Computer disconnected nach 2 Minuten aus dem Internet - Verdacht auf Wurm
 

Hi,
Ich habe gestern einen PC bekommen, auf den ich mal ein Auge werfen sollte, da er angeblich nach ~ 2 Minuten aus dem Internet disconnected. Ich habe es an meiner Internetleitung getestet und es stimmt tatsächlich. Einwählen ist kein Problem, doch nach 2 Minuten disconnected er, das Symbol unten rechts bleibt erhalten, man kann es jedoch nicht mehr anwählen. Um sich neu ins Internet einwählen zu können muss man rebooten. Neben diesem Aussetzer erscheinen noch ein paar andere Probleme, wie z.B., dass man die Firewalleinstellungen manchmal nicht aufrufen kann, oder es unmöglich ist einen neuen Benutzer zu erstellen. Darüberhinaus ließ sich Antivir auch nicht mehr updaten. Ich habe dann von einem anderen PC eine aktuelle Antivir Version gezogen und nach Viren gesucht, das gleiche noch mit Adaware gemacht. Es fanden sich zig Viren und Würmer, aber das Problem mit dem Internet und einige andere blieben erhalten.
Ich habe mal Hijackthis durchlaufen lassen, da ich glaube dass es sich hierbei um einen Wurm/Trojaner, was auch immer handelt und hoffe dass ihr mir dabei helfen könnt.

Logfile of HijackThis v1.99.1
Scan saved at 22:12:09, on 06.01.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.t-*nline.de/
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\JCCATCH.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Copernic Desktop Search] "F:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{15CFCB2B-7CE7-4BB9-9A49-308291C02E8A}: NameServer = 62.220.18.8 62.72.64.237
O18 - Protocol: copernicdesktopsearch - {D9656C75-5090-45C3-B27E-436FBC7ACFA7} - F:\PROGRA~1\COPERN~1\COPERN~2.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Iomega App Services - Unknown owner - C:\PROGRA~1\Iomega\System32\AppServices.exe (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe

Vielen Dank im Vorraus

Verdächtiges sehe ich nicht im Logfile. Aber lass mal eScan durchlaufen (folge dem Link in meiner Sig), vllt. findet es ja was.
Wie und womit verbindet der sich mit dem Internet?

Welche Schädlinge wurden gefunden? Mach bitte auch einen Check mit Blacklight und poste das Ergebnis.

Ganz normal per DFÜ-Verbindung. Die Trennung bei Inaktivität ist natürlich ausgeschaltet. IE oder Firefox spielen hierbei keine Rolle.
Ich downloade gerade eScan und werde die beiden Programme gleich mal durchlaufen lassen, werde dann die Ergebnisse hier posten. Vielen Dank schonmal

Und was ist mit den Schädlingen, die AntiVir vor einer gewissen Zeit gefunden hat? Wie heißen die? Schau notfalls in der Reportdatei nach.

Blacklight hat nichts gefunden, eScan 6 mal "Packed.Win32.Cryptexe", sonst nichts. Die infizierten Dateien hab ich gelöscht, das Problem besteht allerdings immernoch. Kann also auch einfach sein, dass diverse Windows Dateien zu sehr beschädigt sind, da das mit dem Internet ja wie gesagt nicht das einzige Problem ist. Ich glaube es bringt nichts, weiter rumzusuchen, wenn eine Neuinstallation gerade mal 2-3 Stunden in Anspruch nimmt. Ich denke ich werde mich für die einfachste Möglichkeit => Formatieren <= entscheiden. Danke trotzdem vielmals

Jepp, neu aufsetzen ist immer die sicherste und meistens sogar auch die schnellste Möglichkeit! ;)
Wenn du das Abkürzen willst, solltest du mal Imaging-Programme wie Norton Ghost oder Acronis-Trueimage zulegen. :daumenhoc

Ja, kenn ich und benutze ich auch. Aber Leute, denen noch nie ein PC zusammengebrochen ist, zu überzeugen ist nicht unbedingt so einfach :P