Nun, der Titel klingt nun vielleicht ein wenig verwirrend, deshalb hier gleich meine Erklärung:

Vor einiger zeit, ich hatte gerade meinen Explorer upgedated auf 7.0, begann mein System sich eigenartig zu verhalten. Also es war so, dass ich nach einiger zeit einfach keine Verbindung nach draußen bekam. Das passierte immer so 1-2 Minuten nachdem ich die internet Verbindung aufgebaut habe.

Okay, um das zu verhindern hab ich dann einmal in meiner firewall console nachgesehen was denn da so passiert und herausgefunden dass sich „explorer.exe“ immer wieder mit eigenartigen Adressen verbinden will. Checkip.dyndns.org salenthills.net und so weiter.
Also hab ich den Explorer einfach blockiert, aber das kann ja auch keine Lösung sein.

Von daher hab ich den process explorere gestartet (so etwas wie ein besserer taskmanager) und einmal beobachtet was passiert. Nach etwa 1-2 Minuten nachdem der explorer.exe process gestartet wurde, öffnet sich ein Unterprozess mit dem Namen netsh.exe, und genau ab dem Zeitpunkt versucht sich mein Explorer kontinuierlich raus zu verbinden.

Ich hab dann natürlich nach der datei gesucht und versucht sie zu löschen, ist aber anscheinend eine System Datei, da sie sich immer wieder neu erstellt.

Nebenbei hab ich auch diese Dateien gefunden

Netshell.dl_
Netsh.exe-085cffde (verdächtig)
Netsh.exe
Netshell.dll
P2PNetsh.dll (verdächtig)

Nur will ich hier nicht anfangen groß in den dll Dateien des systems herum zu fuhrwerken, vor allem da sich mein wissen in dem bereich in grenzen hällt.
Meine Frage nun, was kann ich machen? Außer für ewig meine firewall laufen lassen und meinen explorer blockieren?

Hier mein HijakThis Log (die https wurden von mir in ht*ps umgewandelt, also keinen schock bekommen deswegen):

Logfile of HijackThis v1.99.1
Scan saved at 22:14:10, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
O:\AVG\free\avgamsvr.exe
O:\AVG\free\avgupsvc.exe
O:\AVG\free\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
O:\Firewall\OUTPOS~1.0\outpost.exe
O:\AVG\free\avgcc.exe
O:\MP3-PL~1\new\SsAAD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\VIA\RAID\raid_tool.exe
O:\memmaker\memturbo.exe
O:\Proces Explorer\procexp.exe
C:\WINDOWS\explorer.exe
O:\Fire Fox\firefox.exe
O:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://intranet/ipc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - O:\Adobe\reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - O:\TEXTAL~1\APPLIC~1\TAForIE.dll
O4 - HKLM\..\Run: [NetLimiter] O:\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [Outpost Firewall] O:\Firewall\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVG7_CC] O:\AVG\free\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SsAAD.exe] O:\MP3-PL~1\new\SsAAD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MemTurbo.lnk = O:\memmaker\memturbo.exe
O4 - Global Startup: MemTurbo.lnk = O:\memmaker\memturbo.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Check Spelling - res://O:\Spellchecker\ieSpell\ieSpell.dll/SPELLCHECK.HTM
O8 - Extra context menu item: &ieSpell Options - res://O:\Spellchecker\ieSpell\ieSpell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Download with GetRight - O:\Get right\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://O:\OFFICE~1\INSTAL~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - O:\Get right\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - O:\Spellchecker\ieSpell\ieSpell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - O:\Spellchecker\ieSpell\ieSpell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - O:\Spellchecker\ieSpell\ieSpell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - O:\Spellchecker\ieSpell\ieSpell.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - O:\ICQ2003\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - O:\ICQ2003\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - O:\ICQ 5\installed\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - O:\ICQ 5\installed\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - O:\Yahoo\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - O:\Yahoo\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\qobskhkxozyhu.dll' missing
O16 - DPF: {0CBF7EDC-17EC-442C-8AE9-5E804707B6CA} (NeffyClient Class) - ht*p://dist.cdnetworks.co.kr/cdndist/neffy/Neffy.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://static.windupdates.com/cab/WebsiteAccess/ie/bridge-c11.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ht*p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31A8068E-5C15-402F-81C0-04C7D2D66CE6} (NlsComm Component Class) - ht*p://login.hanbiton.com/cab/NLSnSSO.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - ht*p://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - ht*p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.3.102.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - ht*ps://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - ht*p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht*p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132771013953
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - ht*p://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht*p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151227204093
O16 - DPF: {7B41B7AC-3496-4C13-A70F-DE6B60A6A8A8} (MGAME manager Class) - ht*p://www.legendofares.com/download/mgmanagerv1001.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - ht*p://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ht*p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - ht*p://www.systemrequirementslab.com/sysreqlab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40969183-5190-44E1-BC47-A67D8223D6E2}: NameServer = 195.34.133.21 195.34.133.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{A70A5EF8-E9CF-4B2E-99CD-3C0742250741}: NameServer = 195.58.160.194,195.58.161.122
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - O:\AVG\free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - O:\AVG\free\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - O:\AVG\free\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - O:\Firewall\OUTPOS~1.0\outpost.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe




