Internetverbindung stürzt ab
 

Hey,

Habe seit heute Probleme mit meiner Internetverbindung.
Nach einiger Zeit (manchmal nach 5min, manchmal nach 1 oder 2 Stunden) ist kein Host mehr erreichbar, weder im Firefox noch via Ping.

Ich habe keinen Router und wähle mich nicht mit einer externen Software ein, nur via DFÜ (Oder wie das bei XP jetzt heisst). Wenn ich über das Netzwerkverbindungssymbol (meiner Internetverbindung) im Systemtray die Verbindung trennen möchte, passiert nichts. Wenn ich auf Status klicke poppt nur für einen Bruchteil einer Sekunde das Statusfenster auf.

Erst dachte ich, dass sich mein Windows zerlegt hat (kennt man ja, wenn der letzte Reinstall schon richtig lange her ist), aber als ich vorhin mit meiner Freundin telefonierte und sie mir sagte, dass sie exakt das gleiche Problem hat, kam ich auf die Idee, dass es ein Virus sein könnte.

Mein Virenscanner (AntiVir - PersonalEdition) hat leider nichts gefunden, deshalb habe ich Kaspersky installiert, der hat aber auch nichts gefunden...

Vielleicht hat ja Jemand die gleichen Probleme, bzw. kennt sogar eine Lösung.

( Meine HijackThis.log: )-------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 04:20:52, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alias\Maya7.0\docs\wrapper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alias\Maya7.0\docs\jre\bin\java.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\L1NU5\Desktop\Downloads\hijackthis\HijackThis.exe

O1 - Hosts: 209.120.136.200 community.the-underdogs.org
O1 - Hosts: 209.120.136.203 dfg.the-underdogs.org
O1 - Hosts: 209.120.136.196 files.the-underdogs.org
O1 - Hosts: 209.120.136.205 mac.the-underdogs.org
O1 - Hosts: 209.120.136.197 old.the-underdogs.org
O1 - Hosts: 209.120.136.207 ron.the-underdogs.org
O1 - Hosts: 209.120.136.194 the-underdogs.org
O1 - Hosts: 209.120.136.195 www.the-underdogs.org
O1 - Hosts: 209.120.136.209 zzt.the-underdogs.org
O1 - Hosts: 209.120.136.200 community.the-underdogs.info
O1 - Hosts: 209.120.136.203 dfg.the-underdogs.info
O1 - Hosts: 209.120.136.196 files.the-underdogs.info
O1 - Hosts: 209.120.136.205 mac.the-underdogs.info
O1 - Hosts: 209.120.136.197 old.the-underdogs.info
O1 - Hosts: 209.120.136.207 ron.the-underdogs.info
O1 - Hosts: 209.120.136.194 the-underdogs.info
O1 - Hosts: 209.120.136.195 www.the-underdogs.info
O1 - Hosts: 209.120.136.209 zzt.the-underdogs.info
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot-SD\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: HanseNet.lnk = ?
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7B0C241-5141-4596-907E-DF920756CFAD}: NameServer = 213.191.74.18 213.191.92.86
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: Freenet 0.7 darknet (freenet-darknet) - Unknown owner - C:\Programme\freenet\bin\wrapper-windows-x86-32.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programme\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: Nviunditp - NVIDIA Corporation - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe

--------------------------------------------

Guten Morgen,

fix mit Hijacktis im Angesicherten Modus folgende Zeilen:


O1 - Hosts: 209.120.136.200 community.the-underdogs.org
O1 - Hosts: 209.120.136.203 dfg.the-underdogs.org
O1 - Hosts: 209.120.136.196 files.the-underdogs.org
O1 - Hosts: 209.120.136.205 mac.the-underdogs.org
O1 - Hosts: 209.120.136.197 old.the-underdogs.org
O1 - Hosts: 209.120.136.207 ron.the-underdogs.org
O1 - Hosts: 209.120.136.194 the-underdogs.org
O1 - Hosts: 209.120.136.195 www.the-underdogs.org
O1 - Hosts: 209.120.136.209 zzt.the-underdogs.org
O1 - Hosts: 209.120.136.200 community.the-underdogs.info
O1 - Hosts: 209.120.136.203 dfg.the-underdogs.info
O1 - Hosts: 209.120.136.196 files.the-underdogs.info
O1 - Hosts: 209.120.136.205 mac.the-underdogs.info
O1 - Hosts: 209.120.136.197 old.the-underdogs.info
O1 - Hosts: 209.120.136.207 ron.the-underdogs.info
O1 - Hosts: 209.120.136.194 the-underdogs.info
O1 - Hosts: 209.120.136.195 www.the-underdogs.info
O1 - Hosts: 209.120.136.209 zzt.the-underdogs.info

Mache dannach einen eScan. Die Anleitung gibts hier . Poste nach dem Scan das Regebnis mit Hilfe der "Find.zip". Wie das geht, steht alles in der Anleitung. Also genau Lesen und abarbeiten!


Gruß Mellosun

Ich habe dasselbe Problem :heulen:

Hier ein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:47:31, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\Martina und Lars\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.album.de/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD6875A9-9CF6-40B2-9856-3A429AB906A9}: NameServer = 217.237.150.115 217.237.149.161
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Und noch ne Fehlermeldung:

EventType : BEX P1 : svchost.exe P2 : 5.1.2600.2180 P3 : 41107ed6
P4 : netapi32.dll P5 : 5.1.2600.2180 P6 : 4110968b P7 : 0000a3c0
P8 : c0000409 P9 : 00000000

Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.2180, fehlgeschlagenes Modul netapi32.dll, Version 5.1.2600.2180, Fehleradresse 0x0000a3c0.

