Hallo, ihr (so hoffe ich ) Spezialisten !
Mein Problem :
Gericom Notebook, P4m, 1,4Ghz, 2jahre alt.
Neue Festplatte eingebaut, Windows XP Home von Recovery installiert, SP1 cd aufgespielt, Updates runtergeladen und installiert, Standartsoftware installiert
Netzzugang mit AT-AR215 an USB, Speedmanager von Telecom installiert.
AntiVir personal Edition installiert, keine Viren etc.
nach der Einwahl zeigt der Speedmanager ständig wechselnden Verkehr an, vor allem upload in ungewohntem Umfang.
So habe ich z.B. in einer Stunde einen Download von 5 Mbyte und einen Upload von 12 Mbyte.
Wenn ich (über das gleiche Modem) mit einem anderen Rechner (XP2100+, Windows XP prof.) ins Netz gehe, so habe ich bei einem Download von 5 Mbyte nur einen Upload von ca. 0,5 MByte .
Was Schickt mein Notebook den ins Netz ?
Seitenaufbau ist auf dem Notebook deutich langsamer. Das war früher nicht so.
Kann mir da jemand einen Tip geben ?

Hilfreich könnte für Dich das Tool "Active Ports" sein. Hier wird Dir angezeigt, welches Programm auf welchem Port ins Netz will.
Link: http://www.protect-me.com/freeware.html

Im übrigen wäre ein HiJacKThis-Log hier u. U. auch hilfreich.
Anleitung hier: http://www.trojaner-board.de/51130-a...ijackthis.html



Gruß!
MyThinkTank

Und beachte bitte diesen Thread:
http://www.trojaner-board.com/showthread.php?t=6771

MTT

Hallo MTT !
Herzlichen Dank für deine Mühe.
Mit "Active Ports" hab ich, glaube ich, das Problem ziemlich eingekreist.
Da hat ein "Programm" msmsgs.exe extrem oft auf Port 80.139.159.111 zugegriffen, dann kam "Unknown" mit dem Port und sagte "Time wait".
Auch msnmsg.exe macht Ärger.
Mit msconfig hab ich die mal "stillgelegt", dann laüfts (fast) normal.
Wie ich den "Diagnosestart" zum "Normalstart" machen kann, weiß ich noch nicht, aber irgendwie geht das auch.
Erwähnen muß ich noch, daß bei der Neuinstallation mit der Original-Gericom-CD weder eine Nummer abgefragt wurde, noch eine Aktivierung verlangt wurde.
(Installation auf eine Fabrikneue Festplatte.)
Das kann doch nicht "normal" sein, bei Windows XP Home Edition ?

Dein System ist verseucht mit mind. einem Backdoor (Rbot). Poste bitte ein Hijack-This-LogFile: http://www.trojaner-board.de/51130-a...ijackthis.html

Hallo Markus, /MMK
hast ja sicherlich mitgekriegt, daß ich neu hier bin.
Wo krieg ich "Highjack-This " her ?
Ich vermute, das ist ein Programm.
Ich möchte um eine Downloadquelle bitten.
Darüberhinaus:
Ich hab das System völlig neu von der Gericom Windows XP-CD installiert, die Treiber von der Gericom-Recovery-CD und den SP1 von der Mikrosoft Windows Aktualisierungs-CD eingespielt.
Das ganze hat doch ohne das Theater vor dem Festplattencrash auch einwandfrei geklappt.
Jetzt hab ich die Wiederherstellung disabelt, mit RegCleaner die Einträge (4 Stück) "msmsgs.exe" sowie "msnmsg.exe" und die winupdate.exe gelöscht, neu gestartet. Während ich jetzt hier schreibe zeigt "Active Ports" ca. 18 Prozesse an, upload ist weniger als 10% des Downloades.
Auf den Grund gehen möchte ich der Sache aber doch.

Hallo Ludewig,

sei bitte so nett und folge dem Link von mmk. Du kannst HijackThis runterladen, es ist in diesem Link enthalten. Bitte klicke den Link an und folge den Anweisungen ... helfen können wir Dir nur, wenn Du so nett bist, ein Logfile zu erstellen und hier zu posten.

SD

Selam und hallo,
Herzlichen Dank, hab mir HighjackThis heruntergeladen und den Logfile erstellt.
In der Anlage müsste der (umbenannte) Logfile enthalten sein.
Darüberhinaus noch ein Exportfile von "Active Ports", vor den letzten Maßnahmen. (Die Datei am Anfang war zu groß, hier ist nur die "msmsgs.exe" für mich abnormal.)

Wenn ich richtig liege, dann hast du den Wurm Francette.L
http://www.trojaner-board.de/showthread.php?t=6873

- björn

Das Löschen von Registry-Einträge hat bei einmal aktiven Backdoors kaum nachhaltige Auswirkungen. Grund ist, dass diese Backdoors, solange sie als aktive Prozesse laufen, die eigenen Registry-Starteinträge immer wieder herstellen.

Lass mal bitte ein aktuelles eScan durchlaufen:
http://www.trojaner-board.de/42731-escan-anleitung.html

Befolge dazu einfach die Hinweise auf der Seite zu eScan. Der für dich relevante Text beginnt dort ab: "...sollte der betroffene Rechner zunächst im abgesicherten Modus mit eScan überprüft werden. [...]".

Hallo MMK !
Hallo Lucky !
Herzlichen Dank, für die Mühe, die Ihr Euch mit meinem Problem gegeben habt.
Nun sieht es so aus, als wenn das ganze ein gutes Ende nähme.
Der Scan mit MWAV hat zweimal den Wurm "Backdoor.Rbot.gen gefunden und (hoffentlich) eliminiert.
Trotzdem schick ich den Logfile hierhin.
Unklar ist immer noch, wie und wann ich mirdie Made eingefangen habe.
Habe die CD mit dem SP1 in Verdacht, werde ich auch scannen.
Nochmal herzlichen Dank. Erfahrung ist die Summe aller Fehler, wenn man draus gelernt hat.
Ich habe gelernt.