Hallo zusammen

Ich habe folgendes Problem :

Meine Internetverbindung ist saulangsam, was anscheinend daran liegt das immer wieder alle paar Sekunden folgender Eintrag in der Logfile meines Routers (Sitecom/DC-202) erscheint :

Freitag, 1. Oktober 2004 01:16:00 Unrecognized attempt blocked from 84.150.76.222:4394 to 84.150.229.3 TCP:139
Freitag, 1. Oktober 2004 01:16:00 Unrecognized attempt blocked from 84.150.111.139:2353 to 84.150.229.3 TCP:445
Freitag, 1. Oktober 2004 01:16:16 Unrecognized attempt blocked from 84.150.243.119:2846 to 84.150.229.3 TCP:135
Freitag, 1. Oktober 2004 01:16:25 Unrecognized attempt blocked from 84.150.60.232:2357 to 84.150.229.3 TCP:135
Freitag, 1. Oktober 2004 01:16:31 Unrecognized attempt blocked from 200.227.21.90:62659 to 84.150.229.3 UDP:137
Freitag, 1. Oktober 2004 01:16:44 Unrecognized attempt blocked from 84.145.67.208:4219 to 84.150.229.3 TCP:135
Freitag, 1. Oktober 2004 01:16:58 Unrecognized attempt blocked from 84.150.228.101:2713 to 84.150.229.3 TCP:445
Freitag, 1. Oktober 2004 01:17:01 Unrecognized attempt blocked from 84.150.228.101:2713 to 84.150.229.3 TCP:445
Freitag, 1. Oktober 2004 01:17:27 Unrecognized attempt blocked from 84.150.131.148:4252 to 84.150.229.3 TCP:135
Freitag, 1. Oktober 2004 01:17:36 Unrecognized attempt blocked from 168.184.128.220:0 to 84.150.229.3 UDP:1025
Freitag, 1. Oktober 2004 01:17:36 Unrecognized attempt blocked from 168.184.128.220:0 to 84.150.229.3 UDP:1026

Soviel ich weiß hat das zu bedeuten dass der Router ständig von aussen attackiert wird oder die Internetverbindung immer abbricht und sich wieder aufbaut.
Ich habe schon alles probiert um diesen Schei** wegzubekommen ;
Virenscan, PC neu aufgesetzt,usw.. sogar den Router habe ich umgetauscht aber es bringt alles nichts.

Meine Frage nun an euch : Was verdammt noch mal ist denn dass ???
und wie bekomme ich diesen Mist wieder weg ????

Ich hoffe jemand von euch weiß mir zu helfen, bin am verzweifeln

Danke im Voraus für eure Antworten

@rudi70
poste bitte ein HJT logfile

http://www.trojaner-board.de/showthread.php?t=17493

chaosman

Hallo
hier der Logfile
Pc gerade neu aufgesetzt


Logfile of HijackThis v1.99.1
Scan saved at 00:12:11, on 26.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\u\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

@rudi70
lasse diese datei hostserv.exe
hier online überprüfen
http://virusscan.jotti.org/de/
und poste das ergebnis

Pc gerade neu aufgesetzt
sp2 fehlt jedoch
http://www.microsoft.com/windowsxp/d...e/default.mspx

chaosman

oops, die Datei hostserv.exe habe ich gerade mit HijackThis gelöscht.
Und achja SP2 muss ich noch installieren.Werde ich noch machen hat aber mit dem Problem glaube ich nichts zu tun.

Aber ich glaube des Problem liegt nicht am Pc selbst, sondern dass irgendetwas von aussen den Router attackiert.Hab mal n´bissl gegoogelt und irgendwas vonn Sasser gelesen wegen Port 445 ??
Kann des sein ?

Hier nochmal die Logfile

Logfile of HijackThis v1.99.1
Scan saved at 00:49:42, on 26.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\u\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hallo rudi79,

Du hast den Registry-Eintrag gefixt (entfernt), aber die Datei noch lange nicht gelöscht.
Bitte Scanne sie wie chaosman beschrieben hat.

dartus

mmhh, irgendwie finde ich die Datei nicht. Die muss ja irgenwo auf C sein. Habs mit suchen probiert klappt aber nicht. Wie finde ich denn die Datei, damit ich sie hochladen kann ?

Habe bei google gerade "hostserv.exe" eingegeben. Da steht gleich was von
W32/Sdbot-WU, 32/Rbot-AIH , scheint ein Spyware-Wurm zu sein oder ähnliches

Hallo rudi70,

der ist/war bei dir aktiv:
http://www.sophos.de/virusinfo/analyses/w32rbotaih.html

Da der Trojaner sog. Backdoorfunktionalität besitzt, ist IMHO eine Neuinstallation anzuraten, aber diesmal richtig:
http://www.trojaner-board.de/showthread.php?t=12154

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Übel, jetzt hats mich auch erwischt nach so vielenn Jahren, naja.

Gut, dann werde ich denn Rechner noch mal neu aufsetzen, diesmal genau nach eurer Anleitung.

Nochmals vielen Dank für eure Hilfe, wenns nicht klappen sollte meld ich mich wieder