Wer kann helfen?

Viele Grüße

Lars

mOIn Lars,

du hättest einen eigenen Fred eröffnen sollen der übersicht halber.

Machen wir es kurz und schmerzlos,
der hier fwnet64.exe
ist/war in eurem System aktiv, da dieser Schädling ein Backdooreigenschaften besitzt, gibt es nur den Rat euren Rechner nach dieser Anleitung neu auf zu setzen.
MFG

http://www.trojaner-board.de/showthread.php?t=24192


Hey,

vielen Dank erstmal für das Interesse und die Antworten!

1. Die Hosteinträge sind völlig OK:
Die werden benötigt, da die Domain von Home of the Underdogs ausgelaufen ist.
HOTU checkt den Referer, um also weiterhin auf Screenshots und Downloads zugreifen zu können sind die Einträge nötig.

2. Rechner neu Installieren ist immer schnell gesagt... und hilft auch meistens,
wäre für mich allerdings aktuell sehr schmerzhaft.
Zudem gibt es auch keine Anzeichen, dass ich von dem Schädling fwnet64.exe befallen wurde. Ich hatte weder irgendwelche Virenwarnungen, noch ist die genannte Datei auffindbar.

3. eScan hat auch nicht besonders viel gefunden:
Bisschen Malware - wird denk ich mal aber nicht für mein Problem zuständig sein:
Sun Aug 13 15:10:08 2006 => System found infected with websearch Toolbar ({7dd95801-9882-11cf-9fa9-00aa006c42c4})! Action taken: No Action Taken.
Sun Aug 13 15:10:08 2006 => System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: No Action Taken.
Sun Aug 13 15:10:12 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Sun Aug 13 15:10:12 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Und diese Geschichten, die aber keine Schädlinge sind:
Sun Aug 13 15:36:43 2006 => File C:\Programme\Cain\Abel.dll infected by not-a-virus:PSWTool.Win32.Cain.284
Sun Aug 13 15:36:43 2006 => File C:\Programme\Cain\Abel.exe infected by not-a-virus:PSWTool.Win32.Cain.284
Sun Aug 13 15:52:25 2006 => File C:\Programme\mIRC\mirc.exe infected by not-a-virus:Client-IRC.Win32.mIRC.616
Sun Aug 13 15:57:37 2006 => File C:\Programme\PolarisX\mirc.exe infected by not-a-virus:Client-IRC.Win32.mIRC.616

Also leider auch nicht wirklich ein Erfolg.

Neben dem Problem mit der Internetverbindung ist mir aufgefallen, dass auch das Lautstärkeregler-Symbol im Systemtray nicht mehr funktioniert, sobald auch das andere Problem auftritt.
Bei Systemstart ist noch Alles OK, doch wenn ich, nachdem meine Internetverbindung nicht mehr funktioniert, auf das Symbol klicke, bekomme ich eine Meldung, dass keine aktiven Mixer verfügbar sind.
Wenn ich dann in die Systemsteuerung gehe, sehe ich das der normale Mixer weg ist und dort nur noch "Modem Nr. 0 Line-Out" eingetragen ist.
Die Soundausgabe funktioniert allerdings ohne Probleme.
Zudem kommt es ab und an vor, dass meine Taskbar ihr Theme verliert und im grauen Classic-Design erscheint.
All diese Probleme treten immer Zeitgleich auf (das Taskbar Problem aber nur ab und an), jedoch kann es 5min oder manchmal 2Stunden nach dem Systemstart auftreten.
Außerdem dauert es mindestens 2min bis mein Computer anfängt sich herunterzufahren, nachdem ich das Herunterfahren-Symbol geklickt habe.
Wenn die genannten Probleme noch nicht aufgetreten sind, fährt er sich ganz normal runter, ohne verzögerung...

Ich hab wirklich keine Ahnung was ich noch machen soll...

Die genannte Datei bzw. der Schädling war aber auf Deinem System.

Zitat:
C:\WINDOWS\fwnet64.exe (file missing)


Aber da Dir anscheinend weder Deine noch den anderen Usern Ihre Sicherheit wichtig ist, wird Dir hier sicher niemand mehr Helfen.

Ihr kommt hierher um Hilfe zu bekommen, und was macht Ihr bzw. du?

Weißt du, was der Trojaner an Deinem PC geändert/verändert hat?
Vieleicht dient Dein Rechner schon als Lager für Illegale Raubkopien, Kinderpornografie oder ähnlichem!

Aber lieber als Virenschleuder dienen als sich mal zwei, drei Stunden zeit zu nehmen und den PC Neu machen!:pfui:

Unverständlich!

1. Also sorry erstmal das ich den Eintrag übersehen haben und danke für den Hinweis.

2. Bedeutet ein Regeintrag aber nicht zwangsläufig, dass der Schädling auch aktiv war, da mein Virenscanner besagte Datei evtl. in Quarantäne-verschoben, bzw. gelöscht haben könnte, bevor der Schädling ausgeführt wurde. Der Regeintrag muss ja nicht zwangsläufig vom Schädling kommen.

