[Ankh]

Hallo,

Ich habe in letzter Zeit ein Problem: Meine LAN-Verbindung (direkt an das Modem angeschlossen) zeigt mir direkt nachdem die Verbindung besteht (Mehrmals versucht sie an- und auszuschalten) eine ständige Verbindung von ca 1kb/s, 1,5kb/s an, beidseitig also auf senden und empfangen.

Ein Freund meinte es könnte eine UploadWare sein die was runterladen könnte... Ich also in den nächsten Pcladen und mir Kasperski 6.0 gekauft. Ließ ihn scannen. Er findet 4 Einträge, ich lösche sie und es läuft gut für ein paar Tage. Danach kam das Problem wieder aber diesmal findet Kasperski keine Viren/Trojaner oder dergleichen mehr, aber die Verbindung spielt weiter verrückt. Die Verbindung ist extrem geschwächt dadurch sodass das anmelden bei MSN zb scheitern kann und im schlimmsten Fall ich nicht mal mehr in das Internet komme.

Kennt jemand das Problem?

Mfg und danke im voraus

P.S.: Bin mir nicht sicher ob es hier rein kommt... tut mir leid deswegen

[blue32]

Willkommen im Forum,

ob du dein PC verseucht ist, erfährst du bei/von hijackthis.de.

Bist du der einzige, der am Router hängt? Wenn ja und es treten merkwürdige Verbindungen auf, dann tipper mal in die CMD

netstat -a

Da werden dir die aktuellen Verbindungen deines Systems aufgelistet. Mit netstat -ano kannst du jede Verbindung einem Prozess zuordnen, denn du dann gezielt abschießen kannst.

[Ankh]

Microsoft Windows XP [Version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\abc>netstat

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP abc:1110 localhost:2653 WARTEND
TCP abc:1110 localhost:2697 WARTEND
TCP abc:1110 localhost:2699 WARTEND
TCP abc:1110 localhost:2705 WARTEND
TCP abc:1110 localhost:2722 WARTEND
TCP abc:1110 localhost:2724 WARTEND
TCP abc:1110 localhost:2741 WARTEND
TCP abc:1110 localhost:2743 WARTEND
TCP abc:1110 localhost:2763 WARTEND
TCP abc:1110 localhost:2765 WARTEND
TCP abc:1110 localhost:2769 WARTEND
TCP abc:1110 localhost:2771 WARTEND
TCP abc:1110 localhost:2773 WARTEND
TCP abc:1110 localhost:2775 WARTEND
TCP abc:1110 localhost:2777 WARTEND
TCP abc:1110 localhost:2779 WARTEND
TCP abc:1110 localhost:2782 WARTEND
TCP abc:1110 localhost:2784 WARTEND
TCP abc:1110 localhost:2798 WARTEND
TCP abc:1110 localhost:2804 WARTEND
TCP abc:1110 localhost:2806 WARTEND
TCP abc:1110 localhost:2810 WARTEND
TCP abc:1110 localhost:2822 WARTEND
TCP abc:1110 localhost:2826 WARTEND
TCP abc:1110 localhost:2828 WARTEND
TCP abc:1492 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:1494 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:1348 by2msg1104207.phx.gbl:1863 HERGESTELLT

