Hallo Zusammen,

habe seit einer Woche Probleme mit dem Netzwerk ,
immer wieder schaltet sich für ein Bruchteil einer Sekunde
die Lanverbindung aus, dannach fliege ich aus dem Internet
und es dauert 2 Minuten bis ich mich wieder einloggen kann
und er das Kennwort überträgt, es erfolgt sporadisch und ohne Muster.

Benutze ein Linksys Router, Antivir mit täglichem Update und dachte
das ich einiger maßen sicher wäre, jetzt beschleicht mich das Gefühl
das mein System nicht sauber ist, ich hoffe ihr könnt mir ein wenig weiter helfen.

Anbei die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:22:06, on 07.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
D:\PROGRA~1\NOKIA6~1\NOKIAP~1\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Media Connect 2\WMCCFG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
D:\Programme\Easy Eraser\Easy Eraser V.2.4\Easy Eraser V.2.4\EasyEraserV.2.4.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\DrvMon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\NOKIA6~1\NOKIAP~1\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EasyEraser] "D:\Programme\Easy Eraser\Easy Eraser V.2.4\Easy Eraser V.2.4\EasyEraserV.2.4.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TaskManager.lnk = C:\WINDOWS\system32\taskmgr.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/129bd21fc12123dbcb15/netzip/RdxIE601_de.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - h**p://f010.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF5AA769-FACA-4C59-910D-26E8A016B449}: NameServer = 217.237.151.161 217.237.150.188
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hallo, ich kann deinem log erst mal nichts Auffälliges entnehmen. Aber logs sind ja nur die halbe Wahrheit. Spaßenshalber kannst du ja noch mal mit Blacklight und ewido (onlinescanner) scannen und beide logs posten. Tippe aber eher auf ein Netzwerkproblem. Gruß

Hallo Ordell,

ewido hat tatsächlich was gefunden,
habe es mal bei Jottis gescannt:

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PECOMPACT, VCLZIP

AntiVir Keine Viren gefunden
ArcaVir Trojan.Sms-flooder.Vb.G gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Dropper.Small-88 gefunden
Dr.Web BackDoor.Abacab.9 gefunden
F-Prot Antivirus W32/Backdoor.HFX gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Win32/Revell.110 gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Backdoor.Win32.Revell.110 gefunden


die Datei liegt schon eine Weile auf dem Rechner ,
so weit ich mich erinnern kann habe das Programm nicht aufgerufen,
lasse es mal von ewido entfernen.

Soll ich noch was tun ?

Grüße face

Du hast die Anleitung nicht richtig ausgeführt: Erst BL und dann Ewido
Mache einen escan: http://www.trojaner-board.de/24192-e...en-ab-7-x.html

Zitat:

Zitat von felix1

Du hast die Anleitung nicht richtig ausgeführt: Erst BL und dann Ewido
Mache einen escan: http://www.trojaner-board.de/24192-e...en-ab-7-x.html

Hi Felix,

kam mit Blacklight nicht zurecht sonst hätte ich es so gemacht.

Das Ergebniss von eScan:

Fri Nov 10 23:03:22 2006 => File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.

Fri Nov 10 22:18:16 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Fri Nov 10 22:18:16 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Fri Nov 10 22:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\links\ebay.url
Fri Nov 10 22:18:26 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Fri Nov 10 22:18:28 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\1.dat
Fri Nov 10 22:18:28 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.

Fri Nov 10 22:18:28 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\2.dat
Fri Nov 10 22:18:28 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.

Fri Nov 10 22:18:28 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\3.dat
Fri Nov 10 22:18:28 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.

Fri Nov 10 22:18:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\1.dat
Fri Nov 10 22:18:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.

Fri Nov 10 22:18:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\2.dat
Fri Nov 10 22:18:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.

Fri Nov 10 22:18:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\3.dat
Fri Nov 10 22:18:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.

Fri Nov 10 22:27:33 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*


hmmm ......

Hallo,

Zitat:

Zitat von northface

ewido hat tatsächlich was gefunden

Was hat ewido wo gefunden? Solltest du nicht das log von ewido posten?

Zitat:

kam mit Blacklight nicht zurecht

Wo liegt das Problem?

zu escan:

Zitat:

Fri Nov 10 22:18:16 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.

Es ist gut möglich, dass es sich um einen Fehlalarm oder um Registryreste von adware handelt. Scanne mal mit Spybot SD (updaten!) und poste bitte die Funde.

Prüfe

Zitat:

C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\1.dat
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\2.dat
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rene_xda my documents\uacontents\mms ua\3.dat

bei virustotal.com und poste bitte die vollständige Auswertung.

Was macht die Internetverbindung? Gruß

HI Ordell,

die .dat Dateien sind von meinem PocketPC,
habe sie dennoch durchlaufen lassen:

kein Virus gefunden:

File size: 9227 bytes
MD5: 3e31cfe69f14e4240e42f6832330bacb
SHA1: eb6861a98ff94375733b9ced348c49adb55aa992

File size: 24818 bytes
MD5: 00e7db62e5f527e4276d190f4da864c2
SHA1: cf887b887d2b4d96eaf8e13f453d152e31950cb0

File size: 62058 bytes
MD5: 448cd4fe883227914a2e79de32c2ad2c
SHA1: 1a1aeed80b74e4b756bed1dd31876476f646373f


den Spybot SD muss ich noch drüber laufen lassen.

Am Netzwerk war der Router def. wußte nich das man sich so freuen kann über ein def. Teil

Beim Blacklight stelle ich mich zu doof an , habe keine Ahnung was auf der HP anklicken soll

Ewido hat eine alte Datei (2005) gefunden die ich mal runter geladen habe aber nie angeklickt wurde auch gleich entfernt, war ein TR.
Das Log habe ich dir am 10.11.2006 20:16 gepostet ???

Danke noch für die Unterstützung.

Cu

Zitat:

Zitat von Northface

Ewido hat eine alte Datei (2005) gefunden die ich mal runter geladen habe aber nie angeklickt

Wenn du dir sicher bist, sollte es kein Problem sein. Das log vom 10.11.2006 20:16 stammt von Jotti, nicht von ewido.

Blacklight: Für dich der deeplink , glaube aber nicht, dass was gefunden wird.

Funde von Spybot SD bitte nur posten, wenn es keine cookies sind. Gruß

RealDownloadExpress: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE

RealDownloadExpress: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE.1

RealDownloadExpress: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{56336BCB-3D8A-11d6-A00B-0050DA18DE71}

RealDownloadExpress: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{FDF5CDE5-17A6-40B3-A544-A8527AE8B243}

Microsoft.WindowsSecurityCenter.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Microsoft.WindowsSecurityCenter.FirewallBypass: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\explore r.exe

Microsoft.WindowsSecurityCenter.FirewallBypass: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\explore r.exe

Hallo Ordell,

jetzt aber ;-)

Danke noch für den Link :-)

Müsste alles OK sein , oder ?

Grüße

Die Einträge kannst/solltest du mit Spybot SD fixen, falls nicht schon geschehen. Was ist mit Blacklight? Nix gefunden oder nicht gestartet?
Ansonsten sollte es das gewesen sein. Gruß

Zitat:

Zitat von ordell1234

Die Einträge kannst/solltest du mit Spybot SD fixen, falls nicht schon geschehen. Was ist mit Blacklight? Nix gefunden oder nicht gestartet?
Ansonsten sollte es das gewesen sein. Gruß

der Blacklight hat nichts gefunden,
die Einträge sind noch nicht gefixt.

THX für die Mühe

Cu