3. Finde ich die Art deines Postings sehr übertrieben. Tut mir leid, wenn du einen schlechten Tag hattest, aber das ist nicht mein Problem.
Ich habe lediglich einen Eintrag übersehen, dass kann schonmal vorkommen.
Bezüglich der Neuinstallation: Ich arbeite zufällig mit meinem PC. Eine Neuinstallation würde bei mir sehr viel länger dauern als 2-3 Stunden, bis ich ihn wieder voll einsetzen könnte... Das hat auch nichts mit Faulheit zu tun.
Raubkopien oder Kinderpornos, etc wirst du auf meinem PC auch nicht finden, ich habe doch eine relativ gute Einsicht, über die auf meinem Rechner befindlichen Dateien! Außerdem habe ich auch keine ungewollten ausgehenden/einkommenden Verbindungen.
Das du hier versuchst anderen Usern zu helfen finde ich großartig, allerdings ist deine Art Jemanden auf einen Fehler hinzuweisen doch etwas übertrieben und albern. Naja danke trotzdem nochmal für den Hinweis...

Nein, ich habe keinen Schlechten Tag.
Vieleicht etwas übertrieben geschrieben aber sehr viel User hier, die Hilfe suchen befolgen einfach nicht das, was man ihnen versucht zu erklären. Deswegen auch der Satz mit der Kinderpornografie usw.

Also, wenn du einen registry Eintrag hast, dann sollte eignetlich diesen von irgendwas erstellt wurden sein.
Die Datei deutet nunmal auf den Schädling hin und dies lässt sich nicht ändern.

Aber mache mal folgendes:

Lade Dir eScan runter.
Alles dazu gibts hier .
Lese die Anleitung genau und Arbeite sie ab. Poste das Ergebnis mit Hilfe der Find.zip. ( Punkt [5] ).

Dann sehen wir mal weiter!


Gruß Mellosun

Edit: eScan hast ja schon...mom, mal schauen!

EDIT2:

Versuche mal folgendes:
lade Adaware hier und update es
lade clearprog hier

wechsle danach in den abgesicherten modus
lasse beide Adaware und Spybot nacheinander scannen, lösche was sie vorschlagen.
lösche danach manuell
C:\WINDOWS\gpinstall.exe

boote neu, bei clearprog alle häkchen bei IE und windows setzen, löschen.

Berichte, ob sich was geändert hat!

Muss mich bei Dir Entschuldigen. Die geannte Datei war ja nicht in Deinem LOG sondern in dem LOG von Antonio 51! Das passiert, wenn Leute in anderen Threads ihr LOG Posten. Also nochmal sorry!

OK werde mal ClearProg und AdAware durchlaufen lassen,
meine eScan Ergebnisse habe ich ja schon gepostet...

Es sieht aber Alles so aus, als sei da ein neuer Schädling am Werk.
Meine Freundin hat ja, wie schon geschrieben, exakt die gleichen Probleme
und Ignazz, siehe Post anscheinend ja auch. Was auch darauf deutet, ist das bei allen Leuten die Probleme seit gestern auftreten...

Ich bin momentan auch noch unsicher, ob sich ein Reinstall lohnt, wenn es wirklich ein neuer Schädling sein sollte besteht ja die Möglichkeit, dass ich ihn nach dem Reinstall gleich wieder drauf hab.

Ich hoffe, dass bald eine Lösung gefunden wird...

Das habe ich mir heut auch schon den ganzen Tag gedacht. Verdächtig viele Leute mit einem solchen Problem!

Gruß Mellosun

Ich habe nochmal ein wenig gegooglet und andere Foren durchsucht...
Das Problem haben wirklich sehr viele Leute und Alle genau seit gestern!

Hier noch ein paar Links zu anderen Foren mit dem selben Problem (nur leider ohne Lösung):

Also ich habe heut was bei T-Online gelesen. Und zwar betrifft das die Sicherheitslücke, die mit dem Patch vom Dienstag geschlossen wird.

Angeblich wird eine "groß Invasion" gegen XP Rechner geplant! Für WIN2000 soll wohl schon ein Wurm im Umlauf sein, der ohne zutun des Anwenders Installiert wird und den PC Infiziert.

Vielleicht waren die "Schreiber" doch schneller und auch für XP ist schon ein unbekanneter Wurm im Umlauf?

Nachzulesen hier


Gruß Mellosun

Ich habe das Update von Windows mal installiert und bis jetzt habe ich keinen Reset der Verbindung mehr gehabt (ca. 2h). Eventuell handelt es sich ja wirklich um den beschriebenen Exploit. Ich berichte nochmal, wenn ich etwas länger im Netz war.

ich habe das problem auch dachte aber es liegt evtl. an meinem dsl modem.

hab den patch gezogen und kann ihn nicht installieren.


fehlermeldung: Setup cannot update your windowsXP because the language installed on your system is different from the update language


(habs auf englich und deutsch gezogen. :lmaa: was ist den das schonwider fürn quatsch? :huepp:

@insanecorpx

Beim Update musst du vorher die entsprechende Sprachversion auswählen.

Erst: --> Download This update
dann ein wenig runterscrollen und dann: Change Language.

Ich teste das auch grade mal und geb dann Feedback.

lin? was geht ab? testest das ding schon seit gestern? feedback?

Hab seit letzten post mal getesten und keine Probleme mehr gehabt.
Also downloaden....:zzwhip:

Ich habe das gleiche Prob und eine Ominöse 461.tmp in der Prozessliste, die sich nicht schliessen lässt...

Hatte die jemand auch? Wo is der Link zum Windows Update??

MfG

Hallo,
Da hätte man auch selbst drauf kommen können:
www.microsoft.de und dort links auf Microsoft Update klicken.


