Problem mit Netzwerkauslastung ! |
||
---|---|---|
#0
| ||
31.03.2006, 16:35
...neu hier
Beiträge: 6 |
||
|
||
31.03.2006, 19:27
Member
Beiträge: 686 |
#2
Grüß dich, xmasterpx, willkommen im Forum.
Auf den ersten Blick sieht dein Screenshot nach einem ausgewachsenen Schädling aus, der eine bestimmte Adresse mit Fragment attacks beballert. Du sagst nichts über dein Betriebssystem. Update? Also wenn XP unbedingt Service PAK 2. Firewall? Virenscanner? Anti-Spyware-Software? Du kannst aber in jedem Fall mal eine automatische Loganalyse von HijackThis machen (--> www.hijackthis.de). Oft hilft das schon, da kriegst du gemeldet, was du machen musst. Gruß Reinhart |
|
|
||
31.03.2006, 19:44
...neu hier
Themenstarter Beiträge: 6 |
#3
Hmm...
Hab ich durchgeführt. Das einziege was als BÖSE bezeichnet wurde ist : F2 - REG:system.ini: Shell=explorer.exe Ich glaube aber nicht das es daran liegt werde es gleich Fixen. An Security habe ich drauf: Spybot S&D AnitVir hänge hinter einem Router Problem: Firewall Ich hatte eigentlich die Windowseigene ^^ Nun ist sie aber aus und gibt mir die Meldung "Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden." Windows ist mit SP2 und XP Logfile of HijackThis v1.99.1 Scan saved at 19:31:26, on 31.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) mfg, Philipp |
|
|
||
31.03.2006, 20:53
Member
Beiträge: 686 |
#4
Ich nehme an, du hast Spybot und AntiVir (V7, update!) laufen lassen und die haben nix gefunden, oder?
Stimmt es genau, dass du in der System.ini den Eintrag shell=explorer.exe stehen hast oder stand da noch mehr in der Zeile? |
|
|
||
31.03.2006, 21:21
...neu hier
Themenstarter Beiträge: 6 |
#5
Jab hab ich alles durchlaufen lassen.
Nix da nix gefunden Und da stand nur das möhr nüscht. Es startet übrigens nach ein paar Minuten immer wieder neu ^^ nicht nur nach einem Neustart. |
|
|
||
31.03.2006, 21:22
Member
Beiträge: 686 |
#6
Zitat Ich nehme an, du hast Spybot und AntiVir (V7, update!) laufen lassen und die haben nix gefunden, oder?Darauf habe ich noch keine Antwort. Und jetzt: Nur die Ruhe, Mann. Also ich finde es am besten, wenn du mal einen Neustart machst und dann erstmal feststellst, ob deine Auslastung noch so hoch ist. Dann machst du ein HijackThis Log und postest das hier ins Forum. Wir wolln doch mal sehen, ob wir das Problem hier in den Griff kriegen. |
|
|
||
31.03.2006, 21:26
...neu hier
Themenstarter Beiträge: 6 |
#7
Zitat Jab hab ich alles durchlaufen lassen.So nachdem Neustart Log: Logfile of HijackThis v1.99.1 Scan saved at 21:31:36, on 31.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\Explorer.EXE E:\Programme\Executive Software\Diskeeper\DkService.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\WINDOWS\system32\RunDll32.exe E:\Programme\Java\jre1.5.0_06\bin\jusched.exe E:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe E:\Programme\iTunes\iTunesHelper.exe E:\Programme\QuickTime\qttask.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\WINDOWS\system32\LVCOMSX.EXE E:\Programme\Logitech\Video\LogiTray.exe E:\Programme\DAEMON Tools\daemon.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\mozilla.org\Mozilla\Mozilla.exe E:\Programme\Spybot - Search & Destroy\TeaTimer.exe E:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe E:\Programme\Google\Google Talk\googletalk.exe E:\Programme\Messenger\MSMSGS.EXE E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe E:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe E:\Programme\OpenOffice.org 2.0\program\soffice.exe E:\Programme\iPod\bin\iPodService.exe E:\Programme\OpenOffice.org 2.0\program\soffice.BIN E:\Programme\Logitech\Video\FxSvr2.exe E:\WINDOWS\system32\wuauclt.exe E:\WINDOWS\system32\wscntfy.exe E:\Programme\Teamspeak2_RC2\TeamSpeak.exe E:\Programme\WinRAR\WinRAR.exe E:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX00.757\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O1 - Hosts: 222.111.150.111 gwgt1.joymax.com O1 - Hosts: 85.25.5.16 rootserver O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - E:\Programme\FreshDevices\FreshDownload\fdcatch.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HGTXPEI] E:\WINDOWS\system32\FirstReboot.exe O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [MimBoot] E:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe O4 - HKLM\..\Run: [MMTray] "E:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [REGSHAVE] E:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMSX] E:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] E:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "E:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [googletalk] "E:\Programme\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] E:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\MSMSGS.EXE" /background O4 - Startup: OpenOffice.org 2.0.lnk = E:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FreshDownload - {F981FB2D-DBC0-490C-BE07-111D0F85B9D9} - E:\Programme\FreshDevices\FreshDownload\fd.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8BAF9A-5D10-4BBC-B0CE-C6DA69351630}: NameServer = 192.168.0.1 O18 - Protocol: Festoon - (no CLSID) - (no file) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: E:\WINDOWS\system32\svchl.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Dieser Beitrag wurde am 31.03.2006 um 21:32 Uhr von xmasterpx editiert.
