Unangekündigter Systemneustart beim Internetzugang

#1 Hallo!

Ich habe schon ein wenig im Forum gesucht, aber nichts entdeckt, was mein Problem genau darzustellen / zu lösen scheint.

Seit 3 Tagen tritt bei meinem Rechner folgendes Problem auf:

1. Während ich im Net war, bekam ich von meiner Firewall (GData AV Kit Internet Security 2005) die Meldung, dass dsl-082-083-xxx-xxx.arcor-ip.net eine Remote Verbindung mit meinem Rechner herstellen wollte. Wenn ich 'Nie erlauben' anklickte, startete mein Rechner neu. Klickte ich 'Einmal nicht erlauben' an, um zu sehen, ob es nochmal passiert, startete mein Rechner neu. Letztendlich habe ich es einmal erlaubt, bin dann aber sofort in das FWall-Prog und habe den Zugriff per Regeländerung wieder untersagt. (Wußte mir nicht mehr anders zu helfen - bin zwar kein absoluter DAU, aber auch garantiert keine PC-Fee.)

2. Ab diesem Zeitpunkt bekam ich mindestens alle 30 Sek. die Meldung, dass mein Rechner mit Lovesan angegriffen würde, die FWall dies allerdings abblocken würde. Auf Dauer etwas nervend.

3. Ich bemerkte, dass die von mir erstellte Regel sich auf eine bestimmte Remote-Adresse bezog, diese sich immer wieder änderte und somit die Regel umging. Im Fenster 'Offene Verbindungen' traten auch immer wieder Verbindungen auf. Also habe ich das Ganze generell blockiert und somit folgende 2 Regeln erstellt:
1. Das Senden und Empfangen von UDP-Paketen wird für Svchost.exe blockiert.
2. Das Annehmen eingehender Verbindungen von Remote-Computern nach TCP wird für Svchost.exe blockiert.

4. Danach traten die Angriffe nicht mehr auf. Es kam noch einmal die Meldung vom Anfang, dass ein Rechner eine Remote-Verbindunge herstellen wollte, als ich diese blockierte, startete mein Rechner neu *seufz* - dann war aber erstmal (vermeitlich) Ruhe.

5. Als ich das nächste Mal ins Internet ging, startete der Rechner zwischendurch ohne jegliche Meldung neu. Dies passiert seitdem immer wieder - mal nach kurzer, mal nach längerer Zeit.

6. Ich habe XP Home (auf dem neusten Stand, d.h. SP2 + aktuellste Updates), meine FWall- & Antiviren-SW erwähnte ich oben schon, ich habe Spybot S&D, AdAware & CWS Shredder generell auf dem Rechner und seitdem das Problem auftritt auch Symantecs Blaster Fixer. Keines dieser Programme kann mir weiterhelfen, denn außer ein paar verfolgenden Cookies wurde nichts gefunden...

7. *argh*

Kann mir bitte jemand helfen?!

Vielen Dank im Voraus...
Miko

#2 HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Logfile of HijackThis v1.99.0
Scan saved at 11:21:09, on 20.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Miko\Desktop\Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1284AFBD-E88C-4FDF-A903-6E5FCD592E60}: NameServer = 195.50.140.250 145.253.2.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{1284AFBD-E88C-4FDF-A903-6E5FCD592E60}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (Application) - Sony Corporation - C:\Programme\Sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) - Unknown - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe


Hallo Sabina!

Hier mein Logfile (wollte es nicht ungefragt posten). Ich habe das auch schon auf der Hijacker-HP eingegeben, die hier im Forum als Link gelistet wurde, allerdings wurde mir nur (?) diese Zeile
O4 - Global Startup: Firewall.lnk = ?
als 'Böse' angegeben.

Bin übrigens seit 11 Uhr online und bis jetzt ist nichts passiert... *kopfschüttelt*

Liebe Grüße,
Miko

#4 Hallo@Miko136

Das Problem kommt wahrscheinlich von:

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab

(starte neu) und arbeite folgendes ab:

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

dann berichte (poste die Scan-Logs)
__________
MfG Sabina

rund um die PC-Sicherheit