Hallo, ich glaube auf mein System wird aus dem Netz zugegriffen. Mein Rechner ist seit 2 Tagen, besonders im Netz, langsamer und haengt oft.
Manchmal kann ich garkeine Seiten im Netz ansehen, es öffnen sich immer nur weisse Fenster. Wenn ich die bestehende Internetverbindung trenne kommt häufig eine Meldung, dass ich (oder ein Programm) Informationen von irgendeiner mir unbekannten Internetseite angefordert hätte (z.B. dns.nubela.net) und ich solle nun auswählen, mit welche meiner Verbindungen ich nun wieder online gehen möchte. Wenn ich das Fenster schließe kommt eine neue Meldung....
Ich benutze Firefox, selten IE, habe SpybotSD, Spywareblaster, AdAware und AntiVir alles up to date laufen lassen (auch einiges gefixt), aber ich finde nichts mehr! Vielleicht könnt ihr mir ja helfen, würde mich freuen .
Hier ist meine Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 03:10:38, on 05.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
E:\programme\RedLine\Taskbar.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sysentry.exe
C:\WINDOWS\System32\ctfmon.exe
E:\programme\redline\gameutil.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
E:\programme\Browser-Hijacker-Remover Tools\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Joystick\lwemon.exe" /noui
O4 - Global Startup: gameutil.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66



Die beiden letzten Eintraege (mit der IP 62.27.27.62.26.53.66) habe ich schon öfters gefixt aber sie tauchen immer wieder auf!

Ich sehe gerade in der regedit, dass ich unter currentuser->software->microsoft-> den Ordner "RASAutodial" habe mit unzähligen an SubOrdnern die Internetadressen oder IPs als Namen haben. Unteranderem ist hier auch die IP 62.27.27.62.26.53.66 vorhanden.
Soll ich vielleicht einfach den gesamten Ordner "RASAutodial" löschen (hört sich doch sehr verdächtig an, oder ) ?
Ich warte einfach mal auf eure Antworten...

Hallo Moppeldoppel,

Besuche bitte zuerst www.windowsupdate.com und lade Dir alle Patches und Updates runter. Dein IE entspricht nicht der aktuellen Version.

Lade Dir dann bitte die aktuelle Version von Hijack This runter: http://www.trojaner-board.de/51130-a...ijackthis.html.

Poste danach bitte ein neues Logfile.

SD

Hier ist die neue logfile!
Ich habe zwar IE drauf aber benutze so gut wie IMMER Firefox!

Logfile of HijackThis v1.98.2
Scan saved at 12:35:43, on 05.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
E:\programme\RedLine\Taskbar.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sysentry.exe
C:\WINDOWS\System32\ctfmon.exe
E:\programme\redline\gameutil.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\programme\Browser-Hijacker-Remover Tools\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Joystick\lwemon.exe" /noui
O4 - Global Startup: gameutil.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66

Danke

Hallo Moppeldoppel,

auch wenn Du den IE nicht verwendest, hast Du ihn doch auf dem System und er muss auf dem aktuellen Stand sein, wie alles, was auf Deinem Rechner ist. Bitte aktualisiere den IE unter oben genannter URL.

Dein Logfile sieht - an sich - gut aus.

Ich würde Dir noch raten, diese Einträge mit Hijack This im abgesicherten Modus zu fixen:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Joystick\lwemon.exe" /noui
O4 - Global Startup: gameutil.exe.lnk = ?

O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

wenn Du die Einträge unter 012 und 017 nicht kennst und nicht brauchst, solltest Du sie fixen.

Deinstalliere

c:\programme\google\googletoolbar1.dll

bitte sei so nett und überprüfe den Eintrag mit dem online-scan von kaspersky:

C:\WINDOWS\System32\sysentry.exe

Ergebnis?

Scanne Deinen Rechner zur Vorsicht mit eScan - bitte lies die Anleitung im Thread und halte Dich an diese Vorgaben. Lass uns bitte wissen, welche Viren gefunden bzw. umbenannt worden sind und poste bitte ein neues Logfile.

SD

Hallo SD, vielen Dank das du dir soviel Mühe machst, finde ich toll von dir!
Also ich habe den IE nochmals über den Link upgedated (mit dem automatischen Update über IE6setup.exe), aber ich gleube nach wie vor die gleiche Version.
AUßerdem habe ich sämtliche von dir corgeschlagenen Einträge gefixt und im abgesicherten Modus escan, KaperskyAntivir, etc. durchlaufen lassen und alles gefixt. Bin mit escan wie beschrieben verfahren (->base Verzeichniss), aber das update funktionierte nicht (keine Verbindung zum Updateserver hergestellt). Trotzdem scheint mein Rechner nun in Ordnung zu sein!!!
Beim wiederhohlten Virusscanning wurde kein Virus mehr gefunden! Und meine Verbindung scheint wieder in Ordnung zu sein!