Grüße Wildone

habe dieses Problem auch seit ca 2 Tagen:heulen: Erst hats meinen neuen Rechner erwischt und jetzt wo ich mit meinem alten ins Netz gegangen bin ist jetzt auch der infiziert.Das Prob liegt im Windows Temp Ordner und in der darin enthaltenden Datei.Kann mal einer das Update wo hochladen oda den direktn link posten?

Ja, aber ich habe ISDN und der sucht solange dort nach Updates, das sich meine Verbindung (aufgrund des Virus) wieder trennt, bevor ich etwas downloaden kann.....

wie siehts aus kann jemand was sagen ob nachm Update alles wieda ok is?

Hallo,
@CiruzMD
verstehe, eine Möglichkeit wäre das Script von http://www.ntsvcfg.de/ einzuspielen, damit werden die angegriffenen Ports geschloßen (bzw. die Dienste dahinter beendet), danach solltest du in Ruhe die MS Updates einspielen können.
Zweite Möglichkeit wäre das Update 06-040 manuell herunterzuladen und zu installieren.


Grüße Wildone

Danke, habe das Update jetzt manuell runtergeladen und installiert. Die datei 461.tmp läd sich allerdings immernoch beim Start.
Mal schauen.
Jedenfalls hat mich der Wurm gerade einiges an Nerven gekostet, nach ca. 10 Neustarts in der letzten Stunde.

Die Abstände bis sich die Verbindung trennte, wurden jedenfalls bei jeden mal kleiner...

Hey,

also sorry erstmal, dass es so lange gedauert hat, bis ich jetzt wieder poste, aber ich hatte viel Stress die letzten Tage...

Was das Update betrifft, so kann ich definitiv bestätigen, dass danach das Problem behoben ist. Ich habe es bei mir und bei meiner Freundin getestet und bei uns beiden ist das Problem nicht mehr vorhanden.

Also Alle die das Problem haben, schnell dieses Update runterladen und installieren!

Vielen Dank nochmal für die Hilfe hier im Board und viel Erfolg mit dem Patch!

Gruß Linus

Hier mal meine Logfile, ich denke bei mir stimmt noch nicht alles:

Logfile of HijackThis v1.99.1
Scan saved at 11:31:52, on 15.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WISO\Börse2006\bin\dptimersvc.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\461.tmp
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\frn_inbc\frn_inbc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Paulo\Desktop\FIREFOX\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\461.tmp
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\461.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Microsoft (R) Windows Network Security Management Service] C:\WINDOWS\system32\461.tmp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Dictionary - http://www.ezreference.com/_/ie-com-p3.htm
O8 - Extra context menu item: &Encyclopedia - http://www.ezreference.com/_/ie-com-e-p3.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {4AE9E3BF-409D-4F61-9804-920968603919} (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155629586343
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam:1@webcam.welfen.net/activex/AxisCamControl.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignalonline.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/ieplug.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://216.65.38.226/crack.CAB
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{041DFD84-6DF1-4F81-9E20-80DEDEA045BC}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{041DFD84-6DF1-4F81-9E20-80DEDEA045BC}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WISO Börse Zeitsteuerung (DPTIMER_WB) - market maker Software AG - C:\Programme\WISO\Börse2006\bin\dptimersvc.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - C:\WINDOWS\system32\461.tmp
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe

Hallo,
@CiruzMD
sorry, bei dir war der Wurm aktiv:
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe

(anders als bei den anderen), ein Grund dafür könnte dein mangelndes Patchverhalten sein, SP2 ist nunmal Pflicht. Ev. liegt es auch daran das ein Win2000 Rechner bei dir im Netzwerk ist (die Lücke ist noch sehr neu und die Informationen noch nicht umfassend).
Fakt ist, dein System ist kompromittiert (und somit nicht mehr zu retten, eine Anleitung wie du beim formatieren und Neuaufsetzen vorgehen solltest findest du hier.


Grüße Wildone

Hallo,

also es kann doch nicht sein, dass es keine Möglichkeit zum Entfernen des Wurmes gibt ohne seine Festplatte zu formatieren.

MfG

Hallo,
doch, das ist so. Der Wurm knüpft Kontakt zu einem Botmaster und da dieser dann vollen Zugriff hat kann dir keiner sagen was geändert und welche Lücke geöffnet worden ist, steht aber alles detailliert in der Anleitung zum Neuaufsetzen. Und noch für alle zukünftigen anfragen, nein es gibt keine andere Möglichkeit.


Grüße Wildone

Also ich konnte den Wurm jetzt entfernen.

Logfile of HijackThis v1.99.1
Scan saved at 13:34:45, on 15.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WISO\Börse2006\bin\dptimersvc.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\frn_inbc\frn_inbc.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Paulo\Desktop\FIREFOX\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Dictionary - http://www.ezreference.com/_/ie-com-p3.htm
O8 - Extra context menu item: &Encyclopedia - http://www.ezreference.com/_/ie-com-e-p3.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155629586343
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignalonline.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{041DFD84-6DF1-4F81-9E20-80DEDEA045BC}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{041DFD84-6DF1-4F81-9E20-80DEDEA045BC}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WISO Börse Zeitsteuerung (DPTIMER_WB) - market maker Software AG - C:\Programme\WISO\Börse2006\bin\dptimersvc.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - C:\WINDOWS\system32\461.tmp (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


die temp- datei wird nichtmehr geöffnet und ist nichtmehr vorhanden. der wga dienst ist ausgeschaltet und die datei gelöscht.

ging alles im abgesicherten modus...

jetzt frage ich mich trotzdem was dieser wurm genau macht. kann er vertrauliche daten schon irgendwohin gesendet haben? wie wahrscheinlich ist das, wenn es sich im moment gerade um einen weit verbreiteten angriff handelt?
beinhaltet der worm einen keylogger? oder verursacht er nur einen buffer-overflow??

