Hallo zusammen,

mein Internet ist neuerdings "langsamer" und bricht in unregelmässigen Abständen ab.
Ich habe Alice LAN über Sinus 154 DSL Basic SE Router.
Netzwerkkarte wird nicht abgeschaltet um Energie zu sparen.

Lässt sich evtl eine Aussage aus dem HiJack log file treffen?

Logfile of HijackThis v1.99.1
Scan saved at 22:08:56, on 03.07.2007

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\mt\Eigene Dateien\Software\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167519502870
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: AEGIS Client (SVC8021X) - Meetinghouse Data Communications - C:\WINDOWS\system32\svc8021x.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Vielen Dank für Eure Hilfe im Voraus.

Grüße


TechM

p.s. ist es möglich in einen dialer reinzulaufen wenn einen DSL Anschluss für Internet aber einen analogen Anschluss für das Telefon hat? Ich denke es ist zwar unabhängig voneinander aber nachfragen möchte ich dennoch.

Danke.

Aus Deinem Log lässt sich nichts erkennen. Wie schon so oft soll das aber kein Hinweis sein. Mache mal bitte einen e-scan nach folgender Anleitung und poste das Ergebnis nach beschriebener Anleitung:
http://www.trojaner-board.de/38066-e...ightymarc.html

Wegen des Dialers:
Eigentlich nicht, falls außer der DSL-Verbindung keine weitere Verbindung zum Telefonnetz besteht. Sollte aber zusätzlich ein Modem oder ein ISDN-Adapter an Deinem Rechner angeschlossen sein, dann besteht die Möglichkeit, dass sich ein Dialer-Programm bei Dir einnisten könnte.

Hallo,

vielen Dank erstmal.

Ich habe deinen Rat befolgt habe aber folgendes Problem.

Beim e-scan im abgesicherten Modus schaltet sich mein Rechner nach einiger Zeit von selbst aus. Ich denke er läuft zu heiss, würde mich aber wundern wenn das so ne Schrottmühle wäre, die nicht mal so nen Scan schafft. Ich habe den Rechner auch nicht in den Backofen gepackt.

Nach ca. 30 Minuten Suche und drei gefunden Viren, wobei sich zwei davon auf Gamers_IRC beziehen, was sich selbst als "not-a-virus" bezeichnet bricht das Ganze ohne geregelten Shutdown ab. Beim zweiten anlauf habe ich das log zwischengespeichert, bekomme aber folgende Fehlermeldung beim Ausführen der find.bat.


[XXXX____________________]

Copying mwav.log ...

Fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden.

Und hier das was mir Angst macht (aus der mwav.log kopiert):
Wed Jul 04 19:57:15 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Darüber hinaus noch zig mal, dass etwas auf ungültige Objekte verweist.


Puuh, was jemand Rat?


Wie immer geht der Dank im Voraus.


Grüße



TechM

Wo wurde die "Possible Fujacks-type Worm" gefunden? Schau mal nach ob Du diese Datei finden kannst, sie kann auch auf einer CD/DVD oder einem Netzwerklaufwerk liegen, je nach dem wo diese liegt. Falls gefunden die Datei mal bei VirusTotal scannen lassen. Ist aber auch ein typischer Fehlalarm des Escan.
Lösch das Programm Gamers IRC komplett.
Lade Dir folgende Programme runter :
Download RegSeeker (Bereinigt Registry-Einträge)
Die Seite von Spybot-S&D! (Spybot)
Ad-aware - Download (adaware)
Geh in den abgesicherten Modus bei deaktivierter Systemherstellung und lass alle drei durchlaufen und löschen was diese finden.
Anschl. normal hochbooten, alle drei Progs wieder scannen lassen, alles löschen.

Dein Filesharing prog Bittorrent ist zwar legal, aber nicht koscher. Man kann sich darüber leicht was einfangen.

Danke.

Ich werde mir das zu Herzen nehmen und berichten.


Grüße

TechM

Hallo nochmal,

also ich habe mir die zwei (ad-aware download hat gestern nicht funktioniert, hole ich nach) gezogen und im abgesicherten durchgeführt. alles von spybot gelöscht, alles von regseeker gelöscht.
der "offending key" - laut escan - blieb ohne Einfluss. das ganze nochmal im normalmodus, wobei spybot nix fand und regseeker schon wieder über 300 hits.
da mein AntiVirus (Sophos) nach der Aktion nicht mehr ging und ich nicht nochmal was schrotten wollte (oder SOLLTE es geschrottet werden?), informiere ich mich erst bevor ich weiterhin wahllos lösche.

Ich gebe zu, ich ziehe es etwas halbherzig durch. Aber die Informationsflut ist einfach extrem. Werde versuchen mich zu bemühen.

Ok, also Sophos neu gezogen, installiert und update. Sofort kam die Meldung "Virus gefunden":
1. Mal/xxx (habe vergessen es mir aufzuschreiben) als MDownload.exe
2. nochmals Mal/xxx als Download.exe
--> beide gelöscht
3. Istbar als Anwendung --> bereinigt

Heute die svc2kxp.cmd durchgeführt (erschreckend das Ganze)

Endlich die Windows Updates durchgeführt! Waren schon lange überfällig.

Als nächstes dann nochmals escan und diesen offending Reg-key untersuchen.

Schließlich von ZoneAlarm auf Windows Firewall umsteigen und Eingeschränktes Konto zum Surfen errichten.

Hmm, fällt euch noch was ein? Ach ja und dazu lesen, lesen, lesen...


Als krönenden Abschluss das Ganze noch mit den Rechnern meiner Freundin und ihrer Schwester (haben beide weder AntiVirus noch Updates).


Der größte Spass aber - ich würde ihn hier als wahnsinnig wahnsinnigen Spass bezeichnen - kommt aber erst, wenn ich mich um meinen Desktop zu Hause kümmer (bin derzeit auswärts mit Notebook), der seit 2001 keine Update (ja nicht mal SP 1) noch sonst was bekommen hat. Herrlich.
Ich nenne ich deshalb schlicht und einfach, schon fast etwas neckend Scheunentor!