Dsrenger
Hallo zusammen!
Ich habe da ein kleines Problem und möchte mich deswegenvertrauensvoll an euch wenden
Ich habe an meinem rechner dauernde Netzwerkaktivität von mindestens 0,17%. Das stört mcih erheblich.
So wie es aussieht, kommt dieser Traffic von dem Prozess SVCHOST.exe.
Wenn ich die Firewall dicht mache, kommt natürlich nichts durch.
Ich habe mal Highjackthis über meinen Rechner laufen lassen, und würde euch bitten mal drüber zu schauen, da ich es nicht richtig interpretieren kann.
| Zitat: |
Logfile of HijackThis v1.99.1
Scan saved at 14:27:56, on 28.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Inetd\inetd32.exe
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Jconfig\jconfigdNT.exe
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Jconfig\hjavaw.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_04\bin\javaw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\QuickTime\qttask.exe
D:\ICQ\ICQLite.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Skype\Phone\Skype.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Opera8\Opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Outpost Firewall\outpost.exe
C:\Dokumente und Einstellungen\Dsrenger\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "D:\ICQ\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\outlook 2002\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://83.136.192.185/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66AC3D14-0606-4582-A59D-645DF392FD89}: NameServer = 192.168.0.1
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Inetd\inetd32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Hummingbird Jconfig Daemon (Jconfigd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Jconfig\jconfigdNT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\OUTPOS~1\outpost.exe |
|
Auslöser der Suche ist, dass mein Provider mir meine Leitung gesperrt hat, da ich angeblich dauernd Mails verschicken würde (Virus)
Antivir, Adaware und Spybot finden aber nichts.
Der Prozess SVCHOST hat dauerhaft einen Traffic von rund 1-2kb/s.
Danke schonmal im vorraus.
MFG
Dennis
Haui
Hallo,
| Zitat: |
| Auslöser der Suche ist, dass mein Provider mir meine Leitung gesperrt hat, da ich angeblich dauernd Mails verschicken würde (Virus) |
|
in diesem Fall gibt es für dich nur eine Lösung und zwar ein komplettes
Neuaufsetzen des Systems. Lies dazu auch
das.
Mitverantwortlich könnte
diese Malware sein, die man im Log an diesem Eintrag erkennen kann:
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing)
dedie
@ Dsrenger
Zu deinem Logfile hat
Haui schon das wesentliche geposted, du solltest dir aber mal umbedingt Gedanken über den Infektionsweg machen von alleine kam das Ungeziefer nämlich nicht auf deinen Rechner.
@ madball
Dein Hilfeversuch in allen Ehren aber:
Die Automatische Logfileauswertung ist zwar ein ganz nettes spielzeug mal abgesehen von nicht erkannten
schlechten einträgen bis hin zu guten einträgen die als umbedingt zu fixen markiert werden ist das ganze leider wirklich nur ein nettes spielzeug.
Ich empfehle grundsätzlich keinem Laien diese Auswertung und habe absolut kein verständnis für Foren die mit aller gewalt darauf bestehen das diese Auswertung zu nutzen ist
madball
sry, aber wenn ich so ein Logfile sehe reicht es wenn man sich damit "ersteinmal" bedient!!!
Vor allem was dort angezeigt wird, kann gefixt werden!!!!!!!!!!!!!!..und sollte!!!
Aber wie schon bereits beschrieben wurde, Neuaufsetzen ist das Sinnvollste!!
entschuldigung Dedie für meinen unnützigen post
Haui
| Zitat: |
Original von madball
sry, aber wenn ich so ein Logfile sehe reicht es wenn man sich damit "ersteinmal" bedient!!! |
|
Meiner Meinug nach kann die automatische Auswertung höchstens ein Hilfsmittel für erfahrene Anwender sein - nicht mehr und nicht weniger. Mit einer "manuellen Auswertung" durch eine "fachkundige Person" kann sie nicht mal annähernd mithalten.
| Zitat: |
| Vor allem was dort angezeigt wird, kann gefixt werden!!!!!!!!!!!!!!..und sollte!!! |
|
Nein, die automatische Auswerung hat sowohl mit "false positives", wie auch mit "false negatives" zu kämpfen und wenn dort etwas wirklich böses angezeigt wird, hilft im Zweifelsfall auch kein "fixen" mehr.
Das obige Log ist übrigens ein recht gutes Beispiel:
| Zitat: |
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing) |
|
Diese beiden Einträge werden als "unnötig" und "nicht bekannt" angezeigt, sind aber eindeutig böse.
Vimes
@Madball:
Das fixen ist überflüssig, wenn man eh neu aufsetzen muß.
Und da heutzutage die allermeiste Malware eh Code nachladen kann (und auch tut) kommt man um ein Neuaufsetzen eh nicht herum, wenn man sichergehen möchte, daß das System wieder sauber ist, was z.B. für Onlinebanking und ähnliches ganz angenehm sein könnte.
Du hast PN.
MfG
Vimes
madball
| Zitat: |
Zitat:
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing) |
|
Meine ich doch, um zu erkennen das was faul ist auf dem System, reicht das aus. Ich habe erkannt, das dass böse ist!!
Und den Rechner Neuaufzusetzen kommt Dsrenger leider nicht rum. Habe ja nichts anderes gesagt bzw gemeint...
Ich habe mit der online Bewertung auch angefangen und gelernt.