C:\Dokumente und Einstellungen\abc>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP abc:epmap abc:0 ABHÖREN
TCP abc:microsoft-ds abc:0 ABHÖREN
TCP abc:1110 abc:0 ABHÖREN
TCP abc:1110 localhost:2653 WARTEND
TCP abc:1110 localhost:2697 WARTEND
TCP abc:1110 localhost:2699 WARTEND
TCP abc:1110 localhost:2705 WARTEND
TCP abc:1110 localhost:2722 WARTEND
TCP abc:1110 localhost:2724 WARTEND
TCP abc:1110 localhost:2741 WARTEND
TCP abc:1110 localhost:2743 WARTEND
TCP abc:1110 localhost:2763 WARTEND
TCP abc:1110 localhost:2765 WARTEND
TCP abc:1110 localhost:2769 WARTEND
TCP abc:1110 localhost:2771 WARTEND
TCP abc:1110 localhost:2773 WARTEND
TCP abc:1110 localhost:2775 WARTEND
TCP abc:1110 localhost:2777 WARTEND
TCP abc:1110 localhost:2779 WARTEND
TCP abc:1110 localhost:2782 WARTEND
TCP abc:1110 localhost:2784 WARTEND
TCP abc:1110 localhost:2798 WARTEND
TCP abc:1110 localhost:2804 WARTEND
TCP abc:1110 localhost:2806 WARTEND
TCP abc:1110 localhost:2810 WARTEND
TCP abc:1110 localhost:2822 WARTEND
TCP abc:1110 localhost:2826 WARTEND
TCP abc:1110 localhost:2828 WARTEND
TCP abc:1492 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:1494 localhost:1110 SCHLIESSEN_WARTEN
TCP abc:netbios-ssn abc:0 ABHÖREN
TCP abc:1348 by2msg1104207.phx.gbl:1863 HERGESTELLT
TCP abc:epmap abc:0 ABHÖREN 0
UDP abc:microsoft-ds *:*
UDP abc:isakmp *:*
UDP abc:1025 *:*
UDP abc:1072 *:*
UDP abc:1073 *:*
UDP abc:1074 *:*
UDP abc:1075 *:*
UDP abc:1076 *:*
UDP abc:1077 *:*
UDP abc:1078 *:*
UDP abc:1079 *:*
UDP abc:1080 *:*
UDP abc:1327 *:*
UDP abc:1371 *:*
UDP abc:4500 *:*
UDP abc:ntp *:*
UDP abc:1284 *:*
UDP abc:1340 *:*
UDP abc:1900 *:*
UDP abc:discard *:*
UDP abc:ntp *:*
UDP abc:netbios-ns *:*
UDP abc:netbios-dgm *:*
UDP abc:1745 *:*
UDP abc:1900 *:*
UDP abc:9849 *:*
UDP abc:23210 *:*

C:\Dokumente und Einstellungen\abc>

Auf die Befehle die ich eingegeben hab, kam das raus... und das Problem besteht mit dem Modem genauso wie mit dem Router. Ich hänge Atm nur per LAN am Modem selbst, deswegen war ich mir nicht sicher ob das zu den Problemen Netzwerk gehört

edit: habe gesehen dass ich mich vertippt habe... hier das richtige:
Microsoft Windows XP [Version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Abc>netstat -ano

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 1236
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN 4
TCP 0.0.0.0:1110 0.0.0.0:0 ABHÖREN 632
TCP 127.0.0.1:1110 127.0.0.1:3343 WARTEND 0
TCP 127.0.0.1:1492 127.0.0.1:1110 SCHLIESSEN_WARTEN 2196

TCP 127.0.0.1:1494 127.0.0.1:1110 SCHLIESSEN_WARTEN 2196

TCP 192.168.1.33:139 0.0.0.0:0 ABHÖREN 4
TCP 192.168.1.33:1348 207.46.110.60:1863 HERGESTELLT 2196
TCP [::]:135 [::]:0 ABHÖREN 1236
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 972
UDP 0.0.0.0:1025 *:* 1404
UDP 0.0.0.0:1072 *:* 1404
UDP 0.0.0.0:1073 *:* 1404
UDP 0.0.0.0:1074 *:* 1404
UDP 0.0.0.0:1075 *:* 1404
UDP 0.0.0.0:1076 *:* 1404
UDP 0.0.0.0:1077 *:* 1404
UDP 0.0.0.0:1078 *:* 1404
UDP 0.0.0.0:1079 *:* 1404
UDP 0.0.0.0:1080 *:* 1404
UDP 0.0.0.0:1327 *:* 2196
UDP 0.0.0.0:1371 *:* 2196
UDP 0.0.0.0:4500 *:* 972
UDP 127.0.0.1:123 *:* 1328
UDP 127.0.0.1:1284 *:* 4056
UDP 127.0.0.1:1340 *:* 2196
UDP 127.0.0.1:1900 *:* 1600
UDP 192.168.1.33:9 *:* 2196
UDP 192.168.1.33:123 *:* 1328
UDP 192.168.1.33:137 *:* 4
UDP 192.168.1.33:138 *:* 4
UDP 192.168.1.33:1900 *:* 1600
UDP 192.168.1.33:6903 *:* 2196
UDP 192.168.1.33:9849 *:* 2196
UDP 192.168.1.33:23210 *:* 2196

C:\Dokumente und Einstellungen\Abc>

Bzw tut mir Leid ich weiß kaum etwas damit anzufangen.

