Hatte Würmer / Viren - ist der PC sauber ?

#1 hmmm.....eigentlich war ich ganz froh darüber das mein virenscanner nichts mehr findet.......nur heute macht es überhaupt keinen spaß mehr ins netz zu gehen....wenn ich mir meinen router log so ansehen was sich da im udp/tcp bereich bei mir einloggen oder ausloggen will.....ich bekomm ne kriese da meine downloadrate bei speedmeter nicht angezeigt werden kann und bei arcor auf der hp beträgt sie 7KB/s und das bei dsl 1500....heute war auch ein technicker da der die downrate überprüft hatte und ich habs selber gesehen bei im auf dem rechner waren es 180KB/s nun denk ich das sich irgendwas wieder auf meinem rechner eingenisstet hat was der virenscan nicht findet das mit den würmern zum nachlesen:
http://board.protecus.de/t7640.htm
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#2 Naechstes Log naechstes Glueck!

Aber es kann ja auch an deinem Router, bzw deiner Netzwerkkonfiguration liegen. Hast du einen Router schon mal neu gestartet?
__________
MfG Ralf
SEO-Spam Hunter

#3 jo habe ich mehrmals, sämtliche freigaben an ports habe ich rausgenommen ect....quasi ich bin abgeschottet, hoffe ich ich bin drauf und dran mein windows neuzumachen wollte meinen routerlog (hab mal 5 minuten kopiert) auf meine page zum downloaden legen aber wie es scheint lässt mein provider keinen download zu. ca 10 versuche pro minute wiill einer rein oder raus ohne das ich was mache. (jetzt sind es 50 pro minute)

Logfile of HijackThis v1.97.7
Scan saved at 17:41:11, on 12.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Opera7\opera.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\swen\Desktop\tools\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37997.4918981481

ps: (nachtrag) hab mal ausgefilter ca 50 mal in 6 sekunden vom tcp 4662
habe gerade nochmal nen reboot vom router gemacht vorher waren es 50 mal in 6 sek udp 4661 beides emule ports welches ich aber nicht benutze
pps.: hilft es dir wenn ich sage das ich mich nicht mehr mit meinem kennwort beim windos einloggen kann?...habe gerade was über winlogon gelesen und dachte mir die datei kenn ich....also hab ich mich mal abgemeldet und wieder an und mein rechner nahm mein passwort nicht mehr, bin froh das ich automatisches login bei der install angegeben habe, quasi runterfahren und er loggt sich automatisch ein...
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#4 Das ist mehr oder minder normal. wahrscheinlich hatte der "vorbesitzer" deiner jetzigen IP E m u l e laufen und die E m u l e haben es nicht mitbekommen und "klopfen" nun halt bei dir an.
__________
MfG Ralf
SEO-Spam Hunter

#5 ich hab noch nen pps gesetzt, noch mal :
hilft es dir wenn ich sage das ich mich nicht mehr mit meinem kennwort beim windos einloggen kann?...habe gerade was über winlogon gelesen und dachte mir die datei kenn ich....also hab ich mich mal abgemeldet und wieder an und mein rechner nahm mein passwort nicht mehr, bin froh das ich automatisches login bei der install angegeben habe, quasi runterfahren und er loggt sich automatisch ein...

aber wieso ist das ständig nach jedem ip wechsel so??????????????????????
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#6 Hast du dich auch nicht versehen mit deinem Kennwort? Das veraendert sich normalerweise nicht? Gross und Kleinschreibung ist auch wichtig.
__________
MfG Ralf
SEO-Spam Hunter

#7 ich kenne mein paaswort und das besteht nur aus zahlen.....aber mal was anderes ich gebs auf , auf meinem rechner ist nichts was ich nicht wiederbekommen kann....der virus oder was auch immer das ist hat gewonnen....ich mache mein windows neu !!!!!
mfg Ape
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#8 Ui na dann wüsche ich dir Good Luck und hoffen wir mal das wenn du dein Rechner platt machst das dann nichts mehr an viren drauf sind.
__________
Take it Easy!!!

#9 nachtrag..........

momentan hab ich seit 20 min. nur noch tcp zugriff auf die 135.... in unregelmäßigen abständen komisch.....aber der angriff vorher war nicht nur kurz sonder ca. 9h....da bleibt die frage was ist da los....irgendwas muss doch auf meinem rechenr sein was ständig infos über meine ip gibt oder?
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#10 Also so wie du das hier beschreiben tust kommt es mir so vor als wenn du da dir was eingefangen hast was versucht deinen Rechner zu Spionieren.
Oder auch gleichzeitig einen zugriff zu holen da musst du aber aufpassen es kann auch manschmal so sein wie ich das mal gelesen habe das sich der vrirus irgendwie was ich aber auch net weis sich was kaufen kann über deine daten.
__________
Take it Easy!!!

#11 da hab ich wenigr angst
bin eh pleite *gg*
ich schau mal noch ne weile über meine log vom router was sich da tut , aber trotzdem ist meine inet speed voll langsam, als ob sich jemand in meine leitung gehangen hat.....
was eigentlich relativ sinnvoll erscheint, da
1. vorgestern 3 würmer und viren
2. seit heut mittag nur noch alle sekunden E m u l e prts zu mir wollten
3. ich nen totalen downstream von momentan 17kb habe
4. mein winkennwort nicht mehr geht

ich befürchte fast das sich ein hacker eingenisstet hat, fals sowas überhaupt machbar ist ???!!!
nur dann bleibt die frage warum der arcor techniker volle downstream bei sich auf dem laptop hatte
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#12 Zugriff auf Port 135 => MS-Blaster ist immer noch sehr aktiv.

Zitat

irgendwas muss doch auf meinem rechenr sein was ständig infos über meine ip gibt oder?

Wie kommst Du denn darauf ? X-Leute haben diese Einträge im Router/Firewall-Log.
Das Problem mit der DSL-Leitung muss überhaupt gar nichts mit einem Virus oder Wurm zu tun haben. Im Gegenteil. Die Auswirkungen von Würmern/Viren äußern sich meist völlig anders.
Der Thread wird verschoben.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#13 aber 50 mal in 6 sec über mehrere stunden bei wechselnder ip zu E m u l e ports wo ich doch keines habe?
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#14 keine ahnung ich hatte früher auch mal arcor und eigendlich ahtte ich nie so ein prob.
Ich würde dir raten das du nochmal deine Service anrufst und denn das nochmal etwas darüber erzälen tust.
Weil wenn er dir was anderes sagt als du es siehst dann kann da bestimmt irgendwas net stimmmen.
Und das mit dem Hacker auf deinem rechner ist schon etwas machtbar das können dir auch andere leute (User)sagen.

hast du wirklichs chon mal unter Regedit nach geschaut das du wirklich keinen emula hast weil E m u l e=Esel sind ja beides das selbe.Weil ich habe auch E m u l e gehabt obwohl ich nicht mal denn dreck runter geladen habe.
__________
Take it Easy!!!

#15 hab die registrierung durchsucht und nur dos emulation ect...aber nichts mit E m u l e, Esel oder emula
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]