Hier ist mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:00:51, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
E:\programme\RedLine\Taskbar.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
E:\programme\Browser-Hijacker-Remover Tools\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] E:\programme\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB80F406-2DA0-495F-95E8-C9B097E97CF2}: NameServer = 62.27.27.62 62.27.53.66


Nur eins verwundert mich: Der Eintrag 017 tritt nicht auf wenn ich offline bin, erst wenn ich online bin. Fixen kann ich den irgendwie nicht, taucht immer wieder auf wenn ich ins Netz gehe. Habe schon in der regedit den Ordner gelöscht, aber er taucht immer wieder auf. Naja vielleicht ist das ja auch in Ordnung, was meinst du?
Nochmals vielen Dank, dass du dir die Zeit nimmst einem Newbie wie mir zu helfen!

Hallo Moppeldoppel,

ich mach das was alle hier an Board machen: jeder hilft jedem - auf die Weise, die jedem einzelnen von uns möglich ist. Newbie's waren wir alle mal, helfen macht Spaß, bildet weiter. Für alles, was man gerne tut, nimmt man sich Zeit. So what?

Ich hab Dein letztes Logfile durch die automatische Auswertung laufen lassen und abgespeichert: Logfile 06.09.2004 - 16:00:51. Schau's Dir mal an. Meiner Ansicht ist es in Ordnung. Warum Du den IE nicht aktualisieren kannst, begreife ich nicht. Vielleicht wissen die Kollegen hier an Board Rat?

Zitat:

Ich sehe gerade in der regedit, dass ich unter currentuser->software->microsoft-> den Ordner "RASAutodial" habe mit unzähligen an SubOrdnern die Internetadressen oder IPs als Namen haben. Unteranderem ist hier auch die IP 62.27.27.62.26.53.66 vorhanden.

Die IP oder die Domäne unter 017 muß nicht 'böse' sein, wenn sie beispielsweise Dir oder dem Firmennetzwerk oder vielleicht zu Deinem Provider gehört. Was ist aus dem Ordner "RASAutodial" geworden?

Ich hab mich dazu im Netz umgeschaut und folgendes gefunden, ich zitiere aus www.winfaq.de: "Haben Sie für das Internet das automatische Anwählen aktiviert, so wird bei Netzwerkadressen, die nicht vorhanden sind, automatisch eine Verbindung aufgebaut. Dabei kann es vorkommen, dass Windows auch bei der Auswahl von lokalen Netzwerkadressen versucht, eine Verbindung aufzubauen.

Das passiert, da NT durch einen Fehler ab und zu auch lokale Netzwerkadressen in diese Liste mit einträgt. Um das zu korrigieren, müssen Sie diese Einträge aus der Registry entfernen. - unter: HKEY_CURRENT_USER\ Software\ Microsoft\ RASAutodial\ Addresses - Finden Sie die Adressen, für die Windows eine Verbindung aufbauen will und entfernen Sie die IP-Adresse Ihres lokalen Computers." Bitte schau Dir diese Linkseite an, dort wird einiges erklärt, was Dir vielleicht bei der Auflösung Deines Problems helfen kann.

Einträge aus der Registry lassen sich auf einfache und etwas problemlosere Weise auch durch www.trojancheck.de beheben.

Versuch's einfach mal und ... wenn Du dazu Fragen hast, es gibt kompetentere Leute an Board als mich.

Ich empfehle Dir den IE sicher zu konfigurieren, siehe dazu: www.datenschutzzentrum.de und ihn nur für Windows Updates und Patches zu verwenden. Weitere Vorbeugungsmaßnahmen findest Du in meiner Signatur unter TI-Hijacker-Rubrik ---> Vorbeugung.

Wenn Du weitere Fragen hast, melde Dich.

MfG
Shadowdance

@ Moppeldoppel

Gib mal diesen Link http://v5.windowsupdate.microsoft.co...r/default.aspx ein und folge den Anweisungen.
Wenn eine Fehlermeldung erscheinen sollte, dann poste diese.

btw: Warum installierst du das SP1 für XP nicht?

Hi Shadowdancer!
Also ich finde es wirklich ganz große Klasse wie hilfsbereit du bist und wieviel Mühe du dir gibst, Hut ab.
Also die RASAutodialeinträge habe ich gelöscht. Ich habe festgestellt, dass dort alle IPs, die ich besuche, gespeichert werden. Kann gut sein, dass diese IP 62.27.27.62 62.27.53.66 von meinem Provider ist, ich weiss halt nicht wie ich das herausfinden kann, aber ES FUNKTIONIERT JA WIEDER ALLES! Keine Probleme mehr! Das SP1 habe ich mir nicht installiert weil ich das Windows XP von meinem Bruder habe, und soweit ich weiss, muss man sich ja beim Update bei Microsoft authentifizieren...... Naja ich benutze einfach immer Firefox, trotzdem habe ich deine Sicherheitsanweisungen für den IE befolgt Shadowdancer! Nochmals Danke, falls ich irgendwann nochmal ein Problem haben sollte melde ich mich wieder bei dir SD!