Hallo, ich bin neu hier, habe mich ein bisschen durch das Board gelesen und möchte euch nun gerne zu meinem Problem befragen, was ich in dieser Form hier noch nicht gefunden habe. Es besteht schon länger und es fängt langsam an, grässlich zu nerven. Und zwar:

Solange ich mich nicht ins Internet einwähle, funktioniert mein PC tadellos, aber spätestens fünf Minuten nach der Einwahl, treten folgende Symptome auf:
- Outlook Express fragt die Mails nicht mehr ab, drückt man manuell auf den SENDEN/EMPFANGEN-Knopf reagiert die Software auf garnichts mehr und lässt sich nur noch schließen (dasselbe, wenn man eine Mail schreibt und auf SENDEN geht).
- Alle Programme, die irgendwann ein Explorerfenster öffnen (bspw. wenn man eine Datei öffnen oder speichern will), bleiben bei diesem Vorgang hängen.. wenn man etwa eine halbe Stunde wartet, öffnet sich dann das Fenster noch.
- Öffne ich den Explorer, bleibt das Fenster auch ewiglange stehen, außer ich öffne einen Ordner, der auf dem Desktop erscheint und gebe dort in die Adresseleiste den Pfad zum gewünschten Ordner ein - das geht sofort.
- Wenn ich STRG+ALT+ENTF drücke, erscheint in der Taskleiste ein grünes Viereck (=Systemauslastung 100%), aber der Task-Manager erscheint nicht. Auch nicht, wenn ich auf das Viereck klicke.
- Auch der Mixer (sndvol32.exe) reagiert beim Klick auf sein Tray-Symbol erst nach etwa einer halben Stunde.
- Bei Websites, die ein bisschen aufwendiger sind/viel Werbung beinhalten/Pop-Up-Fenster öffnen hängt sich Firefox auf
- Wenn ich den PC runterfahren, mich abmelden oder neustarten will, bleibt er entweder beim "Abmelden..."- oder beim "Daten werden gespeichert"-Bildschirm hängen.

All das aber immer erst nach ein paar Minuten im Internet.. ansonsten macht der Rechner keine Probleme. Allerdings glaube ich, dass ihm das mehrfach tägliche resetten nicht gut tut.

Ich habe den AntiVir Guard von free-av.de - regelmäßig aktualisiert - drauf und die Kerio Personal Firewall. Ich habe das System mit Adaware durchsucht - er hat nur ein paar Alexa-Einträge und OSD-Exploits gefunden, die ich dann gelöscht habe.
Hijackthis sagt folgendes:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:27:16, on 19.02.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Hotkeycontrol XP\hkcontrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\whey\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Hotkeycontrol] C:\Programme\Hotkeycontrol XP\hkcontrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD7F38E-03F7-493C-9371-C5C84C20E68B}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

hkcontrol.exe ist ein Freeware-Hotkey-Programm.

Dann hab ich es mit dem hier im Board empfohlenem eScan versucht,
folgendes hat es ausgespuckt:

Zitat:

File C:\WINDOWS\System32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
File C:\Dokumente und Einstellungen\whey\Lokale Einstellungen\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
File D:\Videos\Patches-Treiber\CreativeLiveDrvUni-PackENG.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
File D:\Videos\Patches-Treiber\DivX5Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Videos\Patches-Treiber\themexppatch_2.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Videos\Tools\Trainer Maker Kit.rar tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.

Wird alles als not-virus bezeichnet und ist - meiner Meinung nach - harmlos.
Die Datei mit dem seltsamen Namen killapps.exe ist von meiner Soundkarte (Creative) und - soweit ich das in google nachgelesen habe - normal.

---

Mein System:
Windows XP Professional ServicePack 1
AMD Duron, 1,2 GHz, 256 MB RAM
GeForce 4 440 MX
Soundblaster Live 5.1 Player
TEAC CD-Brenner
LG DVD-Laufwerk
Toshiba DVD-Brenner

---

Ich habe drei Windows-Sicherheitsupdates installiert:
WindowsXP-KB823980-x86-DEU.exe
WindowsXP-KB824146-x86-DEU.exe
WindowsXP-KB835732-x86-DEU.EXE

Mir ist klar, dass das nicht reicht, aber ich blicke auf der Microsoft-Seite absolut nicht durch, was ich da noch installieren muss und was nicht.
WindowsUpdate kann ich nicht nutzen.
Wenn mir jemand erklären oder raten kann, welche Sicherheitsupdates dringend von Nöten sind, wäre ich ihm sehr dankbar.

Auch sonst bin ich allen dankbar, die mir bei meinem Problem weiterhelfen können.

Ach so, noch was: Das System wurde vor wenigen Tagen - wegen den selben Problemen - erst neu aufgesetzt. Nur sobald ich wieder im Internet war, hatte ich das selbe Problem wieder.

