Mein Internet spinnt!!!

Hi!!

Seit dem ich Win XP neu installiert habe, und ich meine Internet-Verbindung aufgebaut habe, spinnt meine Verbindung.

Sofort nach dem Verbindungsaufbau fängt es an von meinem PC Daten zu versenden und zu empfangen.

In 1 Std. sind es ca. 30 MB die versendet werden und noch mal so viel empfange ich.

Habe auch schon mit AntiVir (aktuelle Definition) meine Platte durchsucht. Nix gefunden.

Kann mir jemand von euch weiterhelfen?

Hackt sich da irgendetwas jedesmal an meinen Computer?

Danke

Manu

 

Hallo,

hast du dein System VOR der ersten Internet Verbindung dementsprechend abgesichert?

Ich denke, nein!

Erstelle mit HiJackThis ein Log-File und poste es hier rein.

 

Hi Cidre,

hier die .log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\localsrv.exe
C:\WINDOWS\System32\msnmsg.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\px\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Streams Server] localsrv.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\RunServices: [Windows Streams Server] localsrv.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\Run: [Windows Streams Server] localsrv.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C55BB28A-54AB-404E-BE19-CCE80C008911}: NameServer = 217.237.150.33 194.25.2.129

Ich kann damit zwar nicht viel anfangen, aber ich schätze mal du kannst das.

Vielen Dank für deine Hilfe!!

Manu

 

Hallo TheCiller

Der obere Teil des Logs fehlt, wo die Windows- und die IE-Version angezeigt werden.

Folgende Einträge solltest du fixen lassen:

O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Gruß
Nevok

 

Hi!!!

Ich habe es gelöscht, aber es sind neue Punkte dazugekommen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407

Hat aber nichts gebracht.

Ich habe auch einmal alles aus der Liste gelöscht, aber meine Verbindung verschickt Daten hin- und her. UNGLAUBLICH--> min. 4 MB in 3 Min.

Ist da noch was zu retten?
Kann man den nicht feststellen, wohin die Daten verschwinden?

Danke

Manu

P.S.
Die restlichen Daten:

Logfile of HijackThis v1.98.2
Scan saved at 15:49:03, on 17.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\msnmsg.exe
C:\WINDOWS\System32\localsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\px\Desktop\HijackThis.exe

 

Hi!

Die R0- und R1-Einträge sind in Ordnung. Allerdings sind sowohl dein Betriebssystem als auch dein IE veraltet. Beides solltest du schleunigst aktualisieren.

Bei Windows XP fehlt der Zusatz SP1 und der akutelle IE hat die Versionsnummer 6.00.2800.1106.

Mit Hilfe einer Firewall läßt sich feststellen, wohin die Daten geschickt werden. Ich würde dir zusätzlich empfehlen, deine Dienste entsprechend http://www.ntsvcfg.de/ zu konfigurieren.

Gruß
Nevok

 

Hallo Manu,

dein System ist leider nicht mehr vertrauenswürdig und sollte deshalb neuaufgesetzt werden.
http://oschad.de/wiki/index.php/Kompromittierung

Du hast zwei aktive Backdoor Trojaner im Hintergrund laufen:

C:\WINDOWS\System32\msnmsg.exe und muamgrd.exe => Backdoor.Rbot.gen
http://www.spotlight.de/zforen/int/m/int-1092204272-15730.html
http://board.protecus.de/showtopic.php?threadid=11729
und
C:\WINDOWS\System32\localsrv.exe => ?

Zur Info:
Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_(Computer)

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html


Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Kompromittierung unvermeidbar?