|
|
|
||
01.04.2006, 10:04
Member
Beiträge: 686 |
#8
Es gibt ein paar kritische Stellen in deinem Log, aber einen direkten Schädling kann ich hier nicht erkennen.
Die Datei HOSTS enthält 2 seltsame Einträge, die sollst du fixen oder selber löschen (suche nach HOSTS ohne Endung, ist in \windows\system32\drivers\etc). Dann gibts da zwei seltsame Sachen: O9 - Extra button: FreshDownload - {F981FB2D-DBC0-490C-BE07-111D0F85B9D9} - E:\Programme\FreshDevices\FreshDownload\fd.exe O20 - AppInit_DLLs: E:\WINDOWS\system32\svchl.dll Wenn du diese Dateien nicht kennst, dann gehe vorsichtig ran und benenne sie zuerst mal nur um, z.B. in fd_exe.xyz. Wenn das Problem weiterhin besteht, melde dich. |
|
|
||
02.04.2006, 17:24
Ehrenmitglied
Beiträge: 29434 |
#9
xmasterpx
hier scheint ein Haxdoor auf dem System zu sein: und die Hosts ist auch nicht koscher.... Zitat O20 - AppInit_DLLs: E:\WINDOWS\system32\svchl.dll1. poste bitte das log: RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2006, 08:37
...neu hier
Themenstarter Beiträge: 6 |
#10
Sry für die späte Antwort !
Nachdem ich alles gefixt hatte und nochmal Virenscan im abgesicherten gemacht habe. Wurde nichts mehr gefunden ! Ich dachte juchu aber dann der neustart -.- Er ist danach nichtmehr im abgesicherten normalen oder in sonst irgend einem modus hochgefahren. Neuinstallation gemacht. Nun geht alles wieder -.- Danke für eure Hilfe mfg, xmasterpx |
|
|
||
Ich habe seid heute morgen ein Problem mit meiner Netzwerkauslastung ! Sie steht bei dauerhaften 99 % !!
Ich habe dann in den Status der Netzwerkverbindung geschaut und es werden jede Sekunde ca 10000 Pakete versendet!
Als ich das Bemerkt habe hab ich sofort Ethereal laufen lassen und hatte inner halb von 10 Sekunden einer 260 MB große LogDatei.
Solangsam bekomme ich richtig Angst das ich ein Mithelfer bin irgendwo einen Server lahm zu legen !
Ich Poste hier mal einen Screenshot.
Wenn mehr Informationen dann bitte Posten.
Ich bitte um schnelle Hilfe.*fleh*
Bild siehe Anhang
mfg,
Philipp
EDIT:
So...
Hab mal ein paar Prozesse beendet die mir zuviel Prozessor Leistung hatten.
Beim beenden der svchost.exe ist die Netzwerkauslastung wieder auf 0,02% gegangen und eswurden keine Pakete mehr gesendet.
Rechner neustart gleiches Problem wieder.
Habe dann versucht zu schauen welche .dll auf dem besagten Prozess läuft.
Mit
CMD---> tasklist/svc
Ergebnis
svchost.exe 892 Nicht verfügbar
services.exe 924 Eventlog, PlugPlay
lsass.exe 936 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 1108 DcomLaunch, TermService
svchost.exe 1220 RpcSs
svchost.exe 1316 AudioSrv, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, HidServ, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
seclogon, SENS, ShellHWDetection, srservice,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
svchost.exe 1360 Dnscache
svchost.exe 1440 LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe 1672 Spooler
Das oberste Ergebnis ist die besagte svchost.exe kann man ja mit der PID feststellen. Also Ergebnis "Nicht verfügbar".
Was kann ich nun tun?
Jedes mal beim Start diese Datei killen kann ja nicht das gelbe vom Ei sein.
mfg,
Philipp