================
.
2012-05-15 13:12:47 -------- d-----w- c:\users\pc\appdata\roaming\Malwarebytes
2012-05-15 13:12:42 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-05-15 13:12:42 -------- d-----w- c:\programdata\Malwarebytes
2012-05-15 13:12:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-05-15 10:23:18 6734704 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{c8292077-92af-49f8-95a8-282f3bc29e26}\mpengine.dll
2012-05-09 20:50:03 53120 ----a-w- c:\windows\system32\drivers\partmgr.sys
2012-05-09 20:50:02 905600 ----a-w- c:\windows\system32\drivers\tcpip.sys
2012-05-09 20:50:00 1404928 ----a-w- c:\program files\common files\microsoft shared\ink\InkObj.dll
2012-05-09 20:50:00 1218048 ----a-w- c:\program files\windows journal\NBDoc.DLL
2012-05-09 20:49:59 983040 ----a-w- c:\program files\windows journal\JNTFiltr.dll
2012-05-09 20:49:59 964608 ----a-w- c:\program files\windows journal\JNWDRV.dll
2012-05-09 20:49:59 936960 ----a-w- c:\program files\common files\microsoft shared\ink\journal.dll
2012-05-09 20:49:59 47104 ----a-w- c:\program files\windows journal\PDIALOG.exe
2012-05-09 20:49:56 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-05-09 20:49:56 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-05-09 20:49:56 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-05-09 20:49:56 1069056 ----a-w- c:\windows\system32\DWrite.dll
2012-05-09 20:49:55 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-05-09 20:49:48 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-09 20:49:47 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-09 20:49:47 2044928 ----a-w- c:\windows\system32\win32k.sys
2012-04-25 12:23:30 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-04-25 12:23:28 157352 ----a-w- c:\program files\mozilla firefox\maintenanceservice_installer.exe
2012-04-25 12:23:28 129976 ----a-w- c:\program files\mozilla firefox\maintenanceservice.exe
2012-04-24 13:42:57 -------- d-----w- c:\users\pc\appdata\roaming\Ashampoo
2012-04-24 13:42:44 -------- d-----w- c:\users\pc\appdata\local\ashampoo
2012-04-24 13:42:43 -------- d-----w- c:\programdata\ashampoo
2012-04-24 13:41:13 -------- d-----w- c:\program files\Ashampoo
2012-04-22 19:54:22 -------- d-----w- c:\programdata\Canneverbe Limited
2012-04-22 19:54:21 -------- d-----w- c:\users\pc\appdata\roaming\Canneverbe Limited
2012-04-22 17:27:12 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2012-04-22 17:27:01 -------- d-----w- c:\program files\LSoft Technologies
2012-04-18 22:25:42 -------- d-----w- c:\programdata\OnlineUpdate
2012-04-18 22:25:42 -------- d-----w- c:\programdata\log
.
==================== Find3M ====================
.
2012-05-08 18:47:15 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-05-04 22:31:50 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-04 22:31:50 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-02-29 15:11:45 5120 ----a-w- c:\windows\system32\wmi.dll
2012-02-29 15:11:42 172032 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 15:09:53 157696 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 13:32:37 12800 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-02-28 01:18:55 1799168 ----a-w- c:\windows\system32\jscript9.dll
2012-02-28 01:11:21 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-28 01:11:07 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 01:03:16 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-20 23:33:14 637848 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-02-20 23:33:14 567696 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-20 22:42:48 319456 ----a-w- c:\windows\DIFxAPI.dll
2012-02-20 21:51:03 860928 ----a-w- c:\windows\system32\drivers\mod7700.sys
2012-02-20 21:51:03 85248 ----a-w- c:\windows\system32\drivers\ew_jucdcacm.sys
2012-02-20 21:51:03 72576 ----a-w- c:\windows\system32\drivers\ew_jubusenum.sys
2012-02-20 21:51:03 51456 ----a-w- c:\windows\system32\drivers\ew_jucdcecm.sys
2012-02-20 21:51:03 26496 ----a-w- c:\windows\system32\drivers\ew_juextctrl.sys
2012-02-20 21:51:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2012-02-20 21:51:03 116736 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2012-02-20 21:51:03 11136 ----a-w- c:\windows\system32\drivers\ew_usbenumfilter.sys
2012-02-20 21:51:03 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2012-02-20 21:51:03 1112288 ----a-w- c:\windows\system32\drivers\WdfCoInstaller01007.dll
2012-02-20 21:51:03 106880 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2012-02-20 21:51:03 102784 ----a-w- c:\windows\system32\drivers\ew_hwusbdev.sys
.
=================== ROOTKIT ====================
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.0.6002 Disk: ST9250320AS rev.0303 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x8284D936] -> \Device\Harddisk0\DR0[0x86500778]
3 CLASSPNP[0x8AFC88B3] -> ntkrnlpa!IofCallDriver[0x8284D936] -> [0x85394918]
5 acpi[0x82E976BC] -> ntkrnlpa!IofCallDriver[0x8284D936] -> \Device\Ide\IdeDeviceP1T0L0-3[0x85CF9B98]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user != kernel MBR !!!
.
============= FINISH: 20:42:47,94 ===============
Hallo, gestern kam wieder die Meldung IP-Konflikt. Ich hab dann schnell in der CMD ipconfig eingegeben und es kam dann das hier. Ist alles normal?  |
| Themen zu IP-Konflikt. Internetstick nur 1-10 KB/s schnell. Späht mich einer aus? |
| acrobat update, adobe, adobe flash player, antivir, avira, classpnp.sys, datenvolumen, defender, desktop, dll, explorer, externe festplatte, festplatte, firefox, flash player, gereinigt, hal.dll, helper, internetstick, langsam, mozilla, notebook, pdf, rootkit, rundll, scan, sehr langsam, stick, svchost.exe, system, virus, windows |
Baum-Darstellung