MfG

Hallo,
du kannst dir ja schon vorstellen das das was du jetzt gemacht hast kein großes Problem war, jetzt kannst du dir mal überlegen warum ich dir davon abgeraten habe.

Hier mal was der Wurm so alles kann:
Quelle


Und ich bin nicht so sicher das er nicht noch läuft, du siehst es nur nicht mehr.


Grüße Wildone

insofern aber immernoch eine verbindung besteht, müsste ja ein bestimmtes unbekanntes programm gestartet sein. oder täusche ich mich da?

Hallo,
lass es mich mal so ausdrücken, die Jungs die ihr Geld damit verdienen soetwas zu programmieren wissen auch das man dort als erstes nachschaut. Wenn ich einer von denen wäre würde ich das ganze noch mit einem FU Rootkit verkitten und schon würdest du keinen unbekannten Prozess im Taskmanager mehr sehen.

Lass es dir einfach gesagt sein, so einen Wurm bekommst du nicht sicher beseitigt, dies wird dir qusi jedes deutschsprachige Sicherheitsforum bestätigen. Wenn du dir aber weiter eins in die Tasche lügen willst, so kannst du das gerne machen, wir können dich schließlich nicht dazu zwingen zu formatieren, aber einen Segen zu der Aktion wirst du hier nicht bekommen.


Grüße Wildone

Ich würds ja sofort machen, aber dann dürfte ich ja quasi auch keine Datei sichern, da der Virus ja an jeder hängen kann... ?! ....Dilema....:balla:

Hallo,
Das ist so nicht richtig, erstens musst du ja nur die C:\ Partition formatieren und zweitens kannst du Bilder, Mp3s, Fime, Dokumente usw. problemlos sichern, du darfst nur keine ausführbaren Dateien (exe, com, pif, scr, ...) mit nehmen.

Edit
Und wichtige Dateien sichert man einfach vorher! Was würdest du denn bei einem Festplattencrash machen?

Grüße Wildone

Ich hab nur eine Partition ... :(, meine Externe Festplatte ist leider in Reparatur....achja, da häufen sich gerade alle blöden Dinge bei mir.

Im Moment läuft das System stabil.
Wie fängt man sich so ein Ding überhaupt ein?

Hallo,
ohne dein Zutun, bzw. in dem man das System nicht aktuell hält. Hättest du recht einfach verhindern können indem du das automatische Update aktiviert hättest, aber du hast ja nicht mal SP2 (wurde vor ca. drei Jahren veröffentlicht).
Das man einen Computer mit nur einer Partition betreibt ist natürlich Unsinn. Setze das System wenigstens neu auf (und dieses mal richtig!) wenn du deine externe Platte zurück bekommst.


Grüße Wildone

Ich hatte SP2 mal drauf, leider wurde mein System dadurch sehr instabil und es kam immerwieder zu abstürzen. Darum hab ich es wieder deinstalliert.

Eine Firewall müsste doch aber theoretisch alle abgehenden und ankommenden Anfragen abfangen und mir anzeigen. Kann mir da jemand eine (kostenlose) gute empfehlen??

Du wirst es wahrscheinlich nicht glauben aber ich hab sogar die Windows Firewall deinstalliert. :eek:

Btw: Kann man ein System auf Keylogger scannen oder tut das jede Antivirensoftware automatisch?


Grüße

Hey,

es ist auf jeden Fall nicht schlecht Windows automatische Updates zu deaktivieren, es sei denn, man hat kein Problem damit das der Rechner sich andauernt mit einem Microsoft-Server verbindet und irgendwelche Dinge installiert, über die du keinerlei Überblick hast... Manche mögen vielleicht sagen, dass sich das paranoid anhört, aber bei der Firmenpolitik sollte man sich um so Etwas schon Gedanken machen, TCPA und so sagen ja schon Alles.
Servicepack 2 ist allerdings Pflicht!
Wenn du Windows auf deinem Rechner frisch aufgesetzt hast und ins Netz gehst, ohne SP1 zu haben, hast du sofort einen Wurm drauf. Mit Rechner ohne SP2 wird es auch immer kritischer, wie du ja nun selbst gemerkt hast.

Auch solltest du unbedingt deinen Rechner neu installieren.
Du hast es zwar eventuell geschafft, den Wurm zu entfernen, jedoch kannst du nicht wissen, was er an deinem System beschädigt hat, oder welche anderen Sicherheitslücken er geöffnet hat.
Ein Reinstall ist zwar oft schmerzhaft, aber es lohnt sich in deinem Fall.
Denk nur daran das du dir SP2 und das oben genannte Sicherheitsupdate brennst, so dass du es installieren kannst, bevor du ins Netz gehst.

Viel Spass!

Hallo,
Die Einstellung geht mir ganz gewaltig auf die Klöten, entweder man vertraut Microsoft, dann kann man auch das automatische Update aktivieren, oder man vertraut ihnen nicht, dann sollte man die Finger von ihrem Betriebssystem lassen.
Mir kommt es hier immer mehr unter das es die User zwar dank so toller Tools wie XP-Antispy geschafft haben Microsoft auszusperren, dafür spielt aber halb Osteuropa Scrabble auf ihren Systemen.
Manuelle Updates sind etwas für Freaks, wie mich, die das schon intus haben an jedem zweiten Dienstag im Monat MS zu besuchen. Der ONU sollte das automatische Update einschalten und sich nicht weiter um die Sache kümmern müssen.

