Hi ich hab ein problem!
ich glaube mein recher hat irgendwas.
der spinnt die ganze zeit rum!
hab win2000
1. mein ping bei cs geht aller 2 min für ca 20 sek auf 2000 hoch!
2. services.exe connectet ca 30 mal in der minute zu einer ip! irgendwas mit 64.???.???.??? sagt mir outpost firewall
3. meine maus spinnt ab und zu rum (reagiert nicht mehr) erst nach 30 sek dar ich sie wieder 2 mal bewegen, danach das gleiche
aber das ist nur manchmal!
4. ich darf nicht mein windowsverzeichniss scannen!!! auch keine dateien darin suchen!
das nervt mich einfach nur mal an!!!

würde mich freuen wenn mir jemand schnell hilft!!!
mfg Stoffel

achso hier noch mein logfile!

Logfile of HijackThis v1.98.2
Scan saved at 00:29:57, on 18.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.exe
C:\Programme\DaemonTools\daemon.exe
C:\WINNT\Twain_32\SlimU2\HotKey.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\internat.exe
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Steam\Steam.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Eigene Dateien Christoph\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [HotKey] C:\WINNT\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Trickler] "c:\winnt\temp\adware\fsg_4104.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DD22428-0518-4703-A498-34F33A3D264B}: NameServer = 145.253.2.81 145.253.2.174

Zitat:

Zitat von Stoffel16

Logfile of HijackThis v1.98.2
Scan saved at 00:29:57, on 18.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Da stellt sich die Frage warum dein System absolut ungepatched ist

Update dein System:

http://www.windowsupdate.com

Aktuell ist Service Pack 4 und Internet Explorer 6.00 SP1

ja ich weiss aber hab in erst vor 3 wochen formatiert!
noch keine richtige zeitfür servicepack usw

ABER BITTE HILF MIR TROTZDEM!!!

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Trotzdem ist es ein schwerer Fehler Systemupdates nicht herunterzuladen.

Gruß
Lidius

PS: @Shadowdance

Ist hoffentlich kein Problem wenn ich deine Anleitung benutze, oder?

Zitat:

Zitat von Stoffel16

ja ich weiss aber hab in erst vor 3 wochen formatiert!
noch keine richtige zeitfür servicepack usw

ABER BITTE HILF MIR TROTZDEM!!!

TIPP: Installier Dir mal Proxomitron (http://www.buerschgens.de/Prox/) - , dass ist ein HTTP Proxy, d.h. das die Programme dann erst durch diesen Proxy gehen und der hat ein schoenes Log Fenster, wo Du Domains und Aufrufe siehst etc.

Gruss
Michael

ok thx bin gerade am saugen, aber kannst du schon auf den ersten blcik was feststellen?
mfg stoffel

Um dein Log genauer Auswerten zu können fehlt mir leider die Erfahrung (deswegen werde ich dazu nichts sagen, nachher erzähl ich noch was falsches^^), führe erstmal den escan offline im abgesicherten Modus aus und poste das Ergebnis hier. In der Zwischenzeit wird sich sicherlich jemand mit mehr Erfahrung im Log auswerten, sich dein Logfile anschauen.

Hi stoffel16!

Geh doch mal auf hijackthis.de und gib dein Log dort in das freie Feld ein. Dann klickst du auf den Button auswerten und siehst was zu tun ist. Denn bei dir sind mindestens 7 böse Prozesse am laufen!!

Falls du Probleme damit hast, poste es!

VLG Moskitoman

@ Moskitoman,

Verweise bitte unsere neuen User NICHT an die automatische Auswertung! Sie ist noch nicht 100% perfekt. Das geht auch nicht, da hinter der automatischen Auswertung ein Mensch sitzt, der sich bemüht, alle Einträge so schnell wie möglich von Hand einzutragen, und das mal eben so für die User aller Länder .. muss eine Sau-Arbeit sein ...

@ Lidius,

bitte bedien' Dich .. willkommen an Board ... ... ich zitiere (und kopiere zitiert) übrigens Cidre, MountainKing, *Christian* und Lutz ... und wer mir noch so unter die Finger kommt und sein Handwerk versteht ...

... die Logfile-Auswertung folgt, bin nicht so schnell ...

SD

Zitat:

Zitat von Shadowdance

@ Moskitoman,

Verweise bitte unsere neuen User NICHT an die autromatische Auswertung! Sie ist noch nicht 100% perfekt. Das geht auch nicht, da hinter der automatischen Auswertung ein Mensch sitzt, der sich bemüht, alle Einträso schnell wie möglich von Hand einzutragen, und das mal eben so für die User aller Länder .. mus eine Sau-Arbeit sein ...

Tschuldigung Shadowdance, habich nicht gewusst. Dachte eigentlich dass ich hier im Forum schon öfter gelesen habe, dass man dort hingehen solle.

100% perfekt geht eh nie

Das heißt dann also das Fehler in der automatischen Auswertung sind. Aber die Sachen, die als böse eingestuft werden, sind doch auch garantiert böse, oder nicht?

Sorry nochmal, Gruß Moskitoman

Brauchst dich nicht entschuldigen. Ich würde die Auswerung als grobe Orientierung auf jeden Fall empfehlen, aber, wie schon geschrieben, ist sie nicht voll zuverlässig, es gab auch hin und wieder fälschlicherweise als "böse" identifizierte Prozesse und umgekehrt nicht als solche erkannte. Ist bei deren Vielzahl aber auch völlig verständlich und insgesamt ist sie durchaus ok und wird immer verbessert. Ich würde das Log trotzdem immer lieber selbst sehen wollen, im prinzip kann man ja die Änderungen wieder rückgängig machen, aber nur dann, wenn man HJT in ein eigenes Verzeichnis entpackt und nicht aus der ZIP-Satei heraus ausführt, was aber viele machen. Und das sieht man wiederum nur im Logfile. )

Hallo Stoffel16,

Platform: Windows 2000 (WinNT 5.00.2195)/ MSIE: Internet Explorer v5.00 (5.00.2920.0000) - Dein Betriebssystem und Dein IE sind nicht auf dem aktuellen Stand, besuche dringend www.windowsupdate.com.

Boote in den abgesicherten Modus, fixe mit Hijack This (Häk'chen setzen, fix checked klicken):

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O4 - HKLM\..\Run: [Trickler] "c:\winnt\temp\adware\fsg_4104.exe"

Boote in den normalen Modus.
Beende:

aus O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
--->explore32.exe

NICHT die C:\WINNT\System32\internat.exe beenden!
aber die ---> O4 - HKCU\..\Run: [internat.exe] internat.exe

internat.exe

wenn Du diesen Prozess nicht kennst/brauchst, bitte beenden:

fsg_4104.exe"

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

... wenn Du gerade eben erst formatiert hast, solltest Du Folgendes beherzigen: aus Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

[..] Zudem musst du UNBEDINGT dein Surfverhalten überdenken (da du offenbar auch regelmäßig Viren bekommst) und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

Hier noch einige Links:

- PC-Sicherheit
- Browserwechsel
- Entfernungstools von Spyware und Adware
- Eine Auswahl Virenscanner

SD