Hallo,

irgendwie habe ich geahnt, daß es heute spät wird. Irgendetwas stimmt mit meinem Rechner nicht. Ich habe zur Zeit kein DSL, sondern bin mit dem smartsurfer im netz. da kam dann heute auf dem "infizierten" rechner die meldung, die version sei zu alt und es können nur verbindungen zu web.de hergestellt werden. also habe ich ein update gemacht. irgendwann danach bin ich nicht mehr richtig ins netz gekommen. ich kann mich zwar einwählen und kriege eine verbindung, aber die seiten laden nur kurz und dann gerät alles ins stocken. ich warte und warte, aber es tut sich nichts. beende ich die verbindung, wird die seite auf einmal angezeigt. in den logs zu meiner firewall tauchen dann für diese zeit verbindungen auf, die ich gar nicht besucht habe, z.b. paypal.com oder ähnliches. wie auch? ich habe ja nur auf das laden der seiten gewartet. ich kann einiges in dem firewall log nicht nachvollziehen. irgendwie passt einiges nicht zusammen. stutzig bin ich erst geworden, als ich die seite 1und1.de aufrufen und zu seiten wie fares.com weitergeleitet wurde. da kam der verdacht auf einen hijacker auf. also gleich analyse. kaspersky hat nichts gefunden. adaware nur ein paar tracking-cookies. stinger gar nichts. cwshredder gar nichts. hat jemand vielleicht eine entfernte idee, was das sein könnte? kann es sein, daß jemand von außen auf meinen rechner zugreift, trojaner o.ä.? im moment will ich eigentlich nur ins bett. morgen werde ich mir hier noch einmal genau alles durchlesen, hat bis dahin vielleicht schon einmal jemand eine idee? ich habe im moment echt keine lust, meinen rechner neu aufzuspielen, da ich im moment kein dsl habe und nicht so leicht an die ganzen sachen rankomme.

@Jones
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493


chaosman

Jetzt komm ich auf dem "infizierten" Rechner gar nicht mehr ins Internet. Smartsufer meldet einen unbekannten Fehler bevor das Modem aktiv werden könnte. Deinstallieren und neu installieren hilft nichts. Außerdem meldet das Setup immer eine nicht vorhandene ältere Version. wenn ich das behoben habe, will ich nie wieder was mit InternetExplorer oder SmartSurfer zu tun haben.

Ich bin gestern zwei mal auf andere Seiten umgeleitet worden, als ich 1und1 aufrufen wollte. Im Verlauf ist von diesen Seiten nichts zu finden. Im Firewalllog auch nicht.

Anfragen meiner Firewall für Verbindungen nach außen habe ich nur beim Smartsurfer mit seinen 1000update onlinebroadcasting und einmal für kaspersky zugelassen.

Im Hijackthislog kann ich nichts verdächtiges finden:

Bis auf diese Zeile vom AcrobatReader:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

und der Tatsache, daß Kaspersky mit identischen Diensten da ist.

Logfile of HijackThis v1.99.1
Scan saved at 15:22:59, on 08.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\DOKUME~1\oo\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Die einzigen email-Anhänge, die ich in letzter Zeit geöffnet habe, waren html und text dateien eines freundes, der allerdings suse linux hat. das einzige was mich dabei stutzig gemacht hat, ist, daß die Textdatei, die vermutlich den Plaintext einer Html-mail anzeigen sollte, offensichtlich dynamische Namen hat. Schaue ich mir den Anhang an, heißt es mal AT00034.txt ein anderes mal AT00054 und so weiter.

Im Firewalllog taucht folgendes auf:

7.10.2005 18:29:14 Allowed 10 Outgoing UDP 192.168.152.255 FF-FF-FF-FF-FF-FF 137 192.168.152.1 00-50-56-C0-00-01 137 C:\WINDOWS\system32\ntoskrnl.exe oo OO-YB0CE8EDRI3H Normal 12 07.10.2005 18:27:59 07.10.2005 18:28:13 GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP
07.10.2005 18:29:14 Allowed 10 Incoming UDP 192.168.152.1 00-50-56-C0-00-01 137 192.168.152.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\DRIVERS\ndisuio.sys oo OO-YB0CE8EDRI3H Normal 20 07.10.2005 18:27:59 07.10.2005 18:28:13 Ask all running apps
07.10.2005 18:29:04 Allowed 10 Outgoing UDP 192.168.197.255 FF-FF-FF-FF-FF-FF 137 192.168.197.1 00-50-56-C0-00-08 137 C:\WINDOWS\system32\ntoskrnl.exe oo OO-YB0CE8EDRI3H Normal 12

Außerdem wurden ab und zu mal meine Ports gescannt:

07.10.2005 01:14:38 Port Scan Minor Incoming TCP 213.6.48.214 02-00-20-00-02-00 213.6.206.112 00-00-02-00-00-00 oo OO-YB0CE8EDRI3H Normal 6 07.10.2005 01:13:25 07.10.2005 01:13:36
06.10.2005 18:52:23 Port Scan Minor Incoming TCP 213.6.117.204 04-00-20-00-04-00 213.6.205.227 00-00-04-00-00-00 oo OO-YB0CE8EDRI3H Normal 3 06.10.2005 18:51:13 06.10.2005 18:51:22

OK. Nachdem ich den Smartsufer runtergeschmissen habe und das Modem wieder neu konfiguriert habe, komme ich über diesen Rechner auch wieder ins Netz. Nur, jedesmal, wenn ich den Rechner hochfahre, kommt die Modemkonfiguration wieder durcheinander. Entweder ist gar kein Modem zu finden oder es ist wie grade, daß der Hardwaremanager anfängt zu suchen, weil ein nicht erkanntes Modem der Systemkonfiguration beim Neustart hinzugefügt wurde. Das Problem ist: Ich kann nichts finden. Ich habe alle möglichen Analysetools ausgeführt und scannen lassen. Aber es ist nichts zu finden. Trotzdem muß irgendetwas mit meinem Rechner faul sein. Hat keiner eine Idee, was ich noch machen könnte?