Trojaner-Board - Virus trennt Internetverbindung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus trennt Internetverbindung (https://www.trojaner-board.de/1088-virus-trennt-internetverbindung.html)

Hallo,
ich habe hier den Rechner eines Kollgen bei dem folgendes Problem auftritt:
Rechner (Win 2000, Servicepack 4) läßt sich normal starten. Sobald ich eine Internetverbindung hergestellt habe und die Seite im Browser (habe übrigens IE 6 und Mozilla ausprobiert) geladen wird wird diese auch schon wieder getrennt :-( Ein anderes Symptom sind die plötzlichen Kaltstarts ohne Vorwarnung sehe dann plötzlich den BIOS Startbildschirm. Die Verbindungsabrüche gibt es im übrigen auch wenn ich versuche eine Virenupdate zu laden.
so sieht übrigens die Prozesslage aus ;)

StartupList report, 25.06.2004, 17:46:51
StartupList version: 1.52
Started from : E:\bomfleur\hijacker\StartupList.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\savedump.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Steganos AntiDialer 6\guard.exe
E:\bomfleur\hijacker\CWShredder.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\bomfleur\hijacker\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
LoadQM = loadqm.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Steganos AntiDialer 6 = "C:\Programme\Steganos AntiDialer 6\guard.exe" /start

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=
SCRNSAVE.EXE=C:\WINNT\System32\ISLEOF~1.SCR
drivers=

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = C:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...725.3856481481

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE = http://fpdownload.macromedia.com/pub...sh/swflash.cab

[QDiagHUpdateObj Class]
InProcServer32 = C:\WINNT\System32\qdiagh.ocx
CODEBASE = http://h30043.www3.hp.com/dj/qdiagh.cab?223

[{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
CODEBASE = http://us.dl1.yimg.com/download.yaho...bio5_1_5_0.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.211 bytes
Report generated in 0,040 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Hallo!

Das LogFile gibt leider nicht viel her. Bitte so erstellen!

Logfile of HijackThis v1.97.7
Scan saved at 11:27:58, on 26.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\Dokumente und Einstellungen\Dr. Wilhelm Bomfleur\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - Default URLSearchHook is missing
O1 - Hosts: 216.177.73.139 ieautosearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKCU\..\Run: [Steganos AntiDialer 6] "C:\Programme\Steganos AntiDialer 6\guard.exe" /start
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...725.3856481481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?223
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yaho...bio5_1_5_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE786559-7737-4577-906E-F8D420AE64DE}: NameServer = 192.168.120.252,192.168.120.253

hi,

</font><blockquote>Zitat:</font><hr />
R3 - Default URLSearchHook is missing
O1 - Hosts: 216.177.73.139 ieautosearch
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?223
</font>[/QUOTE]die ip-adresse verweist auf igetnet, welche deine keywords mitliest, wenn du irgendwas suchst im internet. ist als spyware eingetragen. bitte kontrolliere deine hosts-datei. dort sollte eigentlich nur ein wert drinstehen, es sei denn, du hast in dieser absichtlich was eingetragen.

drin steht per default: 127.0.0.1 localhost

hier eine kleine erklärung zu igetnet: http://www.doxdesk.com/parasite/IGetNet.html
http://www.pestpatrol.com/PestInfo/I/IGetNet.asp

das eine plugin sagt mir nichts. wenn du es nicht kennst, dann bitte fixen. den r3 bitte ebenfalls fixen.

Nabend,
habe all deine Tipps umgesetzt - nur leider ohne Erfolg :-(
Die Internetverbindung wird sobald der Ladevorgang der Seite gestartet wird wieder unterbrochen - die Seite ist zu 80 % geladen und dann wird getrennt. Auch nach sofortiger Wiederanwahl das gleiche Problem