servus, ich bin der markus und würde mein hjt logfile gerne von euch bewerten lassen. dabei gibt es natürlich auch einen hintergrund - warum

seit etwa 1 1/2 tagen is meine bandbreite auf etwa 5-10k down - u. upload beschränkt.

und keinesfalls ausgelastet! kein anderes programm ist im internet aktiv bis auf zb. mein downloadmanager und/oder eMule - und trotzdem komm ich insgesammt auf keine 10kb/s download. das problem liegt laut anbieter bei mir - kabel sitzen alle und wenns ned besser wird kommt halt der techniker vorbei.

ich habe bereits "DEN" winsockfix benutzt (hilft eigentlich immer).

ok nun zum HijackThis logfile!

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:07:00, on 30.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
u:\Programme\Alwil Software\Avast4\aswUpdSv.exe
u:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
u:\Programme\Alwil Software\Avast4\ashMaiSv.exe
u:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
U:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\CD Bremse\CDBremse.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9AFD91F9-6B03-4D22-A1E1-67D224CB7AB1} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] u:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [SVCH Service] svch32.pif
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CD Bremse] "C:\Programme\CD Bremse\CDBremse.exe" /StartUp
O4 - Startup: Sygate Personal Firewall.lnk = C:\Programme\Sygate\SPF\Smc.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - u:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - u:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - u:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - u:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

sollte ich irgendwas vergessen haben so bitte ich vielmals um entschuldigung!

Hallo!

Zitat:

Zitat von Markus1234

sollte ich irgendwas vergessen haben so bitte ich vielmals um entschuldigung!

Du hast vergessen dein System auf dem aktuellen Stand zu halten →Platform: Windows XP SP1 (WinNT 5.01.2600)

Daraus resultiert dann auch die Kompromittierung deinen Systems durch den Netzwerkwurm Rbot-ASZ
=> Die einzig sichere Lösung um wieder einen vertrauenswürdigen Zustand herzustellen findest du hier beschrieben.

ich habe das aktuelle update-pack von winfuture (oder wie das hieß).

dem sp2 traue ich nicht - kollege hatte im nachhinein NUR probleme damit

achja ... zudem habe ich die gratis-version der sygate firewall + das aktuelle avast antivirus installiert (dsa aber bald abläuft).


ich habe vorhin einen speedtest gemacht und damit wieder NORMALE werte bzgl. download und upload erzielt - dafür musste ich meine firewall kurzzeitig deaktivieren wegen dem pingtest auf deutsche server. anschließend habe ich mein avast geupdated worauf es einen neustart verlangt hat.

als ich gerade beim neustart war, hat avast einen virus im systemverzeichnis erkannt (vielleicht vom speedtest?).
Leider konnte ich den neustart des computers nicht mehr anhalten. Nun scanne ich gerade meine Systempartition mit den aktuellen avast virus-signaturen durch und werde mich anschließend wieder mit den resultaten melden

Du musst mir die Ergebnisse nicht mitteilen du, solltest vielmehr die von mir geposteten Links lesen...

Zitat:

dem sp2 traue ich nicht - kollege hatte im nachhinein NUR probleme damit

Wenn du den Updates für dein OS nicht traust, solltest du dir ein alternatives Betriebssystem anschaffen.

Zitat:

achja ... zudem habe ich die gratis-version der sygate firewall + das aktuelle avast antivirus installiert (dsa aber bald abläuft).

Und weiter? Das kann ich auch an deinem Log erkennen und was hat es genützt? Genau, "0,garnichts"

Weitere Kommentare erspare ich mir...

das von mir verwendete update beinhaltet sämtliche sp2 fixes - eben alles was microsoft rausgegeben hatte und das ohne das system wesentlich zu modifizieren. mit diesen updates hatte ich eigentlich niemals probleme ....

ich werde nach dem avast systemtest noch dieses escan ausprobieren.

wenns dann immer noch ned passt setz' ich windows neu auf.


danke trotzdem für deine hilfe und deine zeit

Wie willst du erkennen, dass etwas nicht mehr passt? Weil ein bzw. mehrere AV-Programme nicht mehr melden?
Dies wäre ein Trugschluss!
Lektüre zum Thema Virenscanner → http://oschad.de/wiki/index.php/Virenscanner
Lektüre zum Thema "Bots" →http://derbilk.de/malware/2_neuaufsetzen.php

gibt es eine antwort auf deine frage bei der du mich nicht zurück-attackierst?

ich denke interessanter wäre es folgende seite auf trojaner zu überprüfen ...
Evtl. wurde sie von außen befallen da viele viele Leute diesen Service nutzen:

h**p://www.speedmeter.nl/speedmeter.de/TestSuite/TestController.asp

wie gesagt bekam ich erst nach dem deaktivieren der firewall die viren-warnung.

den "trojaner" um genauer darauf einzugehen habe ich nun entfernt - systemwiederherstellung deaktiviert und auch mit escan im abgesicherten modus alles gecheckt. Avast sowie escan finden nun nichts mehr.
Da man ja nie wissen kann, habe ich mal eben HijackThis benutzt um mir hier eine professionelle meinung einzuholen.

Wie gesagt danke ich dir trotzdem - und solange alles läuft, läuft es eben

Ich kann dir sagen woran es liget, dass dein System befallen wurde. Es ist nicht ausreichend gepatcht. Das reicht schon:

Zitat:

W32/Rbot-ASZ may spread to remote network shares with weak passwords or by exploiting any of the following system vulnerabilities: RPC-DCOM (MS04-012), PNP (MS05-039), ASN.1 (MS04-007)

Weiter Infos: http://www.trojaner-board.de/showpos...90&postcount=8

sorry ich habs verpasst mich gestern nochmal zu melden

Ich denke ich bin auch trotz einiger Lücken noch halbwegs sicher.
1.) Dank meiner Firewall kann ich schonmal die lästigen Scriptkiddies fernhalten kann (wenn profis irgendwo rein wollen, kommen die auch rein ....)
2.) Mein Antiviren-Programm nimmt sofort jegliche Viren-Aktivitäten wahr.

Was ich allerdings höchst komisch finde .... Ich hatte die Firewall nur für 60 Sekunden aus und schon nen Virus drauf .... Da ich Neustarten musste hatte ich auch keine Chance ihn sofort zu entfernen, sondern musste es im Abgesicherten Modus erledigen (was heißt musste ......).

Viren, die sich also einfach nur direkt verbreiten werden von meiner Firewall geblockt - ne andere Erklärung kann ich atm nicht abliefern :P

Danke für deine Hilfe Haui45. Guten Rutsch!

Zitat:

2.) Mein Antiviren-Programm nimmt sofort jegliche Viren-Aktivitäten wahr.

Tut mir leid wenn ich dir sagen muss das du dich da irrst.
Dein AVP KANN die aller neuesten Viren garnicht erkennen.
Bitte glaubt net immer alle was euch in der Werbung vorgegaukelt wird.

hallo,

das siehst du etwas falsch.
wenn dein system ordentlich gepatcht und abgesichert ist mit antiviren programm kannst du die firewall sogar komplett ausschalten.

Wenn das System richtig gewartet wird ist beides überflüssig, PFW und Virenscanner.

das glaube ich weniger .... natürlich ist es allgemein viel sicherer aber trotzdem bleibt die größte gefahr ... der benutzer selbst

ich werd mir die tage mal sp2 installieren