Nach ca. 90 Minuten kein Internet mehr

#0
08.06.2004, 00:11
...neu hier

Beiträge: 2
#1 Seit gestern abend kann ich nach ca. 90 Minuten Uptime (der PC, wie lang ich im Internet bin, ist egal) nicht mehr ordentlich ins Internet. Die Zeit ist evtl. variabel, ich weiß nur diese eine, sonst hab ich nicht nachgemessen.
Internet Explorer gibt dauernd 404, Opera sagt, dass der Server abgewiesen hat und mIRC meldet "No buffer space available".
Installiert habe ich kurz vorher CloneDVD und AnyDVD, aber ich denke, daran kanns nicht liegen.

Blaster-Removal + -Schutz und Sasser-Removal + -Schutz-Tools von M$ sind installiert. Antivir findet nichts, er hat W32.Random.B5 oder so gefunden, der is aber schon gelöscht. Auch auf einen Tip hin, dass es Blasterreste sein könnte (?!?) hab ich das Norton-Tool dazu durchlaufen lassen, nichts gefunden.

Fall es hilft, mal die HijackThis-Log:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 23:58:28, on 07.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\DIRECT~1\DUService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\DirectUpdate\DUControl.exe
C:\WINDOWS\System32\wuammgr32.exe
D:\Programme\SlySoft\CloneCD\CloneCDTray.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Opera7\Opera.exe
C:\WINDOWS\System32\wuauclt.exe
D:\pRogramme\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinVNC] "D:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [DUControl] D:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Win Config] SYSRUN.EXE
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuammgr32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6F6A42-C00E-44B6-B1BB-3206C0CE7647}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B6F6A42-C00E-44B6-B1BB-3206C0CE7647}: NameServer = 217.237.150.97 194.25.2.129
Ad-Aware hat n paar Tracker und VX2.BetterInternet gefunden. Das letztere hab ich mit Ad-Aware bereits gelöscht, kann aber gut sein, dasses sich wieder installiert. Das werd ich nach nem Reboot mal adden.

Edit:
Nachm Update der Referenzdatei meldet Ad-Aware noch einen Possible Browser Hijack sowieso (Registry-Key).

Edit2:
Und nochwas... Wenn ich Google oder M$.com anpinge pingt er an www.google.akadns.net und www2.microsoft.akadns.net. M$.de pingt er richtig an.

Edit3:
OS is WinXP
Dieser Beitrag wurde am 08.06.2004 um 00:28 Uhr von MasterG editiert.
Seitenanfang Seitenende
08.06.2004, 10:46
Member

Beiträge: 1095
#2 @MasterG

Du hast doch ein paar Sachen auf deinem Rechner

Bitte dies hier fixen
O4 - HKLM\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuammgr32.exe
ACHTUNG ist mehrmals da
O4 - HKLM\..\Run: [Win Config] SYSRUN.EXE
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab

Die hier sind völlig unnötig, aber ungefährlich
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

Von denen 2 solltest du wissen was Sie machen. Mußt selber entscheiden was du damit machst.
O4 - HKLM\..\Run: [DUControl] D:\Programme\DirectUpdate\DUControl.exe
DNS_Updater
O4 - HKLM\..\Run: [WinVNC] "D:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
Fernsteuerungssoftware zu Fernwartung

Dann bitte dies machen
http://www.rokop-security.de/main/article.php?sid=703

Dann neustart und nochmal logfile posten

Die Dateien wuammgr32.exe,SYSRUN.EXE bitte packen und an virus@protecus.de schicken, dann löschen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 08.06.2004 um 10:49 Uhr von paff editiert.
Seitenanfang Seitenende
08.06.2004, 13:30
...neu hier

Themenstarter

Beiträge: 2
#3

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 13:31:07, on 08.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\DIRECT~1\DUService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\DirectUpdate\DUControl.exe
D:\Programme\SlySoft\CloneCD\CloneCDTray.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Opera7\Opera.exe
D:\programme\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinVNC] "D:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [DUControl] D:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6F6A42-C00E-44B6-B1BB-3206C0CE7647}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B6F6A42-C00E-44B6-B1BB-3206C0CE7647}: NameServer = 217.237.150.97 194.25.2.129
Ich seh da nix besonderes mehr. Einen Run-Eintrag von wuammgr32.exe musste ich manuell löschen, den hat HijackThis nicht gefunden. SYSRUN.EXE war längst nicht mehr aufm System vorhanden, nur noch der Run-Eintrag (Irgendwie find ich das schon lustig, dass sysrun alles schließt, was ihn stören könnte....).
Vielen Dank!
Seitenanfang Seitenende