Hi,
ich habe folgendes Problem:
Wenn ich eine bestimmte Zeit ( 5-10 Min) online bin, wird meine bestehende DFÜ-Verbindung automatisch unterbrochen.
Gleichzeitig finde ich im Ordner DFÜ-Netzwerk eine neue Verbindung Namens "ALL". In den Eigenschaften ist nichts hinterlegt. Auch wenn ich diese Vebindung lösche und danach online gehe, dauert es 5-10 Min. und sie ist wieder da.
Ich habe mein System mit Spybot und Ad Aware überprüft.
Das hat nichts geholfen.
Und jetzt?

Grüße aus Köln
ralf

dies => http://www.trojaner-board.de/51130-a...ijackthis.html durchlesen, HiJackthis downloaden und anwenden und dort => www.hijackthis.de automatisch auswerten lassen. Anmerkungen von dort mit Hirn auswerten und anwenden, bei Unklarheiten hier nachfragen.

Hi Shadow,
danke für den Tip, habe alles befolgt.
Ergebnis: keine gefährlichen Einträge mehr, aber Problem immer noch da !!
Und jetzt ?

Ralf

@Rally-58

poste doch mal hier ein logfile von Hijackthis

chaosman

Hallo,
hier der File:

Ralf

Logfile of HijackThis v1.98.2
Scan saved at 11:22:49, on 26.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\INTEL\DMI\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\WINAMPAGENT.EXE
C:\PROGRAMME\CASIO\PLOADER\PLAUTO.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\UNZIPPED\HIJACKTHIS_198\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LDCMSync] C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Wampagent] C:\WINDOWS\Winampagent.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Intel Bootstrap Agent] C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
O4 - HKLM\..\RunServices: [DMIStart] C:\Programme\Intel\LDCM\DMIStart.exe
O4 - HKLM\..\RunServices: [NMSSvc] C:\WINDOWS\SYSTEM\NMSSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Ploader\Plauto.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\PROGRAMME\LEECHGET 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\PROGRAMME\LEECHGET 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\PROGRAMME\LEECHGET 2004\\Parser.html
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Hallo Rally-58,

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

überprüfe mit dem online-scan von Kaspersky:

C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
C:\Programme\Intel\LDCM\DMIStart.exe
C:\WINDOWS\WINAMPAGENT.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien, passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Sorry Shadowdance,
bei mit ist win 98 SE installiert und nicht XP!?

Ändert das was an deiner Empfehlung ?

Ralf

@ Rally-58,

nein, es ändert nichts, nur dass Du dies hier: "Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com." weglassen kannst ... da habe ich anscheinend nicht aufgepasst, sorry.

SD

Hi,
kaspersky hat kein Ergebnis gebracht.
E scan folgende:

Wed Oct 27 11:26:16 2004 => File C:\WINDOWS\Winampagent.exe infected by "TrojanDownloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.
Wed Oct 27 11:26:33 2004 => File C:\WINDOWS\Winampagent.exe infected by "TrojanDownloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.
Wed Oct 27 11:29:52 2004 => File C:\WINDOWS\TEMP\watch your girlfriend smile .dat infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
Wed Oct 27 11:32:34 2004 => File C:\WINDOWS\Winampagent.exe infected by "TrojanDownloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.


der neueste logfile lautet:
Logfile of HijackThis v1.98.2
Scan saved at 12:46:41, on 27.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\INTEL\DMI\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\WINAMPAGENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\CASIO\PLOADER\PLAUTO.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\UNZIPPED\HIJACKTHIS_198\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LDCMSync] C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Intel Bootstrap Agent] C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
O4 - HKLM\..\RunServices: [DMIStart] C:\Programme\Intel\LDCM\DMIStart.exe
O4 - HKLM\..\RunServices: [NMSSvc] C:\WINDOWS\SYSTEM\NMSSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Ploader\Plauto.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\PROGRAMME\LEECHGET 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\PROGRAMME\LEECHGET 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\PROGRAMME\LEECHGET 2004\\Parser.html
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll


Watch your Girlsfried habe ich gelöscht,
Winamagent habe ich gehijackt.
Mal sehen, was es gebracht hat.

Ralf

Hi, es wird immer schöner,
nicht das ich was gegen nackte Frauen habe, aber diese DFÜ-Verbindung "ALL" stellt eine Verbindung zu folgender Web-seite her:
http://197redven.securecasting.com/I...dex.htm?plac=1

Erstaunlicherweise wird diese Seite nicht als Zieladresse genannt.
Und Nun ??

ralf

Hi,
ich habe nun mit ANTIVIR meinen PC gescannt. Dabei wurde eine Datei
( Winagent) gelöscht. Und nun funktioniert alles wieder einwandfrei.
Mal sehen wie Lange, trotzdem besten Dank für die Hilfe.

Ralf