Wenn jemand von euch eine Idee hätte wäre das super. Danke schon mal im vorraus.

Hallo

Zitat:

Wenn jemand von euch eine Idee hätte wäre das super.

Ja aber eine die dir nicht gefallen wird.

Zitat:

Meine Frage nun, was kann ich machen?

um sicher zu sein, dass du wieder Herr über deinen Rechner bist, bleibt eigentlich nur Neuaufsetzen des Systems und anschliessende Absicherung!
Weil, du dir mindestens 2 Schädlinge mit Backdooreigenschaften an Bord geholt hast.
Lies dazu auch --> Kompromittierung unvermeidbar?

MFG

Hehe, ja hast recht, neu aufsetzen klingt weniger gut. Ich hatte eigentlich auf eine einfache methode zur entfernung der Schädlinge gehofft. Hab unter anderem den AVG und Add-Aware einige male mein system überprüfen lassen, aber leider ohne Erfolg.

Gibt es keine möglichkeit herauszufinden was denn nun meiner netsh.exe diesen Befehl gibt sich andauernd nach drausen zu verbinden?

Moin

Zitat:

Hab unter anderem den AVG und Add-Aware einige male mein system überprüfen lassen, aber leider ohne Erfolg.

es wundert nicht
du könntest zahlreiche Antivirenprogramme über deinen Rechner schicken sie machen die eventuellen Veränderungen und Manipulationen am System und Dateien nicht rückgängig.

Zitat:

Gibt es keine möglichkeit herauszufinden was denn nun meiner netsh.exe diesen Befehl gibt sich andauernd nach drausen zu verbinden?

ganz hoch im Kurs stehen diese beiden Einträge hier :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe
und
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
diese beiden sind nur die auf die schnelle gefundenen Schädlinge, was da sonst noch im Sys steckt möchte ich garnicht wissen

MFG

Hm, ntos ist immer noch da? Komisch, den hatte cih doch vor kurzem händisch entefernt. Mal schauen was da schief gelaufen ist.

Danke nochmal für die prompte und hilfreiche antwort.

Hast du vielleicht einen link für mich, in dem einem erklärt wird wie man schadhafte einträge erkennt oder ist das pure erfahrung?

Hallo

als einstieg kann man die automatische Auswertung nutzen
hier --> HijackThis Logfileauswertung
im laufe der Zeit wird man immer seltener zu dieser greifen, weil man auch merkt, dass diese nicht unfehlbar ist
Hier nochmal wie so ein Log aufgebaut ist und was die einzelnen Punkte bedeuten
HijackThis Anleitung - Deutsche Übersetzung - Wie werte ich die Log Dateien aus - Erklärungen dazu
Der Rest ist lesen und lernen, unbekannte und verdächtige Dateien sollten ergoogelt oder besser einer Onlineüberprüfung bei Virustotal und/oder Jotti unterzogen werden.

MFG