Das ist veraltetes Wissen, ohne SP2 sind es mittlerweile auch wenige Minuten bis zur ersten Infektion (ohne Router und Firewall).
Ack.


Grüße Wildone

Danke euch erstmal. Werde wohl nicht drumrumkommen, ihr und die angegebenen Quellen haben mir schon genug Angst gemacht.

Aber was ich nochmal genau wissen möchte:

War das nur der Wurm von dem auf mehreren Newsseiten zu lesen war oder war es ein anderer? Weil ich den auch seit Samstag Abend hatte...

Hallo,
das ist der Wurm aus den Newsseiten.


Grüße Wildone

ööhm welche Newsseiten? Bitte Link posten.

Dann kann ich mir nicht vorstellen wer die vielen Daten auf der anderen Seite auswerten will. Also bleibt meiner Meinung nach nur ein Angriff um mal zu zeigen wie toll mal wieder ein Progger war.

News: http://www.teltarif.de/arch/2006/kw33/s22739.html
News: http://www.winfuture.de/news,26850.html


grüße

klick
klick

Edit
Wer spricht von Auswerten, dein PC kann zur Erpressung von anderen Seiten benutzt werden, zum verbreiten illegaler Inhalte (z.B. Kinderpornographie) und natürlich zum weiterverbreiten des Wurms. Obwohl, eigentlich wäre es mit einer dem entsprechend programmierten Datenbank auch kein Problem private Daten (am ehsten Ebay Accounts oder Bankdaten) zu verarbeiten.

Grüße Wildone

Danke, die 1. Quelle von dir hatte ich noch nicht gelesen.
Also kann ich davon ausgehen, dass definitiv eine Person bewusst Zugriff auf meinen Rechner hatte (Dateien anschauen konnte?) und diese Attacke nicht irgendwie durch einen Bot bzw. durch den Wurm allein (Script) verursacht wurde?!

Hallo,
So kann man das auch wieder nicht sagen, der Bot wird geschrieben um dann Befehle über einen IRC Kanal entgegen zu nehmen. Diese können dann beliebig gegeben werden, je nachdem was der "Besitzer" deines Systems gerade machen will, die Liste mit den Möglichkeiten habe ich dir doch schon auf Englisch gepostet, siehe hier.


Grüße Wildone

Genau, also muss diese Person ja einen bewussten Zugriff gehabt haben, denn sie hat ja in diesen Moment gewisse Attacken ausgeführt (DoS- Attacke)... Ich hab halt trotz der Quellen kein richtiges Verständnis von dem Wurm sorry. Ich seh die Sache gerade wie ein Trojaner, oder wo ist da jetzt der Unterschied?

Grüße

Hallo,
ich sehe schon, bei dir sind die Begrifflichkeiten noch nicht geklärt. Ein Wurm ist eine Schadsoftware die ohne irgendwelches zutun des Users einen Rechner infizieren kann, das funktioniert z.B. weil Microsoft Dienste zum Internet anbietet um gewisse Funktionen zu gewähren. So jetzt kannst du dir ein Hintergrundrauschen von infizierten Systemen im Internet vorstellen die permanent nach anderen PCs suchen bei denen diese Lücke nicht gepatcht ist, diese werden dann infiziert. Dies ist also kein konreter Angriff auf ein System sondern es wird ziellos gesucht, diesen Systemen werden dann aber über den Bot individuelle Anweisungen gegeben (z.B. greife diese Seite an o.ä.) Dein System infiziert wahrscheinlich auch gerade andere Systeme, wenn du nicht alles beseitigt hast, weswegen du eigentlich deine Internetverbindung trennen solltest wenn du sie nicht unbedingt gerade brauchst.
Bei einem Trojaner (korrekt Trojanisches Pferd) wird vorgegaukelt das ein Programm eine bestimmte Funktion hätte (z.B. codec) und der User installiert dann dieses selbst. DEr Unterschied liegt also in der Infektionsweise.


So, und jetzt ist die Nachhilfestunde in Sachen Malware langsam vorrüber, das meiste kannst du z.B. hier nachlesen. Da ist es dann auch besser ausformuliert.



Grüße Wildone

Ja genau diese Beschreibung ist mir ja klar und deshalb habe ich ja gerade das Begriffsproblem. Denn aus der Quelle geht doch eindeutig hervor:

Dies und deine Liste der Möglichkeiten, hören sich für mich an, wie die Möglichkeiten eines Trojaners.
Der Wurm sitzt sozusagen im Hintergrund des Systems und wird je nach Bedarf bzw. wenn mich jemand scannt und den Wurm entdeckt abgerufen wie ein Trojaner- Client. Versteh ich das so richtig? Wenn ja, müsste es ja sozusagen ein "Serverprogramm" geben. Ich glaub um genau zu wissen was ich mit dem Wurm/Trojaner/was-auch-immer alles machen kann müsste ich mir genau dies besorgen, ich glaub vorher bekomme ich keine Ruhe :D ....

Hallo,
jetzt liest du dir irgendwo (wikipedia oder auf der von mir verlinkten Seite) die Definitionen von Wurm und die Definition von Trojaner durch und dann können wir weiter reden. Nochmal erkläre ich es nicht.
Du kannst dir vorstellen das hier das Verständniss für Scriptkiddies nicht sehr hoch ist, das ist kein Spielzeug, da ist sehr hohe kriminelle Energie am Werk.



