[DarkIdol]

Moin,
keine Ahnung ob das hier das richtige Forum ist
Nach einem komplett Umbau habe ich mir wieder XP Prof und den Explorer drauf gespielt. Seid dem habe ich folgendes Problem:
Wenn ich online gehe sehe ich, das ich ich eine Menge Daten sende. Ich weiß aber nicht warum. Aktuell bin ich seit 10min online und ich habe bereits runde 6MB gesendet.
Antivir findet nix.
SP1 und alles andere ist geladen und läuft.
MS XP Firewall läuft!

Kann mir da jemand helfen?

CU Chris

[m!lk]

ich verrat dir n tipp: schmeiss den ie weg, und nimm firefox oder von mir aus opera...

das sag ich net weil mir keine antwort auf dein problem einfällt, sondern weil es wirklich das beste ist was man tuen kann....
ps: deine "firewall" kannste dir auch spaaren.... macht eh mehr probleme als das sie helfen tut...

[DarkIdol]

hi,
aber das ändert ja wohl nix an der tatsache, das ich heute morgen, bei 60min online schon 35MB gesendet habe - oder?

[kxxx]

Lade mal HijackThis runter und poste hier das Logfile.
Hört sich nach einem Trojaner an.

[DarkIdol]

Logfile of HijackThis v1.97.7
Scan saved at 09:10:10, on 13.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\msgfix.exe
C:\Programme\Mouse\Amoumain.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\msgfix.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msnmsgr.exe
c:\hijackthis\hijackthis.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Dokumente und Einstellungen\Brauns\Desktop\hjtlog.exe
c:\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rhein-zeitung.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\qqquv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8148.0983333333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF2E19BD-2AA0-46CE-B7D2-98AF4B491004}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F19FB032-DAC6-42D9-9848-795F711B8147}: NameServer = 194.25.0.60

[DarkIdol]

Hi,
die scheisse wird noch schlimmer:
ich kann kaum noch seiten öffnen (nicht gefunden) grafiken und icons sind nicht mehr zu sehen ( rotes X) und ein download ist nicht mehr möglich. kann hier z.b. keinen andern broweser mehr saugen.

[born2flame]

Wurm!?: C:\WINDOWS\System32\msgfix.exe
Info's: http://uk.trendmicro-europe.com/enterprise...DBOT.TW&VSect=T
Nach zwei mal gucken...:
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\qqquv.exe
WindowsUpdate? - Seltsam>Prüfen!

Mein Vorschlag wäre:
KAV Trial runterladen und installieren(www.avp.ch), oder halt einen anderen Wurmkiller.

Spybot S&D sowie AdAware wäre auch nicht falsch.

Dieser Beitrag wurde von born2flame bearbeitet: 13. Juni 2004 - 09:01

[DiNozzo]

Wenn du einen anderen Browser als den IE verwenden willst probier mal:

Firerox

oder

Mozilla

oder

Opera

[DarkIdol]

Zitat (born2flame: 13.06.2004, 08:25)

Wurm!?: C:\WINDOWS\System32\msgfix.exe
Info's: http://uk.trendmicro-europe.com/enterprise...DBOT.TW&VSect=T
Nach zwei mal gucken...:
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\qqquv.exe
WindowsUpdate? - Seltsam>Prüfen!

Mein Vorschlag wäre:
KAV Trial runterladen und installieren(www.avp.ch), oder halt einen anderen Wurmkiller.

Spybot S&D sowie AdAware wäre auch nicht falsch.

hi,
den msgfix habe ich nun wohl gekillt - via hand!
bei avp treffe ich nur den 49.99$ killer und der ist mir eigendlich zu teuer. oder gibt es da einen kostenlosen?

wie soll die die beiden einträge prüfen? kann ich die einfach löschen ?

[DarkIdol]

Zitat (mastre1: 13.06.2004, 09:01)

Wenn du einen anderen Browser als den IE verwenden willst probier mal:

Firerox

oder

Mozilla

oder

Opera

hi,
firefox läuft schon bei mir - klappr bisher ganz gut und läuft stabil!

[DiNozzo]

Hier gibts Spybot S & D

und hier gibts AdAware

[born2flame]

Zitat (DarkIdol: 13.06.2004, 10:08)

oder gibt es da einen kostenlosen?

Klar, den meinte ich.

Programm: http://downloads-us1.kaspersky-labs.com/pr..._personalde.exe
oderftp://downloads-eu1.kaspersky-labs.com/pr..._personalde.exe

30 Tage Key:
ftp://ftp1.avp.ch/eval/0006d9ee.key

Zitat

wie soll die die beiden einträge prüfen? kann ich die einfach löschen ?

Ja, sollte aber wenig bringen wenn du nicht nach der Anleitung vorgehst wie diese Würmer, wenn es denn welche sind, entfernt werden können.
Die sind leider so biestig das sie nicht nur einen Eintrag hinterlassen, darum lieber ein gutes Programm dazu verwenden(lass mal den KAV laufen - der sollte das alles erledigen).

Dieser Beitrag wurde von born2flame bearbeitet: 13. Juni 2004 - 09:15

[DarkIdol]

Danke an alle!

Mit AntiVir, Spybot und viel Handarbeit dürfte ich sauber sein. Zu Sicherheit nochmal beim Log weiter unten!

Nur: Wie bekomme ich diesen Kram von Symantec wieder raus?


Logfile of HijackThis v1.97.7
Scan saved at 12:05:34, on 13.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mouse\Amoumain.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\WINDOWS\System32\devldr32.exe
D:\Programme\MSI\i-Speeder\i-Speeder.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Brauns\Desktop\hjtlog.exe
c:\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://winfuture.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: PC Alert 4.lnk = D:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8148.0983333333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF2E19BD-2AA0-46CE-B7D2-98AF4B491004}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F19FB032-DAC6-42D9-9848-795F711B8147}: NameServer = 194.25.0.60

[DiNozzo]

Zitat (DarkIdol: 13.06.2004, 12:06)

Nur: Wie bekomme ich diesen Kram von Symantec wieder raus?

Naja, durch deinstallieren wird das meiste entfernt, aber wenn du ganz sicher gehen wills, dann musst du neu formatieren