Rechner will selbständig ins Internet

#0
26.09.2004, 13:08
...neu hier

Beiträge: 2
#1 Liebe Forum Gemeinde!

Nachdem ich letzte Woche nach dem Abfragen ein Haufen von Werbe- und Spammails bekommen hatte, will mein Rechner nach dem trennen der I-Verbindung wieder ins Netz. Er beginnt die Verbindung automatisch herzustellen und wenn ich auf „Abbrechen“ klicke, beginnt er es wieder in 5 bis 10 sec Intervallen. Wenn ich dann schnell den Rechner Neustarte, dann ist wieder Ruche, bis ich selbst ins Netz komme. Nach dem trennen beginnt wieder das gleiche, dabei muss ich gar nicht ins Outlook oder Explorer einsteigen. Es reicht, wenn ich alleine die Verbindung hergestellt habe. Norton und McAfee haben nichts gefunden. Alle Internetinhalte habe ich inzwischen gelöscht. Gleich nachdem die Verbindung kann ich erkennen, dass mein Rechner mit jemanden „kommuniziert“. Das komische ist auch, wenn ich in mein Gästebuchforum einsteigen will, fragt er 2 Mal nach meinen Zugriffskodes. Meine Vermutung ist, dass das zweite Mal jemand an „der anderen Leitung“ meine Daten liest. Deswegen steige seit einigen Tagen nirgendwo mehr ein, wo ich meine Daten eintippen muss.
Kann mir bitte jemand von Euch helfen? Oder auf ein Thema hinweisen, die schon früher dieses Problem behandelt hat? Damals bei FxSasser Virus habe ich hier großartige Hilfe gefunden.
LG Julius
Seitenanfang Seitenende
26.09.2004, 13:12
Member

Beiträge: 48
#2 Bitte ein Log mit diesem Programm erstellen:

http://hjt.klaffke.de/

Inhalt hier ins Forum posten.
Seitenanfang Seitenende
26.09.2004, 18:04
...neu hier

Themenstarter

Beiträge: 2
#3 Lieber aelfric

Danke, dass Du dir das anschaust.
LG Julius


Logfile of HijackThis v1.98.2
Scan saved at 18:03:18, on 26.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\datenbank\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinTV\Ir.exe
C:\datenbank\mysql\bin\winmysqladmin.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Julius & Jana\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Startup: WinMySQLadmin.lnk = C:\datenbank\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABC1F093-FEF1-4261-82F4-856506BE59F6}: NameServer = 195.70.224.45 213.90.38.3
Seitenanfang Seitenende
26.09.2004, 22:11
Member

Beiträge: 48
#4 Zunächst mal ist dein Syetem gar nicht gepatched, es ist notwendig, regelmäßig (möglichst wöchentlich) alle Updates für XP und den IE aufzuspielen): www.windowsupdates.com

Der Übeltäter in deinem Fall dürfte dieser sein:

C:\WINDOWS\System32\vpc32.exe

http://it.trendmicro-europe.com/consumer/security_info/ve_detail.php?Vname=WORM_AGOBOT.XM

er nutzt unter anderem auch Schwachstellen aus, die längst gefixed sind, es sei denn, die entsprechenden Patches sind eben nicht drauf (siehe oben).
Da es ein Programm mit Bakdoorfunktionen ist, wäre das Sicherste eine Neuinstallation des Systems:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/security/windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und war*hier nicht!*-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen


Wenn du das nicht kannst/willst, entpacke Hijackthis zunächst in ein eigenes Verzeichnis und starte es von da.

E-Scan herunterladen und updaten:

http://www.trojaner-info.de/hijacker/escan.shtml

Systemwiederherstellung deaktivieren:

http://www.bsi.de/av/texte/wiederher_xp.htm

Beende über den Taskmanager:

C:\WINDOWS\System32\vpc32.exe
C:\Programme\WinTV\Ir.exe

Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

C:\WINDOWS\System32\vpc32.exe
C:\Programme\WinTV\Ir.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
04 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

Boote in den abgesicherten Modus:

http://www.bsi.bund.de/av/texte/winsave.htm

lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.


Wie gesagt, die optimale Lösung wäre das Abarbeiten der obigen Punkte.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »