Moinsen,

Bin neu hier und habe seit gestern folgendes Problem:

Irgendein Programm versendet und empfängt riesige Datenmengen. Das sind nach 20-30 Minuten um die 20-30 Millionen Bytes, also 20-30 MB - was eigentlich gar nicht möglich ist. Und nein, ich habe kein Download Programm an. Das ganze geht dann soweit, dass die Lan verbindung vom Rechner vom Switch Blockiert wird, damit das Netzwerk nicht überlastet wird.

Sooo... natürlich hab ich dann gleich mal sämtliche Antiviren Programme etc. geupdatet und durchlaufen lassen - jedoch ohne Erfolg. Auch sind mir keine seltsamen Tasks aufgefallen und Programme wie eScan oder HijackThis finden keinerlei verdächtige Programme.

Lediglich wenn ich svchost Beende, hören die Datentransfere auf. Dies führt jedoch zu Problemen, z.B. funktioniert dadurch Firefox nicht mehr und auch der IE funktioniert nur noch eingeschränkt.
Hab dann mal HijackThis laufen lassen, und folgendes ausgespuckt bekommen:

Logfile of HijackThis v1.99.0
Scan saved at 01:29:06, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\apache\mysql\bin\mysqld-nt.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\svchost.exe
c:\apache\APACHE.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ec3b89...dxIE601_de.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: MySql - Unknown - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: PHPGeekUtil - Unknown - c:\apache\APACHE.EXE

Hoffe mir kann jemand helfen, ansonsten bleibt wohl nur Format C übrig.

Welche Virenscanner hast du genau verwendet? Benutze mal E-Scan wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Virenscanner hab ich AntiVir, neustes Update.

Und eScan hab ich schon durchlaufen lassen, als ergebnis wurde lediglich nur

Tue Jan 04 22:22:35 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\VVSN_RDLT0504Inst.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

ausgegeben.

Hast du E-scan updgedated und auch ALLE Dateien scannen lassen, wie beschrieben? Ansonsten fällt mir erst mal nix weiter auf im Log. Hast du ein bestimmtes Programm installiert, bevor das Ganze losging? Kannst du nachvollziehen, welches Programm/welcher Prozess diese Daten umsetzt? Eventuell mit netstat:

http://www.microsoft.com/resources/d...s/netstat.mspx

Also eScan habe ich direkt nach dem entpacken geupdatet, so wie es auf der einen Seite die du gepostet hast beschrieben ist. Und auch alles so ausgeführt, wie es auf der Seite steht.

Und mit netstat werden mir einmal zwei Trillian verbindungen angezeigt, einmal die Seite hier, dann eine t-dialin.net Verbindung mit dem Port 13762 und zehn mir unbekannte Verbindungen, deren Status ist jedoch WARTEND. Soll ich die hier posten?

// Edit: localhost Verbindungen hab ich noch vergessen.

Folgendes fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

Den Apache-Server deinstallieren, wenn du ihn nicht brauchst.
Ansonsten beenden, falls er als Dienst läuft.