Problem mit Netzwerkauslastung !

#1 Hallo,
Ich habe seid heute morgen ein Problem mit meiner Netzwerkauslastung ! Sie steht bei dauerhaften 99 % !!
Ich habe dann in den Status der Netzwerkverbindung geschaut und es werden jede Sekunde ca 10000 Pakete versendet!
Als ich das Bemerkt habe hab ich sofort Ethereal laufen lassen und hatte inner halb von 10 Sekunden einer 260 MB große LogDatei.
Solangsam bekomme ich richtig Angst das ich ein Mithelfer bin irgendwo einen Server lahm zu legen !
Ich Poste hier mal einen Screenshot.
Wenn mehr Informationen dann bitte Posten.
Ich bitte um schnelle Hilfe.*fleh*

Bild siehe Anhang

mfg,
Philipp


EDIT:

So...
Hab mal ein paar Prozesse beendet die mir zuviel Prozessor Leistung hatten.

Beim beenden der svchost.exe ist die Netzwerkauslastung wieder auf 0,02% gegangen und eswurden keine Pakete mehr gesendet.
Rechner neustart gleiches Problem wieder.
Habe dann versucht zu schauen welche .dll auf dem besagten Prozess läuft.
Mit
CMD---> tasklist/svc
Ergebnis
svchost.exe 892 Nicht verfügbar
services.exe 924 Eventlog, PlugPlay
lsass.exe 936 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 1108 DcomLaunch, TermService
svchost.exe 1220 RpcSs
svchost.exe 1316 AudioSrv, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, HidServ, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
seclogon, SENS, ShellHWDetection, srservice,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
svchost.exe 1360 Dnscache
svchost.exe 1440 LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe 1672 Spooler

Das oberste Ergebnis ist die besagte svchost.exe kann man ja mit der PID feststellen. Also Ergebnis "Nicht verfügbar".
Was kann ich nun tun?
Jedes mal beim Start diese Datei killen kann ja nicht das gelbe vom Ei sein.

mfg,
Philipp

#2 Grüß dich, xmasterpx, willkommen im Forum.

Auf den ersten Blick sieht dein Screenshot nach einem ausgewachsenen Schädling aus, der eine bestimmte Adresse mit Fragment attacks beballert.
Du sagst nichts über dein Betriebssystem. Update? Also wenn XP unbedingt Service PAK 2.
Firewall? Virenscanner? Anti-Spyware-Software?
Du kannst aber in jedem Fall mal eine automatische Loganalyse von HijackThis machen (--> www.hijackthis.de). Oft hilft das schon, da kriegst du gemeldet, was du machen musst.

Gruß Reinhart

#3 Hmm...
Hab ich durchgeführt.
Das einziege was als BÖSE bezeichnet wurde ist :
F2 - REG:system.ini: Shell=explorer.exe
Ich glaube aber nicht das es daran liegt werde es gleich Fixen.

An Security habe ich drauf:
Spybot S&D
AnitVir
hänge hinter einem Router

Problem:
Firewall
Ich hatte eigentlich die Windowseigene ^^
Nun ist sie aber aus und gibt mir die Meldung
"Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden."

Windows ist mit SP2 und XP
Logfile of HijackThis v1.99.1
Scan saved at 19:31:26, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

mfg,
Philipp

#4 Ich nehme an, du hast Spybot und AntiVir (V7, update!) laufen lassen und die haben nix gefunden, oder?
Stimmt es genau, dass du in der System.ini den Eintrag
shell=explorer.exe
stehen hast oder stand da noch mehr in der Zeile?

#5 Jab hab ich alles durchlaufen lassen.
Nix da nix gefunden
Und da stand nur das möhr nüscht.

Es startet übrigens nach ein paar Minuten immer wieder neu ^^ nicht nur nach einem Neustart.

#6

Zitat

Ich nehme an, du hast Spybot und AntiVir (V7, update!) laufen lassen und die haben nix gefunden, oder?

Darauf habe ich noch keine Antwort.
Und jetzt: Nur die Ruhe, Mann. Also ich finde es am besten, wenn du mal einen Neustart machst und dann erstmal feststellst, ob deine Auslastung noch so hoch ist. Dann machst du ein HijackThis Log und postest das hier ins Forum.
Wir wolln doch mal sehen, ob wir das Problem hier in den Griff kriegen.

#7

Zitat

Jab hab ich alles durchlaufen lassen.
Nix da nix gefunden
Und da stand nur das möhr nüscht.

Es startet übrigens nach ein paar Minuten immer wieder neu ^^ nicht nur nach einem Neustart.

So nachdem Neustart Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:31:36, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Executive Software\Diskeeper\DkService.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\system32\RunDll32.exe
E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\LVCOMSX.EXE
E:\Programme\Logitech\Video\LogiTray.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\mozilla.org\Mozilla\Mozilla.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
E:\Programme\Google\Google Talk\googletalk.exe
E:\Programme\Messenger\MSMSGS.EXE
E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
E:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
E:\Programme\OpenOffice.org 2.0\program\soffice.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\OpenOffice.org 2.0\program\soffice.BIN
E:\Programme\Logitech\Video\FxSvr2.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Teamspeak2_RC2\TeamSpeak.exe
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX00.757\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O1 - Hosts: 85.25.5.16 rootserver
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - E:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HGTXPEI] E:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MimBoot] E:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "E:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] E:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] E:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] E:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "E:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [googletalk] "E:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] E:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Startup: OpenOffice.org 2.0.lnk = E:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FreshDownload - {F981FB2D-DBC0-490C-BE07-111D0F85B9D9} - E:\Programme\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8BAF9A-5D10-4BBC-B0CE-C6DA69351630}: NameServer = 192.168.0.1
O18 - Protocol: Festoon - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: E:\WINDOWS\system32\svchl.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#8 Es gibt ein paar kritische Stellen in deinem Log, aber einen direkten Schädling kann ich hier nicht erkennen.
Die Datei HOSTS enthält 2 seltsame Einträge, die sollst du fixen oder selber löschen (suche nach HOSTS ohne Endung, ist in \windows\system32\drivers\etc).

Dann gibts da zwei seltsame Sachen:
O9 - Extra button: FreshDownload - {F981FB2D-DBC0-490C-BE07-111D0F85B9D9} - E:\Programme\FreshDevices\FreshDownload\fd.exe
O20 - AppInit_DLLs: E:\WINDOWS\system32\svchl.dll
Wenn du diese Dateien nicht kennst, dann gehe vorsichtig ran und benenne sie zuerst mal nur um, z.B. in fd_exe.xyz.
Wenn das Problem weiterhin besteht, melde dich.

#9 xmasterpx

hier scheint ein Haxdoor auf dem System zu sein:
und die Hosts ist auch nicht koscher....

Zitat

O20 - AppInit_DLLs: E:\WINDOWS\system32\svchl.dll

1.
poste bitte das log:
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Sry für die späte Antwort !
Nachdem ich alles gefixt hatte und nochmal Virenscan im abgesicherten gemacht habe. Wurde nichts mehr gefunden ! Ich dachte juchu aber dann der neustart -.-
Er ist danach nichtmehr im abgesicherten normalen oder in sonst irgend einem modus hochgefahren.
Neuinstallation gemacht.
Nun geht alles wieder -.-

Danke für eure Hilfe

mfg,
xmasterpx