Grüße Wildone

Also sorry es geht mir nicht darum hier eine Diskussion anzuheizen über allgemeine Definitionen zu den Begriffen Wurm bzw. Trojaner. Ich denke du verstehst nicht genau was ich überhaupt will. Nämlich genau wissen wie das Ding funktioniert. Ich will mich hier nicht über irgendwelche Begrifflichkeiten streiten, für mich ist die Frage halt noch nicht geklärt ob jemand bewusst Zugriff auf meinen Rechner damit hatte.

Hallo,
achso, das würde ich mit ja beantworten. Die Infektion war unbewußt, der Zugriff dann bewußt (wenn wahrscheinlich auch für mehrere 1000 Rechner gleichzeitig).


Grüße Wildone

Ok, dank dir ;)

Edit: Also kommt als auszuwertender dann nur derjenige der unter (in der Quelle) angegebenen Host den "ServerBot( Client)" stellt in Frage? Oder kann sich jeder diesen Wurm zunutze machen?

hmm bei mir heisst der Wurm aber anders bei mir wars der W32.Bifrose.wj der das verursacht hat

Ich habe genau das gleiche Problem.

Auch seit Montag etwa: weder mit DSL noch per Kabelmodem kann ich mich länger als zehn Minuten online aufhalten, dann werden keine Seiten mehr aufgebaut & die Verbindung wird getrennt - allerdings ohne daß dies im Quickstart angezeigt wird; beim Klicken auf "Status" öffnet sich das Fenster nur ganz knapp, und ein "Verbindung trennen" ist auch nicht möglich usw.

Da es bei so vielen kaum ein Hardware-Problem sein kann, frage ich mich (und euch), ob jemand, anders als ich, irgendwo im Netz eine zuverlässige Diagnose gefunden hat; ob es sich um einen neuen Wurm oder ein Virus etc handelt und im Anschluß daran vielleicht ein Removaltool angekündigt worden ist. Schließlich scheint sich das Problem ja auszubreiten.

Bin für Hinweise dankbar.

Ok, sorry, habe jetzt erst gesehen, daß es hier noch 5 weitere Seiten zum Thema gab... also hat sich erübrigt.

gibts schon ein Removal Tool?

Hey,

wie es scheint hat sich mein Threat ja zu einer richtigen Diskussionsplattform entwickelt. Naja, gut das hier viele Leute Hilfe finden...

Achja, etwas verspätet aber darauf wollte ich noch antworten:
Wildone du hattest auf meine Einstellung bezüglich Windows-Updates deaktivieren folgendes geschrieben:
Also
1. Ist es ja deine Sache ob du Microsoft vertraust oder nicht, kein Grund sich aufzuregen, nur weil ich eine andere Einstellung habe als du. Was mir auf die Nerven geht, ist deine besserwisserische und hochnäsige Art. Du solltest lernen andere Meinungen zu akzeptieren ohne gleich rumzuflamen.

2. Benutze ich Gentoo (Linux), aber für manche Dinge (z.B. Gamen) ist Windows doch recht praktisch.

3. Nur weil man nicht ständig neue Updates von MS läd, heisst es noch lange nicht, dass dein Rechner sich sofort Schädlinge einfängt, bzw. dass "Osteuropa Scrabble auf meinem System spielt". Ich habe automatische Updates seit jeher ausgeschaltet und es ist jetzt das erste mal seit 3 Jahren das ich deshalb ein Problem hatte. Mit Firewall, Virenscanner, etc und sich ab und an mal ein bisschen zu informieren langt völlig.

4. Finde ich es sehr bezeichnend, dass du behauptest, dass Manuelle-Updates nur etwas für "Freaks" wie dich seien. Ein bisschen hochnäsig, findest du nicht. Vielleicht kannst du dir ja vorstellen, dass es noch andere Leute gibt, die Ahnung von Rechnern, Security, etc. haben.
Ich frage mich immer, warum Leute wie du in solchen Foren aktiv sind. Wenn es dich so nervt anderen Leuten zu helfen, du sowieso alle für Lamer und deine eigene Meinung für dass Größte hälst, dann ist das vielleicht nicht der richtige Ort. Hier kommen zwangsläufig Fragen von Leuten die Probleme haben, sicherlich auch von vielen Anfängern. Wenn du ihnen hilfst finde ich das großartig, aber wenn es dich nervt, dann lass es doch einfach!

5. XP-AntiSpy ist wirklich ein "tolles Tool", keine Frage :daumenhoc

So sorry, aber das musste mal gesagt werden!


@Xell:
Einen Remover gibt es im dem Sinne nicht, es gibt lediglich ein Sicherheitsupdate von MS, dass die Sicherheitslücke schließt.
Steht aber auch hier im Post.

Gruss Linus

Alles wieder in Ordnung. Vielen Dank @Linus für den Link zum Update, das inzwischen auch in anderen Foren dasselbe Problem beseitigt hat (z.b. in CHIP-Online).

