Hi,
ich habe folgendes Problem:
Wenn ich eine bestimmte Zeit ( 5-10 Min) online bin, wird meine bestehende DFÜ-Verbindung automatisch unterbrochen.
Gleichzeitig finde ich im Ordner DFÜ-Netzwerk eine neue Verbindung Namens "ALL". In den Eigenschaften ist nichts hinterlegt. Auch wenn ich diese Vebindung lösche und danach online gehe, dauert es 5-10 Min. und sie ist wieder da.
Ich habe mein System mit Spybot und Ad Aware überprüft.
Das hat nichts geholfen.
Und jetzt?

Grüße aus Köln
ralf

dies => http://www.trojaner-board.de/51130-a...ijackthis.html durchlesen, HiJackthis downloaden und anwenden und dort => www.hijackthis.de automatisch auswerten lassen. Anmerkungen von dort mit Hirn auswerten und anwenden, bei Unklarheiten hier nachfragen.

Hi Shadow,
danke für den Tip, habe alles befolgt.
Ergebnis: keine gefährlichen Einträge mehr, aber Problem immer noch da !!
Und jetzt ?

Ralf

@Rally-58

poste doch mal hier ein logfile von Hijackthis

chaosman

Hallo,
hier der File:

Ralf

Logfile of HijackThis v1.98.2
Scan saved at 11:22:49, on 26.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\INTEL\DMI\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\WINAMPAGENT.EXE
C:\PROGRAMME\CASIO\PLOADER\PLAUTO.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\UNZIPPED\HIJACKTHIS_198\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LDCMSync] C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Wampagent] C:\WINDOWS\Winampagent.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Intel Bootstrap Agent] C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
O4 - HKLM\..\RunServices: [DMIStart] C:\Programme\Intel\LDCM\DMIStart.exe
O4 - HKLM\..\RunServices: [NMSSvc] C:\WINDOWS\SYSTEM\NMSSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Ploader\Plauto.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\PROGRAMME\LEECHGET 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\PROGRAMME\LEECHGET 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\PROGRAMME\LEECHGET 2004\\Parser.html
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Hallo Rally-58,

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

überprüfe mit dem online-scan von Kaspersky:

C:\PROGRAMME\INTEL\BOOTSTRAP AGENT\BSA.EXE
C:\WINDOWS\SYSTEM\NMSSVC.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\IIDS.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\SSM.EXE
C:\PROGRAMME\INTEL\LDCM\CI\CIMGR\CIMGR.EXE
C:\PROGRAMME\INTEL\LDCM\BIN\LDCMSYNC.EXE
C:\PROGRAMME\INTEL\LDCM\CI\INSTRUMENTATION\IOSMAL.EXE
C:\Programme\Intel\LDCM\Bin\LDCMSync.exe
C:\Programme\Intel\LDCM\DMIStart.exe
C:\WINDOWS\WINAMPAGENT.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien, passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD