Hallo,

ich bin neu hier, ich hoffe mir kann jemand helfen,

ich benutze windows 2000 und habe folgendes problem:

wenn ich mich ins internet einlogge stelle ich nach 1-2 Minuten fest das ein permanenter Datenstrom von meinem Rechner ins Internet stattfindet und ich wiederholt fehlermeldungen kriege "Seite kann nicht angezeigt werden".

BSP: nach 20 Min. habe ich 66000 Datenpakete gesendet und nur 5.000 empfangen obwohl ich nur gesurft habe.
Ich vermutete ein Virus, Trojaner.
Ich habe AD-Aware und andere Programme suchen lassen die haben allerdings nichts gefunden.
Nachdem ich nun meine Festplatte formatiert und neuinstalliert habe passiert das gleiche wieder

Wer kann helfen?

Ich gehe über DSL-T-Online, über einen Router ins Internet

gruß

Sebastian

@silverspeed
poste doch mal ein HJT logfile
download
anleitung
chaosman

Hier die Daten von hijackthis

Logfile of HijackThis v1.99.0
Scan saved at 22:50:05, on 03.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\TrayIcon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\winupdate.exe
D:\StoneScanV3\StoneScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
D:\WinRAR\WinRAR.exe
C:\DOKUME~1\Wolf\LOKALE~1\Temp\Rar$EX01.456\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINNT\System32\TrayIcon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [StoneScan] D:\StoneScanV3\StoneScan.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E065DE85-8256-46A8-A743-3F5C60F39631}: NameServer = 194.25.2.129,62.104.212.82
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: CHIPDRIVE SCARD Service - TOWITOKO - German Technology - C:\WINNT\SCARDS32.EXE

Außerdem ist mir aufgefallen, das unter eingabe von netstat -a beim einloggen
folgende anwahl vorgenommen wird:

TCP sebastian 1118 host 181-153.poo18291interbusinessit:7000

diese anwahl kommt mir sehr merkwürdig vor. Hat jemand eine Idee?

gruß
Sebastian

du hast den wurm W32/Forbot-G drauf. der öffnet auchnoch eine backdoor, also bezeichne ich es auch als trojaner, wodurch es möglich ist auf deinen computer vom internet zuzugreifen. escan im abgesicherten modus sollte hier wiedermal abhilfe schaffen.

Imho die einzige sinnvolle Abhilfe ist ein Neuaufsetzen deines Systems -> http://www.trojaner-board.de/showpos...28&postcount=2

Laut escan habe ich diesen virus, leider kann ich die winupdate.exe nicht löschen. Wie kriege ich diesen Verdammten virus/wurm weg?

Ich verstehe nicht wie ich diesen wurm einfangen konnte.
Ich habe heute morgen wie gesagt das System formatiert.
Anschließen ohne Online zu gehen antivir, stonescan, ad-awar und
service pack 4 installiert.

Was muß ich bei jetzt bei einer nochmaligen Neuinstallation noch beachten?

Gibt es einen Patch den ich, bevor ich online gehe, auf das System installieren kann? Damit ich diesen Wurm vermeiden kann?



gruß
Sebastian

[msvLclnt.dll] [0x000001b0] 03/01/2005 23:53:55:342 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000001b0] 03/01/2005 23:54:04:075 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000001b0] 03/01/2005 23:54:04:345 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000001b0] 03/01/2005 23:54:05:176 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000001b0] 03/01/2005 23:56:41:571 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000001b0] 03/01/2005 23:57:45:413 :VirusCount = 114601 Latest Date = 2005/01/03
[msvLclnt.dll] [0x000000e8] 03/01/2005 23:58:29:647 :VirusCount = 114601 Latest Date = 2005/01/03

Zitat:

Was muß ich bei jetzt bei einer nochmaligen Neuinstallation noch beachten?

Steht alles im Link aus Cidre's Post #5.

Punkt 2 fällt weg, da dein OS Win 2k ist.

Punkt 1 und 4 sollten Vor der ersten I-net Verbindung abgearbeitet werden. Ebenso diese beiden Patches offline installieren: http://support.microsoft.com/?kbid=824146, http://support.microsoft.com/?kbid=827363 und http://www.microsoft.com/germany/ms/...inMS04-011.htm

Ansonsten nach weiter nach der Reihenfolge abarbeiten.

EDIT:
Haui45
EDIT2:
LSASS Patch vergessen!

Hi,

wollte mich erst einmal für die schnelle Hilfe von euch bedanken, ich konnte das Problem dadurch erst einmal beheben. Am Wochende folgt dann die Neuinstallation, ich hoffe diesmal ohne Probleme.

Bis zum nächsten mal

Sebastian