Hallo,

und vor allem danke für so viel Informationen über genau das Problem, das ich ebenfalls seit diesem Wochenende habe. Meine Internetverbindung stürzt nach willkürlicher Verbindungslänge ab, die Taskleiste erscheint wie im abgesicherten Modus grau und beim Klicken auf "Status" passiert das Gleiche wie bei ZonX weiter oben beschrieben.
So weit, so schlecht :(
Da ich aber leider ziemlich unerfahren im Erkennen und Überlisten von Viren und Würmern bin, hätte ich gerne einen ehrlichen Tipp vom Profi (und hier finden sich ja eine ganze Menge!!).
Also, selbst wenn dieser Patch von MS funktioniert, ist mein Rechner dann automatisch von der Infektion befreit und kann nicht mehr missbraucht werden? Oder ist das System dann nur vor zukünftigen Angriffen dieser Art geschützt, der bereits aktive Virus aber nicht mehr zu entfernen?
Um es kurz zu machen: Selbst wenn der Patch die Wirkung (gekappte Verbindung) beseitigt, ist es dann trotzdem besser, den Rechner neu zu formatieren, weil er eben durch den Wurm aktuell gegen Missbaruch nicht mehr geschützt ist?
Die Vorstellung, als Grundschullehrerin Kinderpornos auf dem Rechner gelagert zu haben, finde ich Horror!

Vielen Dank für eure Hilfe!

Hallo,
Ich aktzeptiere deine Meinung, deswegen muss ich sie aber noch lange nicht teilen.
Tut mir unheimlich leid das du das böse MS für dein daddeln installieren musst.
Tja, du bist aber hier, das heißt ja das dein Sicherheitssystem versagt hat, schonmal darüber Gedanken gemacht, oder willst du es jetzt bis zum nächsten mal so weiter führen.
Finde ich gar nicht, ich wollte damit sagen, dass der normale Nutzer sich eben nicht so sehr mit dem Thema Sicherheit beschäftigen will, ganz zu scheigen von sich auf dem neusten Informationsstand zu halten. Für diese User ist es nunmal das schlauste einfach das Update zu aktivieren und gut ist.
Klar, gibt auch viele die mehr Ahnung haben als ich, die haben genügend know-how um ihr System so zu konfigurieren wie sie lustig sind, die brauchen keine Tipps von mir.
Da sprichst du was wahres, bin sowieso gerade dabei mich aus der "Userfront" zu verabschieden.



Grüße Wildone

Hallo,
@lillylois
Du hast keine Infektion deines Rechners, er stürzt nur ab weil er angegriffen wird (von aussen), aber noch kann die Lücke nicht ausgenutzt werden um XP Systeme (im Gegensatz zu Win2000 Systemen) zu infizieren.
Also musst du nur das aktuelle Update einspielen und die Sache sollte damit erledigt sein. Wenn danach unerwarteterweise noch Probleme auftreten sollten kannst du dich ja noch mal im Forum melden.


Grüße Wildone

@ Wildone ich verstehe nicht warum du ihr nun nicht zum Formatieren rätst aber mir? Obwohl sie, von der Beschreibung her, anscheinend den gleichen Wurm hatte wie ich...?!

@CiruzMD
Bei dir ist der Wurm aktiv geworden (frag mich jetzt nicht warum, ich weiß es nicht, und du bist außerhalb von Win2000 Benutzern der einzige mir bekannte Fall)
Bei den anderen hier aktiven Usern klopft er nur an und bringt damit die svchost zum Absturz, bei dir ist er durch die Tür durchgelaufen, jetzt verständlich?



Grüße Wildone

Ja klar, aber woher weißt du so genau, dass er bei ihr nicht auch drin war, vielleicht hat sie die WGAreg.exe ja auch drauf gehabt. Bei mir war das Problem ja nach dem Patch auch nicht mehr vorhanden, die Datei aber immernoch in der Prozessliste...

@Wildone

Du musst sie ja auch nicht teilen, dennoch kein Grund sich aufzuregen bzw rumzuflamen!

:lach:

Naja nach 3 Jahren das erste mal ein kleines Problem, damit kann ich doch recht gut leben.

Naja, eigentlich wollte ich mich jetzt auch garnicht mit dir anzicken, hat mich halt einfach genervt, wie du auf mein Post geantwortet hast. Wir sind halt unterschiedlicher Meinung und werden uns gegenseitig denke ich auch nicht vom Gegenteil überzeugen, insofern sollten wir die Diskussion jetzt auch beenden :)

@CiruzMD & lillylois

Hast recht!
lillylois du solltest mal nen HijackThis machen und dein log hier posten, wie das geht steht ja in diesem Thread.

Gruß Linus

@wildone

Das mit dem Patch hat geklappt, vielen Dank für die schnelle Rückmeldung :)
Es gibt keine gekappten Verbindungen etc. mehr!

@L1NU5

Mh, das hatte ich schon fast befürchtet, dass mir diese log-Sache vorgeschlagen wird & ich noch nicht mal weiß, wo diese logfiles stecken :) Aber ich versuch's einfach mal, erweitert ja irgendwie den Horizont...


Meld mich, falls ich schlau genug bin, dieses HijackThis zu machen und mein log zu posten.

Grüße,

lillylois

Ich hab`tatsächlich geschafft :)



Hier ist es:


Logfile of HijackThis v1.99.1
Scan saved at 15:03:37, on 17.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\MMKeybd.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Desktop Calendar\Desktop Calendar.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Desktop Calendar] C:\Programme\Desktop Calendar\Desktop Calendar.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{21002194-7B75-4A43-8C55-3AAC3F79E66B}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe




Gibt es da was ungesundes zu entdecken??
Danke für eure Hilfe, fühl mich richtig gut aufgehoben :)


lillylois

Hallo lillylois,

sieht aus wie ein frisch gewischter Kinderpopo....:D

Wobei halt deine Meinung auf sehr wackligen Füßen steht,wie dieses hier beweist :
Da hat`s dann am Informationsfluß gehapert,oder ?
Vielleicht langts ja doch nicht..?:D
Linuxnutzer ?:lach: :lach:
Irrlicht