Verbindungsabrüche

Hallo an alle,

ich bin nicht sicher ob ich ein Hardware oder Software-Problem habe.
Ich schildere mal: Ich wähle mich über den Smartsurfer ein. Manchmal klappt die Einwahl manchmal nicht. Klappt sie, dann ist die Verbindung superlahm und bricht auch meist nach kurzer Zeit wieder ab mit der Meldung: "Die Verbindung wurde außerhalb des Smartsurfers getrennt. Es besteht die Gefahr, dass sch ein 0190 bzw. 0900 Dialer Programm über ihr DFÜ Netzwerk einwählt." Auch wenn die Verbindungsgeschwindigkeit mal gut ist bricht die Verbindung nach einiger Zeit mit obiger Meldung ab. Antivir, Adaware, a2, Spybot haben nichts finden können. