Hallo,

wie gut, das es dieses board hier gibt, denn jetzt hat es mich anscheinend auch erwischt und ich hoffe, ihr könnt mir helfen.

Problem:

Vollkommen willlkürlich wurde meine Internetverbindung (AOL DSL) alle ca dreissig sekunden herunter- und wieder heraufgefahren. Dann konnten meine Webbrowser (Opera; IE) keine Seiten mehr finden. Über die AOL software kann ich allerdings noch ins netz. Dauernd wollte offline ein Programm vom "localhost" eine Verbindung aufbauen. Es war die rasautou.exe. Ich weiss allerdings nicht, ob die nur mein windows update machen wollte.

Aktuellstes ereignis: Ein abgewehrter Angriff "Helkern" vor wenigen Minuten.

Hier mein aktuelles Log-file:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1


danke
GUA
[/edit]

@Billunder

Zitat:

Es war die rasautou.exe.

Das dürfte normal sein : http://www.liutilities.com/products/...rary/rasautou/

Zitat:

Aktuellstes ereignis: Ein abgewehrter Angriff "Helkern" vor wenigen Minuten.

Hier gucken : http://forum.kaspersky.com/index.php?showtopic=4234, vielleicht hilft .

Zitat:

Hier mein aktuelles Log-file

...das IMHO normall aussehen würde, wenn du noch die aktiven Links inaktiv machst (egal -ob die gut oder schlecht sind).
AFAIU kommt dein Problem von 2 Antivirus-Programmen, bei denen 2 On-Access-Scanner parallel laufen und einander, als Virus erkennen, und 2 aktiven Firewalls (ja , 2, denn das IDS von KAV ist wohl nichts anderes, als eine DAU-Firewall). Es ist überhaupt ein Wunder, wie du dieses Posting geschafft hast.

Zitat:

Und noch eine Frage an die Gemeinde: Kann ich auch einzelne Festplattenpartitionen formatieren?

Im Fall der Infizierung mit einem Backdoor-Programm muss man mindestes die Systempartition neu formatieren. Oder habe ich deine Frage falsch verstanden?

Sorry für die links, ich dachte, sie wären inaktiv - soll nicht wieder vorkommen.

Vielen Dank, für die Erklärungen, aber wie löse ich das Problem? Wissentlich habe ich nur ein antivirensystem, nämlich KAV. Vorher hatte ich McAfee, sind da noch Reste, die weiterhin aufpassen? Und was ist mit dem Windows-Schutz? Was ist das IDS? Wie kann ich es verändern?

Wie gesagt, das posting geht nur über die AOL-Software oder einen anderen Rechner.

Meine Frage war so gemeint, ob ich beim formatieren automatisch alle Partitionen erneuere, so das alle alten Daten überschrieben werden, oder ob ich auch zB die Partition C: formatieren kann, und bei D: bleibt alles bestehen?

Sorry für meine Fragerei. Bin nicht so ein Profi in diesen Dingen, aber lernfähig...

Ralf

@Billunder

Zitat:

Was ist das IDS?

Intrusion detecting system (RTFM zum KAV oder mein Link zum KAV-Forum durcharbeiten)

Zitat:

Meine Frage war so gemeint, ob ich beim formatieren automatisch alle Partitionen erneuere

Man kann jede Partition unabhängig voneinander formatieren, dafür wurde die Partitionierung der Festplatten entwickelt . Automatisch passiert es, Gott sei dank, nicht: Das liegt in Benutzer-Hand. Alles Weitere kannst du in Cidre's Anleitung nachlesen (verfolge den Link in meiner Signatur).

Zitat:

Sorry für meine Fragerei. Bin nicht so ein Profi in diesen Dingen, aber lernfähig...

Anzahl der richtigen Profis hier im Board is verschwindend gering , also du bist hier richtig.

Ok, es hing wohl daran, ich habe jetzt einfach mal die McAfee Firewall ausgestöpselt.

Trotzdem bitte ich noch einmal darum, einen Blick auf mein Log-File zu werfen, und mir ggf Auffälligkeiten mitzuteilen. So richtig sicher bin ich mir nämlich momentan nicht, das hier wieder alles stimmt. Yahoo als Startseite im IE habe ich zum Beispiel nicht festgelegt. Naja...

Vorab wieder vielen Dank

Ralf

Logfile of HijackThis v1.99.1
Scan saved at 17:04:56, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Programme und Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*h**p://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*h**p://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://www.yahoo.com
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: YahooTaggedBM Class - {65D886A2-7CA7-479B-BB95-14D1EFB7946A} - C:\Programme\Yahoo!\Common\YIeTagBm.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - h**p://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,96/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125433966353
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - h**p://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - h**p://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68A0673C-A69F-4145-8AFF-4E72F6054425}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

@Billunder

Zitat:

Ok, es hing wohl daran, ich habe jetzt einfach mal die McAfee Firewall ausgestöpselt.

McAfee ist aber ganz anderer Meinung:

Zitat:

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

Der Eintrag zeigt, dass Firewall-Dienst läuft, genauso wie andere Dienste von McAfee.

Zitat:

Trotzdem bitte ich noch einmal darum, einen Blick auf mein Log-File zu werfen, und mir ggf Auffälligkeiten mitzuteilen.

Mir fallen nur 2 Antivir-Programme auf.

Ok, kann ich also im Prinzip McAfee komplett deinstallieren? Und nur KAV laufen lassen? Habe ich dann trotzdem sowohl anti-viren-schutz als auch firewall? Sorry, aber ich bin da etwas verwirrt, weil KAV für mich vom Verständnis nur ein anti-viren-programm ist

@Billunder

Zitat:

Ok, kann ich also im Prinzip McAfee komplett deinstallieren?

Wenn du die Antworten nicht liest, weiß ich nicht , wie es mit dir weiter gehen soll.

Zitat:

Und nur KAV laufen lassen? Habe ich dann trotzdem sowohl anti-viren-schutz als auch firewall? Sorry, aber ich bin da etwas verwirrt, weil KAV für mich vom Verständnis nur ein anti-viren-programm ist

Warum hast du die Bedienungsanletung zum KAV nicht durchgearbeitet?

Die Antworten habe ich schon gelesen, kann daraus aber keine Handlungsanweisung erkennen. Und den von dir genannten Link zur KAV-Bedienungsanleitung konnte ich leider auch nicht finden. Aber ich bin ja reumütig, freue mich viel zu sehr über dieses Board und begebe mich weiter auf die Suche. Vielleicht kapiere ich es dann ja.

Schönen Donnerstag noch

Ralf

@Billunder

Zitat:

Die Antworten habe ich schon gelesen, kann daraus aber keine Handlungsanweisung erkennen.

Wie kann man sich noch deutlicher ausdrücken?

Zitat:

Zitat von Rene-gad

AFAIU kommt dein Problem von 2 Antivirus-Programmen, bei denen 2 On-Access-Scanner parallel laufen und einander, als Virus erkennen

Zitat:

Und den von dir genannten Link zur KAV-Bedienungsanleitung konnte ich leider auch nicht finden.

Ich habe nicht die Bedienungsanleitung verlinkt, sondern einen Thread, wo Don Pelotas in Wörtern und Bildern erklärt, wie man IDS ein- oder ausschalten kann. Ich bin davon ausgegagen, dass man vor dem Kauf oder Installation von einem AV-Programm sich mit User Manual vertraut macht. Ich verstehe auch nicht, warum du von mir einen Link erwartest, denn Kaspesky Lab stellt alle Manuals im Web zum Download frei : http://www.kaspersky.com/de/downloads?chapter=146440562