hallo

ich schlage mich zum allerersten mal mit ungeziefer im computer herum. folgendes tut sich :

1. traffic-speed nur etwa 15 - 20% vom üblichen
2. ich kann keine mails runterladen
3. rechner lässt sich nicht im abgesicherten modus starten (standby klappt auch nicht)
4. weder >antivir noch >escan zeigen eine infizierung an
5. auch >adaware findet nach säuberung nichts mehr
6. trotz sperre via >zonealarm zeigt der >trafficmonitor permanenten download an (ich weiß aber weder was, noch woher, noch wohin)
7. portscanner zeigt offenen port 135 und 1025 (wie schließt man eigentlich einen port ?)

Logfile of HijackThis v1.99.1
Scan saved at 04:00:05, on 18.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\div\AVPersonal\AVGUARD.EXE
C:\Programme\div\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\E_SSRP05.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\div\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINNT\System32\svchost.exe
C:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program

files\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\div\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: _ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk =

C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program

files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SourceTec\Sothink SWF

Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF

Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} -

C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-i.com/download/ipixx.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

http://207.188.7.150/11ddd82187daa5e...dxIE601_de.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -

http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-3.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -

http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5886A6E4-9CCC-4AEA-A30E-A7BB1BA6EFB8}: NameServer = 195.34.133.16,195.34.133.17
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\div\AVPersonal\AVGUARD.EXE
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk

Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\div\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. -

C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame

Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON STM Service05 (EPSON_PM_RPC_05) - SEIKO EPSON CORPORATION - C:\WINNT\system32\E_SSRP05.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia

Shared\Service\Macromedia Licensing.exe
----------------------------------------------------------------------------------------------
vermutlich hab ich noch irgend etwas vergessen, ich sitze schon den zweiten tag an diesem problem, mir raucht der schädel und jetzt ist's vier uhr früh.

ich hoffe inständigst, daß ein cleverer menschenfreund einen tip für mich hat.
dank im voraus und grüße aus good old vienna.
ed.

@ed_at
überprüfe diese datei
C:\WINNT\system32\E_SSRP05.EXE
bei jotti
http://virusscan.jotti.org/de
und poste das ergebnis.

du benützt den Flashget, der holt dir spyware auf dem rechner, benützt lieber Getright oder Leechget
am besten gleich deinstallieren
chaosman

erst mal danke für die antwort.

datei E_SSRP05.EXE gehört zum epson(drucker) - statusmonitor, ich hab sie trotzdem überprüft - alles durchwegs negativ.

flashget heißt bei mir im normalfall flashget.exi und wird nur bei wirklichem bedarf zu einem arbeitsfähigen programm umbenannt. mich hatte gestört, daß das programm dauernd auf abruf in der taskleiste war.

am schlimmsten ist, daß ich nicht an meine mails komme, ich kann mir nicht vorstellen daß ich der einzige mit diesen problemen bin.

trafficmonitor zeigt permanenten download mit 1.3 - 3.5 kbyte/sek. ich bin nach wie vor ratlos.

gruß
ed

hallo leute

ich hab' einige tage und nächte damit verbracht alles greifbare an scans durchzuprobierenen, hab' jede menge logfiles und unbekannte dateien studiert und wurde immer ratloser, weil alles in ordnung schien. ich konnte aber keine mails runterladen und die verbindung war viel zu langsam.

einige der probleme die ich hatte, standen möglicherweise in zusammenhang mit diversem ungeziefer, aber wenn, dann waren diese schon ziemlich am anfang bereinigt.

das größte problem war nach wie vor, daß ich keine mails empfangen konnte. telefonate mit dem support des providers brachten zu tage, daß das modem unregelmäßige aussetzter hatte, die sich bei mir nur durch langsameren download und seitenaufbau bemerkbar machten.

heute oder morgen wird das modem getauscht und ich gehe davon aus, daß meine probleme damit gelöst sind.

ich hoffe, eure probleme werden ebenfalls gelöst und wünsche euch in diesem sinn alles gute.
ed.