Hi,

habe seit einer Lan Probleme mit so ziemlich allen Programmen außer ICQ (auch das geht manchmal nicht) ins Internet zu kommen.
Außerdem haben sich bei Windows der Anmelde-/Beenden- und der Task-Manager-Dialog vom neuen Design zu diesem alten grauen Design verändert.

Durch netstat habe ich rausgefunden, dass irgendein Programm anscheinend versucht über die Ports 1286 und die folgenden bei "microsoft-ds" eine SYN-flood-Attacke auszulösen.

Leider hab ich den entpsrechenden Prozess noch nicht gefunden. Ad Aware hat zwar drei Wurmsignaturen (des selben Wurms) in 3 Dateinen gefunden, die ich gelöscht/in Quarantäne habe, aber die Probleme bleiben. Antivir findet gar nichts. Vielleicht bekommt ihr ja was über das Log raus oder habt andere Vorschläge.

(Ich weiß, ist ziemlich viel Zeug, falls ihr andere Vorschläge habt, was ich davon nicht brauche, wäre ich euch auch dankbar. )

Logfile of HijackThis v1.99.1
Scan saved at 22:36:41, on 06.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\g3OnlineTimer\g3OnlineTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: g3OnlineTimer.lnk = C:\Programme\g3OnlineTimer\g3OnlineTimer.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe



EDIT: Habe den Prozess nvsvc32.exe beendet, woraufhin die SYN-Anfragen nichtmehr rausgehen und ich normal ins Internet komme. Da ich keine Ahnung habe, ob ein Löschen und eine Treiberneuinstallation genügt, hab ich erstmal alles in der Richtung gelassen und warte auf Antworten.

Hallo,

nvsvc32.exe gehört in der Regel zu Nvida Treibern, sollte also kein Problem darstellen. Es gibt Prozesse mit ähnlichen Namen, die versuchen sich als solcher im System zu tarnen, hast DU Dich nicht verschrieben?

Führe mal den Befehl netstat -bv in der Konsole aus ( Start / Ausführen / cmd [Enter] ).
Pürfe die laufenden Prozesse und schaue, welches diese Anfragen macht.
Ports oberhalb 1023 sind frei verfügbar, daher ist anhand dessen schwer zu sagen, welche Anwendung diesen öffnet.

Weiterhin fehtl Dir SP2, was Deine Probleme wohl herbeigeführt haben kann. Warum ist es nicht installiert?

Gruß

Schrulli

Danke erstmal für die Antwort!

Habe leider oben was falsches geschrieben. Antivir hatte den Wurm gefunden:
Enthält die Signatur des Wurmes WORM/Korgo.W:
system32\ftpupd.exe
system32\uiovyyh.exe
Und eine dritte Datei, die woanders lag, hab ich leider schon gelöscht.

Ad Aware hat folgendes gefunden und gelöscht:

WIN32.TROJAN.DOWNLOADER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[12]=Regkey : PopCapLoader.PopCapLoaderCtrl2
obj[13]=Regkey : PopCapLoader.PopCapLoaderCtrl2.1
obj[14]=Regkey : Software\microsoft\windows\currentversion\moduleusage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll
obj[15]=RegValue : Software\microsoft\windows\currentversion\moduleusage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll "{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}"
obj[16]=RegValue : Software\Microsoft\Windows\CurrentVersion\SharedDLLs "C:\WINDOWS\Downloaded Program Files\popcaploader.dll"
obj[20]=File : c:\/windows/downloaded program files/popcaploader.dll

HiJackThis hatte im ersten Durchlauf noch das gefunden:
O16 - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
Ebenfalls gelöscht.
Da es danach nicht aufgehört hat, hab ich das weggelassen...im Nachhinein wohl nicht ganz so clever von mir..

nvsvc32.exe war die Nvidia-Treiberdatei, das war mir bewusst. Hatte irgendwo gelesen, dass die auch infiziert sein kann.
Nach einem Neustart passiert trotzdem nichts mehr, was ja dafür sprechen würde, dass ich mich da geirrt habe und das ganze vielleicht durch die Löschung der oben genannten Dateien aufgehört hat!?

Bei netstat -bv passiert nichts (Hilfe wird aufgerufen), sicher dass du -bv meinst? Bei mir sind bei netstat nur die Parameter (?) -a, -e, -n, -o, -p, -r und -s möglich, schreibt zumindest die Hilfe.

SP2 wird nachgeholt.

Hallo,

habe mich natürlich verschrieben netstat -r meinte ich.
Mit den neuen Informationen lege ich Dir aber eher einen eScan ans Herz. die Anleitung bitte genau lesen. Hinterher das escan_neu.txt hier posten und nicht wundern, wenn eScan viel ausspuckt, es ist etwas paronoid.

Gruß

Schrulli

Hallo,

habe das mal ausprobiert, nach kurzer Zeit den kompletten Scan aber auf die Nacht verschoben.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 07 23:35:03 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed.
Mon Aug 07 23:35:03 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed.
Mon Aug 07 23:35:03 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Tue Aug 08 01:54:17 2006 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Aug 07 23:35:03 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Mon Aug 07 23:35:03 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Mon Aug 07 23:35:03 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 07 23:35:00 2006 => Total Errors: 3
Mon Aug 07 23:59:41 2006 => Total Errors: 220
Tue Aug 08 04:00:59 2006 => Total Errors: 1
Mon Aug 07 23:35:00 2006 => Time Elapsed: 00:01:06
Mon Aug 07 23:59:41 2006 => Time Elapsed: 00:08:35
Tue Aug 08 04:00:59 2006 => Time Elapsed: 02:25:22
Mon Aug 07 23:35:00 2006 => Total Objects Scanned: 3725
Mon Aug 07 23:59:40 2006 => Total Objects Scanned: 21626
Tue Aug 08 04:00:59 2006 => Total Objects Scanned: 85657
Mon Aug 07 23:35:03 2006 => Virus Database Date: 8/7/2006
Mon Aug 07 23:41:23 2006 => Virus Database Date: 8/7/2006
Mon Aug 07 23:49:10 2006 => Virus Database Date: 8/7/2006
Mon Aug 07 23:59:41 2006 => Virus Database Date: 8/7/2006
Tue Aug 08 00:00:08 2006 => Virus Database Date: 8/7/2006
Tue Aug 08 01:33:11 2006 => Virus Database Date: 8/7/2006
Tue Aug 08 04:00:59 2006 => Virus Database Date: 8/7/2006
Tue Aug 08 06:05:08 2006 => Virus Database Date: 8/7/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Bases_X\LOG\MWAV.LOG
--------------------------------------------------

Sieht ja aus, als ob ich das Problem los wäre oder?
Jetzt muss ich nur noch rausfinden, wie ich den Beenden-Dialog und den Task-Manager wieder im neuen Design hinkriege.