Hallo zusammen,

ich habe seit einigen Tagen ein seltsames Problem, finde aber nicht heraus, was die Ursache ist (ich vermute allerdings ganz stark einen Trojaner oder ähnliches).

Folgendes passiert:
- nachdem Windows 2000 fertig geladen wurde, erscheint das DFÜ-Fenster (automatische wird die Verbindung nicht erstellt)
- bin ich online (und nur dann), wird nach 40 bis 60 Sekunden das gerade aktive Fenster plötzlich inaktiv, was extrem nervend ist (allerdings habe ich den Eindruck, dass minutenlang - wie gerade jetzt - auch mal nichts passiert und das aktive Fenster auch aktiv bleibt)
- bin ich nicht online, kann ich normal arbeiten, nach einiger Zeit erscheint aber wieder das DFÜ-Fenster
- im Protokoll von ZoneAlarm finden sich Warnungen, die so gut wie immer die gleiche Ziel-IP haben (217.224.123.xxx); und auch die Quell-IP beginnt oft mit 214.224.xxx

Seit mehreren Jahren benutze ich ein stets aktuelles Norton Antivirus (Rechner wird regelmäßig gescannt) und auch die Windows-Updates (benutze Windows 2000) werden sofort installiert. Als Software-Firewall benutze ich ZoneAlarm (in der Regel die jeweils aktuellste Version), als Browser ausschließlich Firefox.

In den letzten Tagen habe ich verschiedene (Online-)Virenscanner über mein System drüberlaufen lassen. Es wurden zwar Viren gefunden, aber dabei handelte es sich um uralte infizierte Dateien, die von Norton Antivirus unter Quarantäne gestellt bzw. isoliert wurden. Nach dem Löschen dieser Dateien wurde und wird von den verschiedenen Virenscanner nichts mehr gefunden.
Auch mit HijackThis habe ich mich auseinandergesetzt, blicke da aber leider nicht wirklich durch.

Hat jemand Hinweise oder Tipps, was ich machen könnte, um die Ursache(n) für die Probleme zu finden bzw. die Probleme loszuwerden?

Gruß und besten Dank im Voraus,

Chris


Hier noch das aktuelle hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:23:33, on 18.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
E:\Sicherheit\Norton Antivirus 2005\navapsvc.exe
E:\Sicherheit\Norton Antivirus 2005\IWP\NPFMntor.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\CTHELPER.EXE
E:\Sonstiges\MBM 5.3.7.0\MBM5.EXE
E:\Datensicherung\True Image 9.0\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Sonstiges\iTunes\iTunesHelper.exe
E:\Sicherheit\ZoneAlarm\zlclient.exe
E:\Sicherheit\Trojan Check 6\tcguard.exe
E:\Internet und Mail\Spamihilator 0.9.9.9\spamihilator.exe
E:\Sonstiges\ATnotes\ATnotes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
E:\Internet und Mail\Thunderbird\thunderbird.exe
E:\Internet und Mail\Firefox 2.0\firefox.exe
C:\WINNT\system32\notepad.exe
E:\Sicherheit\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Internet und Mail\Adobe Reader 7.0.5\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Sicherheit\Norton Antivirus 2005\NavShExt.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Sicherheit\Norton Antivirus 2005\NavShExt.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [MBM 5] "E:\Sonstiges\MBM 5.3.7.0\MBM5.EXE"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Datensicherung\True Image 9.0\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Sonstiges\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Sonstiges\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Sicherheit\Trojan Check 6\tcguard.exe
O4 - HKCU\..\Run: [Spamihilator] "E:\Internet und Mail\Spamihilator 0.9.9.9\spamihilator.exe"
O4 - HKCU\..\Run: [ATnotes.exe] E:\Sonstiges\ATnotes\ATnotes.exe
O4 - Startup: Reminder 99.lnk = E:\Sonstiges\Reminder 99\remind99.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Internet und Mail\Adobe Reader 7.0.5\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131571125375
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Sicherheit\Norton Antivirus 2005\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Sicherheit\Norton Antivirus 2005\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Sicherheit\Norton Antivirus 2005\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Hallo zusammen,

mein Problem besteht leider nach wie vor (aktives Fenster wird plötzlich inaktiv). Ich habe allerdings den Eindruck, dass es nicht mehr ganz so oft vorkommt.

In einem anderen Forum habe ich gelesen, dass es inzwischen Malware gibt, die sich vor HijackThis versteckt und somit auch nicht im Logfile erscheint. Abhilfe kann das Umbenennen der Startdatei schaffen.

Nachdem ich das getan hatte, erscheint im Logfile von HijackThis neuerdings folgende Zeile:

##
O17 - HKLM\System\CCS\Services\Tcpip\..\{45C0A20C-5082-44A5-93FC-CA606FF5F3A0}: NameServer = 217.237.150.51 217.237.150.188
##

Wenn ich nicht irre, gehören die IP-Adressen zur Deutschen Telekom.
So richtig anfangen kann ich mit diesem Eintrag allerdings nichts (wenn benötigt, poste ich gern nochmal das komplette HijackThis-Logfile).

Hat eventuell jemand einen Hinweis?

Gruß,

Chris

Hallo zusammen,

ich glaube, ich konnte mein Problem mit den plötzlich inaktiv werdenden Fenstern beheben. Da es vielleicht noch andere interessiert, schreibe ich die Ursache kurz hier rein.

Nach einer erneuten Google-Suche bin ich gestern auf diesen interessanten Thread aufmerksam geworden.

Dort wurde genau das Problem besprochen, welches ich auch hatte.
Verursacher scheint das Programm Spamihilator zu sein: Da die Website (für die Updates) seit einigen Tagen nicht mehr erreichbar ist, klappt auch die Nachfrage nach Updates nicht mehr.

Wie im oben verlinkten Thread erwähnt, habe ich die automatische Updatefunktion deaktiviert. Bis jetzt - der Rechner läuft seit dem ca. 5 Stunden - ist das Problem nicht wieder aufgetreten.

Gruß,

Chris