XP Home ist langsam und Browser erreicht Webseiten nicht |
||
---|---|---|
#0
| ||
19.01.2005, 16:36
...neu hier
Beiträge: 8 |
#16
naja und bei ebay bekomm ich die gleiche fehlermeldung wenn ich mich anmelden will...
|
|
|
||
19.01.2005, 17:25
Ehrenmitglied
Beiträge: 29434 |
#17
Mach mal Scriptblocking vom Symantec aus.
du hast kontinuierlich Zonealarm und Symantec aktiv und wahrscheinlich nicht korrekt konfiguriert) ich weiss nicht, ob es daran liegt, aber vielleicht...... __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.01.2005 um 17:26 Uhr von Sabina editiert.
|
|
|
||
19.01.2005, 17:38
...neu hier
Beiträge: 8 |
#18
das mit dem einlogen geht jetz...hab in der autostart ne datei gehabt die hies nwiz.exe
weiß zwr net was das war aber hab es rausgenommen..und jetz kann ich mich auch auslogen.. naja meine geschwindigkeiten sind noch net hochgegangen |
|
|
||
19.01.2005, 17:48
...neu hier
Beiträge: 8 |
#19
meinte überall wieder einlogen un net auslogen..
|
|
|
||
23.01.2005, 18:17
Member
Beiträge: 28 |
#20
Hey ich habe ein problem und zwar habe ich Windows XP Home und wenn ich ins Internet gehe, klappt soweit alles ganz gut nur nach einiger Seite kann mein Browser keine Seiten mehr öffnen und die Verbindung zum Internet wird getrennt. Wenn ich den PC aber hochfahre und sofort den Prozess "svchost.exe" beende (Die Größe beträgt immer irgendwas um die 17000k) läuft es zumindest auf längere Zeit besser. Das Problem beim svchost.exe ist aber das es eine Prozessorauslastung von 99% hat.
Woran könnte das liegen? Hier mal den Scan von Hijack: Logfile of HijackThis v1.99.0 Scan saved at 18:17:41, on 23.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\recycler\mActiveX.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuampd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\Dokumente und Einstellungen\Steve\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=135343 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=135343 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=135343 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://people.freenet.de/virtual.eduz/index.htm R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 82.179.166.192 new-search.net O1 - Hosts: 82.179.166.190 x-google.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: C:\WINDOWS\lbbho.dll - {9EBC3CD5-79A4-429A-8C1D-9EED48899F4B} - C:\WINDOWS\lbbho.dll O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActiveX.exe O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c15.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/ss_stopsign.cab?n=s_gg_infn_vir-file&kw=gg_infn_vir-file_4_86_se_svchost.exe&pg=%26se_spin%26se027%26ss_dc001&ver=online&sv=se027&dc=1&SV=ss_dc001 O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8293138B-4AB3-487F-964B-4D17BDDAE84D}: NameServer = 217.237.150.225 217.237.150.141 O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll Dieser Beitrag wurde am 23.01.2005 um 18:19 Uhr von Devon editiert.
|
|
|
||
23.01.2005, 18:28
Ehrenmitglied
Beiträge: 29434 |
#21
Hallo@Devon
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=135343 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=135343 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=135343 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://people.freenet.de/virtual.eduz/index.htm R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 82.179.166.192 new-search.net O1 - Hosts: 82.179.166.190 x-google.net O2 - BHO: C:\WINDOWS\lbbho.dll - {9EBC3CD5-79A4-429A-8C1D-9EED48899F4B} - C:\WINDOWS\lbbho.dll O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file) O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe -->WORM_RBOT.UM O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c15.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/ss_stopsign.cab?n=s_gg_infn_vir-file&kw=gg_infn_vir-file_4_86_se_svchost.exe&pg=%26se_spin%26se027%26ss_dc001&ver=online&sv=se027&dc=1&SV=ss_dc001 O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot C:\recycler\mActiveX.exe C:\WINDOWS\System32\mActiveX.exe C:\WINDOWS\System32\xplugin.dll C:\WINDOWS\System32\wuampd.exe C:\WINDOWS\nsdb\hosts C:\WINDOWS\Downloaded Program Files\bridge.dll C:\WINDOWS\lbbho.dll und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) #C:\Windows\Downloaded Programm Files\ -->löschen (ALLE) #Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 scannen--> PC neustarten--> scannen--< poste das Log vom Scann <Zone Labs ZoneAlarm von Zone Labs ist in der Grundversion kostenlos und besonders für Einsteiger geeignet. http://www.zonelabs.de/download/znalm.html <Zone Alarm Deutsche Bedienungsanleitung Kleines Manual auf trojaner-info.de, auch zum Download. http://www.trojaner-info.de/zone/zonealarm.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #Onlinescann" eTrust Antivirus"(nur mit IE moeglich) http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20 und poste das neue Log vom HijackThis ------------------------------------------- Applying Patches This malware exploits known vulnerabilities affecting the Windows NT platforms. Refer to the following Microsoft pages to download and install the the needed files to patch your system. * Microsoft Security Bulletin MS02-061 * Microsoft Security Bulletin MS03-026 * Microsoft Security Bulletin MS03-007 * Microsoft Security Bulletin MS04-011 Refrain from using the affected software until the appropriate patch has been installed. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EUM&VSect=Sn __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.01.2005 um 18:36 Uhr von Sabina editiert.
|
|
|
||
25.01.2005, 16:06
Member
Beiträge: 28 |
#22
Hey Sabina, erstmal danke für deine Hilfe aber jetzt hab ich noch ein Problem. Wenn ich bei diesem Punkt angekommen bin wo ich das hier --> "#Ad-aware SE Personal 1.05 Updated" runterladen soll ist noch alles okay aber sobald ich das Programm starte kommt folgendes.
und mein PC schmiert ab. Was ist das?`Hier nochmal ein Log-File von Hijack: Logfile of HijackThis v1.99.0 Scan saved at 16:05:48, on 25.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Steve\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://82.179.166.192/search.php?v=6&aff=718907 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=718907 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.192/index.php?v=6&aff=718907 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvnne32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{8293138B-4AB3-487F-964B-4D17BDDAE84D}: NameServer = 217.237.150.225 217.237.150.141 O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) O23 - Service: NOD32 Kernel Service - Unknown - C:\Programme\Eset\nod32krn.exe DANKE!!! |
|
|
||
25.01.2005, 19:09
...neu hier
Beiträge: 4 |
#23
Hallo Devon
Das Hatte Ich auch schon mal. Das ist der W32.Blaster.Worm ziemlich nervig aber kein Problem ihn weg zubekommen. (So wars jeden falls bei mir) Diese Seite wird dir weiterhelfen: http://www.bsi.de/av/vb/blaster.htm Tip: Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen. Jede weitere Masnahme lasse ich Sabina erledigen sie kennt sich da besser aus. mfg meisterjoshi Dieser Beitrag wurde am 25.01.2005 um 19:12 Uhr von meisterjoshi editiert.
|
|
|
||
26.01.2005, 01:28
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo@Devon
Das ist nicht der Blaster , das ist ein Angriff von dem Backdoor./Malware type: Worm Aliases: W32/Gaobot.BAL.worm Wenn ich mir dein System so betrachte, kommt mir das Grausen Nimm deinen XP-CD und formatiere !!!!!!!!!!! * Buffer Overflow in SQL Server 2000, which is a vulnerability that allows a low-level user to run, delete, insert or update Web tasks. In turn, an attacker who is able to authenticate to a SQL server may do the same actions, and run already created Web tasks in the context of the creator of that task. More information on this vulnerability is found in Microsoft Security Bulletin MS02-061. * The RPC/DCOM vulnerability, which allows an attacker to gain full access and execute any code on a target machine by sending a malformed packet to the DCOM service. It uses the RPC TCP port 135. More information on this vulnerability is found in Microsoft Security Bulletin MS03-026. * The IIS/WebDAV vulnerability, which enables arbitrary codes to execute on the WebDAV server by also sending a malformed request packet. This exploit is a service related to the HTTP on port 80. More information about this vulnerability is found in Microsoft Security Bulletin MS03-007. * The Windows LSASS vulnerability, which is a buffer overrun that allows remote code execution and enables a malicious user to gain full control of the affected system. This vulnerability is discussed in detail in Microsoft Bulletin MS04-011 and Trend Micro's Vulnerability Description for MS04-011. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.01.2005 um 01:31 Uhr von Sabina editiert.
|
|
|
||