|
Permanentes senden von Daten - Hilfe! Hallo, ich bin neu hier, ich hoffe mir kann jemand helfen, ich benutze windows 2000 und habe folgendes problem: wenn ich mich ins internet einlogge stelle ich nach 1-2 Minuten fest das ein permanenter Datenstrom von meinem Rechner ins Internet stattfindet und ich wiederholt fehlermeldungen kriege "Seite kann nicht angezeigt werden". BSP: nach 20 Min. habe ich 66000 Datenpakete gesendet und nur 5.000 empfangen obwohl ich nur gesurft habe. Ich vermutete ein Virus, Trojaner. Ich habe AD-Aware und andere Programme suchen lassen die haben allerdings nichts gefunden. Nachdem ich nun meine Festplatte formatiert und neuinstalliert habe passiert das gleiche wieder Wer kann helfen? Ich gehe über DSL-T-Online, über einen Router ins Internet gruß Sebastian |
|
Hier die Daten von hijackthis Logfile of HijackThis v1.99.0 Scan saved at 22:50:05, on 03.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SCARDS32.EXE C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\TrayIcon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\winupdate.exe D:\StoneScanV3\StoneScan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Outlook Express\MSIMN.EXE C:\Programme\Windows NT\Zubehör\WORDPAD.EXE D:\WinRAR\WinRAR.exe C:\DOKUME~1\Wolf\LOKALE~1\Temp\Rar$EX01.456\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINNT\System32\TrayIcon.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe O4 - HKCU\..\Run: [StoneScan] D:\StoneScanV3\StoneScan.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Reader\reader_sl.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E065DE85-8256-46A8-A743-3F5C60F39631}: NameServer = 194.25.2.129,62.104.212.82 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: CHIPDRIVE SCARD Service - TOWITOKO - German Technology - C:\WINNT\SCARDS32.EXE Außerdem ist mir aufgefallen, das unter eingabe von netstat -a beim einloggen folgende anwahl vorgenommen wird: TCP sebastian 1118 host 181-153.poo18291interbusinessit:7000 diese anwahl kommt mir sehr merkwürdig vor. Hat jemand eine Idee? gruß Sebastian |
du hast den wurm W32/Forbot-G drauf. der öffnet auchnoch eine backdoor, also bezeichne ich es auch als trojaner, wodurch es möglich ist auf deinen computer vom internet zuzugreifen. escan im abgesicherten modus sollte hier wiedermal abhilfe schaffen. |
Imho die einzige sinnvolle Abhilfe ist ein Neuaufsetzen deines Systems -> http://www.trojaner-board.de/showpos...28&postcount=2 |
Laut escan habe ich diesen virus, leider kann ich die winupdate.exe nicht löschen. Wie kriege ich diesen Verdammten virus/wurm weg? Ich verstehe nicht wie ich diesen wurm einfangen konnte. Ich habe heute morgen wie gesagt das System formatiert. Anschließen ohne Online zu gehen antivir, stonescan, ad-awar und service pack 4 installiert. Was muß ich bei jetzt bei einer nochmaligen Neuinstallation noch beachten? Gibt es einen Patch den ich, bevor ich online gehe, auf das System installieren kann? Damit ich diesen Wurm vermeiden kann? gruß Sebastian [msvLclnt.dll] [0x000001b0] 03/01/2005 23:53:55:342 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x000001b0] 03/01/2005 23:54:04:075 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x000001b0] 03/01/2005 23:54:04:345 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x000001b0] 03/01/2005 23:54:05:176 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x000001b0] 03/01/2005 23:56:41:571 :[00000001] File C:\WINNT\system32\winupdate.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x000001b0] 03/01/2005 23:57:45:413 :VirusCount = 114601 Latest Date = 2005/01/03 [msvLclnt.dll] [0x000000e8] 03/01/2005 23:58:29:647 :VirusCount = 114601 Latest Date = 2005/01/03 |
Zitat:
|
Punkt 2 fällt weg, da dein OS Win 2k ist. Punkt 1 und 4 sollten Vor der ersten I-net Verbindung abgearbeitet werden. Ebenso diese beiden Patches offline installieren: http://support.microsoft.com/?kbid=824146, http://support.microsoft.com/?kbid=827363 und http://www.microsoft.com/germany/ms/...inMS04-011.htm Ansonsten nach weiter nach der Reihenfolge abarbeiten. EDIT: Haui45 ;) EDIT2: LSASS Patch vergessen! |
Hi, wollte mich erst einmal für die schnelle Hilfe von euch bedanken, ich konnte das Problem dadurch erst einmal beheben. Am Wochende folgt dann die Neuinstallation, ich hoffe diesmal ohne Probleme. Bis zum nächsten mal Sebastian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board