Bzw hijackthis sagt mir nur dass diese Zeilen vielleicht gefährlich sein könnten:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 220.65.53.129:8080

O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Christophe\winstall.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - (Active x Element laut Beschreibung)

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - (Active x Element laut Beschreibung)

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

So weit was die beiden Empfehlungen angeht.

Dieser Beitrag wurde von Ankh bearbeitet: 11. Dezember 2006 - 20:04

[blue32]

Das Thema hätte vielleicht auch in Sicherheit gehört, aber das sollte dich nicht weiter stören. Wenn es einen Mod stört, wird er es verschieben. Also No Worries.

Mit "netstat -ano" kriegst du die PID (Process ID) jeder Verbindung raus. Einfach mal nebenbei den Taskmanager anwerfen und nach den bestimmten PIDs suchen. Wenn du die nicht kennst, dann fort damit.

IMHO ist der Proxy bei dir eher fehl am Platze.

Hast du eigentlich einen Virenscanner? Was sagt der zu der ganzen Geschichte?
Zum Säubern des Systems, gibt es im Sicherheitsforum einige Hinweise. Einige Virenscanner (z.B. avast!) bringen die Eigenschaft mit, dass sie nach der Erstinstallation während des Bootens einmal scannen und damit Schadsoftware, die sich noch nicht initialisiert hat entfernt. Dass dieser Scanner alles findet, solltest du nicht erwarten, womit ein Restrisiko auf jeden Fall bestehen bleibt.

Dieser Beitrag wurde von blue32 bearbeitet: 11. Dezember 2006 - 20:26

[blue32]

@moep: Hab grad kein Windows laufen, kann die Option b also grad nicht nachvollziehen

@Ankh: Generell solltest du u.a. mal dieses Stickie durcharbeiten. Vielleicht eine gute Lektüre für heute abend

[DK2000]

Zur Not kann man auch TCPView nehmen, falls man keine Lust hat, in der Konsole rumzuwuseln.

Dieser Beitrag wurde von DK2000 bearbeitet: 11. Dezember 2006 - 20:55

[Ankh]

hallo,

winstall.exe habe ich im Ordner gesucht und nicht mehr gefunden. Kann sein dass Kaspersky die Exe schon gelöscht hat. Proxy habe ich keinen eingestellt, wüsste nicht wie, ich lebe in Luxemburg... ich kenne nur einen Provider hier

@blue32, ich les den stickie Heute Abend mal durch, habe Atm nicht sehr viel Zeit. Mit TPCview krieg ich auch nur Programme angezeigt von denen ich nicht richtig weiß was sie sind, ausser MSN und eventuell Kaspersky ist da nur System, Isass.exe, die zum Windows gehört, 4x System Process, 15 mal svchost.exe und 5 mal System:4. Ich frage mcih seid Tagen was das sein könnte... jedenfalls danke an alle für die bisherigen Antworten /thx

[Ankh]

Hier das gefragte Pic. Aber ich merke dass es ab- und zunimmt mit dem runterladen... Mal so mal so, mal schlimm, mal nicht so schlimm. Aber komischerweise ist es immer da.

Angehängte Miniaturbilder

• 

[Ankh]

OMG, hab die cmd datei von der Seite ausgeführt die ich oben gesehen habe und jetzt sieht mein TCPviewer so aus: Zwar keine svchosts mehr aber dafür....geht mein Internet jetzt kaum/gar nicht mehr X_X

P.S.:Surfen ist fast unmöglich geworden, fast 1 Minute für diese Seite (+ 1 Minute für die seite zum Posten)

PP.S.: Kann das Bild nicht mehr posten, jedenfalls sieht es so aus, dass ca 20 system process aufspringen, alle TCP, aber unterschiedliche remote adressen.

Kann kaum noch überhaupt surfen oder sonstiges, hab jetzt im gegensatz zu den vorherigen 1kb/s ca 2kb/s bis 5 kb/s die dauernd hin und her springen und die Verbindung zu fast 100% ausnutzen. Frage mich wieso das so ist, ich habe eine 1 mb/s Verbindung, zumindest sollte.

Dieser Beitrag wurde von Ankh bearbeitet: 11. Dezember 2006 - 23:39