Trojaner-Board - Internetverbindung wird getrennt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internetverbindung wird getrennt (https://www.trojaner-board.de/9437-internetverbindung-getrennt.html)

Internetverbindung wird getrennt

Hallo zusammen,

ich habe vor kurzem mein System neu installiert. Eigentlich ist alles in Ordnung, bis auf ein kleines Problem.
Es kommt manchmal vor, dass sich die Internetverbindung nach ca. 10-20 min trennt. Wenn ich in den Taskmanager aufmache hat dieser sein Aussehen verändert, d.h. das Fenster ist nicht im XP Format. Ins Internet kann ich mich dann auch nicht mehr einwählen.
Ich habe Antivir drauf und die Kerio Firewall. Habe auch Antispy und McAfee AVERT Stinger drüberlaufen lassen, wurde aber nichts gefunden. Ich bin ratlos...
Für Hilfe bin ich dankbar
Gruß Bluschd

PS: Wenn ich Hijackthis drüberlaufen lassen soll, bräuchte ich ne kurze Anleitung, da ich mich nicht besonders auskenne.

@bluschd
no prob.
http://www.trojaner-board.de/51130-a...ijackthis.html
btw hast du in den router einstellungen mal nachgeschaut ob nach eine bestimmte zeit ohne datenverkehr die verbindung abgebrochen wird?
chaosman

Servus Chaosman,

wo finde ich die router einstellungen? glaub nicht das es daran liegt aber wenn du mir sagst wo und auf was ich achten soll, schau ich nach. momentan bin ich 5 stunden im netz ohne rauszufliegen, kommt wie gesagt nicht immer vor

Hier das File

Danke Dir

Logfile of HijackThis v1.98.2
Scan saved at 21:35:06, on 10.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\DELLMMKB.EXE
C:\Programme\Netropa\OSD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\defragfat32z.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\Nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
D:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ArcorDSL\ArcorDSL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.slysoft.com/purchase.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [diagent] D:\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32z.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099753960187
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9AB0FDE-54FF-4CA7-960E-452594CDFC33}: NameServer = 145.253.2.11 145.253.2.203

@
der hier ist im system
http://securityresponse.symantec.com...linkbot.a.html
und zwar hier C:\WINDOWS\system32\defragfat32z.exe
wechsle in den abgesicherten modus und fixe(häkchen setzen und auf Fix Checked klicken)
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32z.exe
anschließend diesen datei manuell löschen
dann neu starten, und ein neues logfile von HJT posten

chaosman

Servus,

hab das ding gefixt. Die Datei habe ich im abgesicherten Modus nicht gefunden, hab doppelt und dreifach geschaut, nichts zu sehn. Ist die Datei vielleicht versteckt? Wie kann ich alle Dateien anzeigen lassen? Im normalen Modus ist sie zu sehen und leicht halb transparent hinterlegt. Soll ich sie hier löschen?

Hier das Logfile aus dem normalen Modus:

Logfile of HijackThis v1.98.2
Scan saved at 19:08:44, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\DELLMMKB.EXE
C:\Programme\Netropa\OSD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\Nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
D:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Kerio\Personal Firewall 4\kpf4gui.exe
D:\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.slysoft.com/purchase.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [diagent] D:\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099753960187

@bluschd
Bei nicht auffindbaren Dateien bitte: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren

vielleicht schaust du dir nochmal der beschreibung an hier
er hat backdoor qualitäten, u.U. kann dein system kompromittiert sein.
http://oschad.de/wiki/index.php/Kompromittierung
in dem fall wäre es am besten dein system neu auf zu setzen, aber du kannst es noch mal mit escan versuchen

download
mache es genauso wie hier beschrieben wird, ein scan dauert 1 - 2 stunden.
anleitung escan

chaosman