[erichlebt]

Ich habe ein (kleiens) Problem mit mit meinem neu installierten XP. Denn wenn ich nun (mit freenet cbc) ins Internet gehe bekomme ich einen permanenten Datentransfer. Weder Antivir noch adaware oder trojanhunter haben was gefunden. Wenn ich die verbindung dann beende kommt die Meldung das ich oder ein Programm Daten von "privat.akill.org" angefordert hat? Hab ich noch nie gehört....

Hat irgendeiner vielleicht eine Idee was das ist?

Danke im Voraus!

[Strider]

hijackthis runterladen, scannen lassen und log hier posten

[The_Nightflyer]

Am besten HijackThis runterladen, und das Logfile hier posten, evtl
hast du dir was eingefangen!

Download

Edit, da war Strider schneller!

Dieser Beitrag wurde von The_Nightflyer bearbeitet: 31. Mai 2004 - 16:43

[erichlebt]

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Proxomitron Naoko-4\Proxomitron.exe
C:\WINDOWS\System32\wkssvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\PC-Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080;https=localhost:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: The Proxomitron.lnk = C:\Programme\Proxomitron Naoko-4\Proxomitron.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8138.3248148148
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF63D11A-7552-48B7-90B2-F4A2F32CEA50}: NameServer = 62.104.191.241 62.104.196.134

Aber bei den Prozessen laufen noch mehr als hijackthis anzeigt, zum Beispiel alg.exe (Benutzername: LOKALER DIENST)

[Strider]

C:\WINDOWS\System32\wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe

sehr verdächtig

O4 - Global Startup: The Proxomitron.lnk = C:\Programme\Proxomitron Naoko-4\Proxomitron.exe

braucht du proxomitron denn wirklich ? könnte dein prob erklären, nicht ?

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

was machst du denn damit ? ist zwar nicht gefährlich, aber es handelt sich eine eingabehilfe für japanische zeichen in office...

[erichlebt]

Zitat (Strider: 31.05.2004, 17:32)

C:\WINDOWS\System32\wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe

sehr verdächtig

O4 - Global Startup: The Proxomitron.lnk = C:\Programme\Proxomitron Naoko-4\Proxomitron.exe

braucht du proxomitron denn wirklich ? könnte dein prob erklären, nicht ?

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

was machst du denn damit ? ist zwar nicht gefährlich, aber es handelt sich eine eingabehilfe für japanische zeichen in office...

Wieso sollte proxomitron damit zusammenhängen? Benutz ich schon immer und es gab nie Probleme. Die ostasiatischen Sprachen brauch ich, die könnens doch aber auch nicht sein, oder?

Was ist dieses wkssvr.exe und wieso ist es sehr verdächtig?

[Strider]

wenn dus brauchst behalte es, kein problem hab ja nur nachgefragt

ich hab gerade gelesen was diese proximitron zeugs so alles macht, scheint mir sinnlos (kann mich aber auch irren, du weisst ja bestimmt WARUM du das benutzt), aber ich glaube nicht dass das die ursache deines probs ist

wkssvr.exe ist verdächtig weil
1. ich es noch nie gesehen habe
2. da was von microsoft update steht, und ich bin mir fast sicher dass wkssvr.exe nichts mit windows update zu tun hat
3. doppelter eintrag, ergo sinnlos

fixe diesen eintrag mal, mal schauen ob das hilft (scahden kanns nicht, und hijackthis macht eh nen backup)

btw nen ganzen text zu quoten ist sinnlos, vor allem wenn der qequotete text just vor deinem post steht <_<

Dieser Beitrag wurde von Strider bearbeitet: 31. Mai 2004 - 17:49

[Rika]

wkssvr.exe ist definitiv böse.
Und Proxomitron ist einfach nur geil, sogar noch besser als Privoxy - wenn man aber nicht mal fähig ist, seinen Rechner vor Malware zu sichern, dann nützt es einem doch arg wenig.
alg.exe ist normal, solltest du aber mal abstellen, weil überflüssig.
Und wenn du weiterhin mit dem IE surfst, dann solltest du dich auch nicht wundern, wenn du dir in Zukunft wieder etwas einfängst.