Also,
ich vermute mal, dein Prob liegt daran:
CTHELPER.EXE
So gut du es auch brauchen kannst, sorgt dieser Prozess oftmals für 100% CPU-Auslastung.
Würde ich deinstallieren, dann sollte Dein REchner wieder flotter sein.
Außerdem mal nach dingens.org konfigurieren und auf SP2 updaten (SP2 gibt´s auch auf CD).
cacatoa

@Vince

Zitat:

Solange ich mich nicht ins Internet einwähle,

Wie kommst du ins Internet? (DFÜ, ISDN, ADSL???)

Zitat:

Outlook Express fragt die Mails nicht mehr ab

Freue dich und verwende einen anständigen Mail-Client: Eudora, Thunderbird, Pegasus...

Zitat:

Wird alles als not-virus bezeichnet und ist - meiner Meinung nach - harmlos.

Was als not-a-virus definiert wurde, ist nicht unbedingt harmlos.

Zitat:

Mir ist klar, dass das nicht reicht, aber ich blicke auf der Microsoft-Seite absolut nicht durch, was ich da noch installieren muss und was nicht.

SP2 muss installiert werden. CD kann ban bei MS-Deutschland kostenlos bestellen.

Zitat:

WindowsUpdate kann ich nicht nutzen.

Warum? Nur I-Net-Verbindung wegen?

Zitat:

Wenn mir jemand erklären oder raten kann, welche Sicherheitsupdates dringend von Nöten sind, wäre ich ihm sehr dankbar.

s. oben.

Zitat:

Das System wurde vor wenigen Tagen - wegen den selben Problemen - erst neu aufgesetzt. Nur sobald ich wieder im Internet war, hatte ich das selbe Problem wieder.

Ohne neu zu formatieren?
Versuche mal deine Firewall abzuschalten, (es passiert nix, glaub mir.), und schau mal, wie lange wird die I-Net-Verbindung halten.
Danach poste hier oder über IM.
HJT log sieht sauber aus und die kleine Menge Malware konnte zu diesem Effekt nicht führen.

Zitat:

Zitat von Rene-gad

@Vince

Wie kommst du ins Internet? (DFÜ, ISDN, ADSL???)
>>DFÜ mit T-DSL Business 2000, Flatrate

Freue dich und verwende einen anständigen Mail-Client: Eudora, Thunderbird, Pegasus...
>> Hab Thunderbird mal ausprobiert, hat mich aber genervt, dass der alle Mailkonten einzeln sortiert, ich möchte nur einen Posteingang haben (frage insgesamt 4 Postfächer ab). Vielleicht hab ich aber auch einfach nicht die richtige Einstellung gefunden. Geht das denn?

Was als not-a-virus definiert wurde, ist nicht unbedingt harmlos.
>> Nein, das meinte ich auch so nicht. Ich meinte, dass die Dateien, die hier als not-a-virus bezeichnet wurden, meiner Meinung nach harmlos sind (DivX-Installation, Trainer Maker Kit (Software, die ich schon lange benutze) usw. kann man natürlich nie wissen, is aber alles von den offiziellen Seiten der jeweiligen Software.

SP2 muss installiert werden. CD kann ban bei MS-Deutschland kostenlos bestellen.
>> Muss das sein? Hieß es nicht überall, dass dann die Hälfte der Software nicht mehr läuft?

Warum? Nur I-Net-Verbindung wegen?
>> Mir ist ein wenig unwohl, Microsoft freien Zugang zu meinem System zu geben.

s. oben.

Ohne neu zu formatieren?
>> Nein, die Partition mit Windows wurde komplett formatiert (NTSF).. allerdings nicht die anderen zwei Partitionen, da ich nicht wüsste, wo ich 70 GB hinsichern soll...

Versuche mal deine Firewall abzuschalten, (es passiert nix, glaub mir.)
>> Na gut, ich kanns probieren. Sicher, dass da nix passiert? Ja, du bist dir sicher, sonst würdest du es nicht schreiben... *g*

, und schau mal, wie lange wird die I-Net-Verbindung halten.
>> Wie? Die Internetverbindung hält normalerweise 24 Stunden lang, nur das System nicht...

Danach poste hier oder über IM.
HJT log sieht sauber aus und die kleine Menge Malware konnte zu diesem Effekt nicht führen.

Okay, ich schau mal, was passiert, wenn ich die Firewall deaktiviere.

Zitat:

Zitat von cacatoa

Also,
ich vermute mal, dein Prob liegt daran:
CTHELPER.EXE
So gut du es auch brauchen kannst, sorgt dieser Prozess oftmals für 100% CPU-Auslastung.
Würde ich deinstallieren, dann sollte Dein REchner wieder flotter sein.
Außerdem mal nach dingens.org konfigurieren und auf SP2 updaten (SP2 gibt´s auch auf CD).
cacatoa

Also, cthelper einfach ausm Autostart rausnehmen? Gut, probier ich mal aus.
Und das mit Dingens auch, danke!

Hmm.. also seitdem ich das mit dem Windows-Dienste abschalten gemacht habe, braucht der PC Ewigkeiten, bis er nach dem Reboot bereit ist (also der Desktop ist schon da, aber bis er vollständig auf meine Eingaben reagiert, die Firewall und die Antivirensoftware aktiv ist, vergehen mindestens 3 Minuten).

Außerdem ist plötzlich ein neuer Eintrag in meinem Systemstart.. und zwar eine Datei namens win32ttb.exe - laut eurem Board ein Virus. Das ganze zweimal, einmal als Registry-Eintrag und einmal als Verweis auf das Windows\System32-Verzeichnis. Hab ich gleich mal im Systemstart deaktiviert, neugestartet und jetzt ist nur noch der Registry-Eintrag im Systemstart drin, aber deaktiviert.

Zitat:

und zwar eine Datei namens win32ttb.exe

wenn die wirklich drin ist sieht es warscheinlich nicht gut aus

Zitat:

File C:\WINDOWS\system32\win32ttb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken

.
lasse die datei gleichmal hier scannen. Das Ergebnis 10 Zeilen bitte rein posten.

Ist infiziert!

Das Ergebnis

Zitat:

File: win32ttb.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
PE_PATCH, MEWBUNDLE, MEW

AntiVir
No viruses found (0.42 seconds taken)
Avast
No viruses found (1.53 seconds taken)
AVG Antivirus
IRC/BackDoor.SdBot.126.BV (0.45 seconds taken)
BitDefender
Backdoor.RBot.F3403B52 (0.52 seconds taken)
ClamAV
No viruses found (1.18 seconds taken)
Dr.Web
No viruses found (1.10 seconds taken)
F-Prot Antivirus
W32/Spybot.FPD (0.09 seconds taken)
Fortinet
No viruses found (0.41 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (1.05 seconds taken)
mks_vir
Trojan.Rbot.Gen (0.21 seconds taken)
NOD32
probably unknown NewHeur_PE (probable variant) (1.92 seconds taken)
Norman Virus Control
W32/Spybot.DWT (0.19 seconds taken)

Ich bin verwirrt. Woher kommt diese Datei auf einmal? Als ich diesen Thread hier eröffnet habe (also vor ein paar Stunden), war sie evtl. schon auf meinem System, aber definitiv nicht in meinem Systemstart.

Also, ich hab die Datei jetzt gelöscht, muss ich da sonst noch irgendwas machen oder ist der jetzt weg?

Ich möcht mich ganz herzlich bei cacatoa bedanken, da seitdem ich dieses Tool benutzt habe und die cthelper ausgeschaltet hab, hängt der PC im Internet nicht mehr - das is ja total geil :aplaus:

Diese Auswertung der win32ttb.exe hat mich jetzt nen bisschen verunsichert, da steht, dass AntiVir es nicht gefunden hat und bei mir hat es ja auch nicht Alarm geschlagen. Welches kostenlose Virenprogramm ist eurer Meinung nach empfehlenswerter?

Nochmal vielen Dank!

Zitat:

Also, ich hab die Datei jetzt gelöscht, muss ich da sonst noch irgendwas machen oder ist der jetzt weg?

Es tut mir leid, aber mit einfach löschen ist das nicht getan. So ein Virus hat schlechte Eigenschaften:
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
dafür gibt es leider nur Neuaufsetzen um wieder sicher unterwegs zu sein
Eine Anleitung
findest Du unter diesem Link.
Lese auch mal über Kompromittierung

Oh je... schon wieder *g*.. naja, dann werd ich das mal demnächst machen.
Danke.

Sind automatisch alle anderen Benutzerkonten auch betroffen?

Zitat:

Sind automatisch alle anderen Benutzerkonten auch betroffen?

wenn sie auf der gleichen Partion (und das glaube ich) liegen dann ja

Ja, liegen sie ..

Grr.. Scheisse..

@Vince]

Zitat:

Sind automatisch alle anderen Benutzerkonten auch betroffen?

Was verstehst du unter "Benutzerkonten"? Inhalt des Ordners %systemdisk%\Dokumente und Einstellungen\Username\... mit Unterverzeichissen kann man ruhig an einem beliebigen Ort speichern, danach die Inhalte mit Vorsicht wiederherstellen: es ist doch nicht dei Welt!!!.

Nee, meinte, ob man, wenn man sich unter nem anderen, schon vorhandenen Benutzernamen einloggt, die Probleme vielleicht los is *g*.. okay, das war naiv..