starke Uploadraten

#0
01.10.2004, 16:47
...neu hier

Beiträge: 1
#1 Hallo zusammen.

Mein Kollege hat ein Problem mit seinem PC. Sein Upload geht schlagartig hoch auf ca 25Kb. Sein ganzes System war vermüllt mit Spyware + Viren, die er aber nun beseitigt hat(Ad Aware / Spybot / Anti Vir XP )

Siehe Bild [URL=http://www.picupload.net/files/20040110/1096643163.jpg][IMG]

Aber er hat wie gesagt hohe Uploadraten obwohl er nichts macht.
Er kann gar nichts mehr machen. Kein spielen.. auch wenn ich ihm per Miranda Messages schicken will , brauchen die 2 Minuten bis sie ankommen. Alles sehr komisch.

Er hatte auch diesen Wootbotwurm, der anscheinend im Hintergrund Sachen hoch bzw runterlädt.

Da wir beide eigentlich von Viren etc keine Ahnung haben, seit ihr seine letzte Rettung *g*, denn formatieren will er nur bedingt.

Paar Fakten zu seinem PC:

Win XP Prof SP1
512 MB DDR Ram
DSL über Arcor Provider.
Sygate Personal Firewall 5.5

[Edit] mittlerweile bekommt er auch wieder eine Warnung von Anti Vir das der Wootbot Wurm anscheinend immer noch drauf ist.

Wer könnte helfen bei seinem "Slowdown" Problem?

P.S haben jetzt mal die winitr32.exe und tskdll.exe von der Firewall blocken lassen und auch aus dem Taskmanager gekickt. Jetzt is die Uploadrate von 2x auf 9 geschrumpft lol.



Hijack This Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:39:19, on 01/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\scvhost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Cruzzz-T\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows servict] tskdll.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [True] scvhost.exe
O4 - HKLM\..\RunServices: [Windows servict] tskdll.exe
O4 - HKLM\..\RunServices: [True] scvhost.exe
O4 - HKLM\..\RunOnce: [True] scvhost.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0527cda75bf02f654d17/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B049431-ACF1-4B04-8022-C6286D920377}: NameServer = 195.50.140.250 145.253.2.11


Er hat jetzt auch noch die SCVhost.exe mit der Firewall geblockt und auch den prozess abgeschossen. NU sind die Uploadprobleme endlich weg ;)

Was sollte er jetzt tun?
Nochma virenscannen?
Dieser Beitrag wurde am 01.10.2004 um 17:47 Uhr von Kabi editiert.
Seitenanfang Seitenende
01.10.2004, 17:55
Moderator

Beiträge: 7805
#2 Fix mal das:

O4 - HKLM\..\Run: [Windows servict] tskdll.exe
O4 - HKLM\..\Run: [True] scvhost.exe
O4 - HKLM\..\RunServices: [Windows servict] tskdll.exe
O4 - HKLM\..\RunServices: [True] scvhost.exe
O4 - HKLM\..\RunOnce: [True] scvhost.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe

Starte neu und schicke mal C:\WINDOWS\System32\scvhost.exe, skdll.exe und msnmsg.exe wenn du sie noch finden kannst. Dann mal Escan nutzen:
http://www.trojaner-info.de/hijacker/escan.shtml und zumindest deine Passroerter aendern.

Lies auch mal das:
http://www.heise.de/newsticker/meldung/51689
http://www.heise.de/newsticker/meldung/46634
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: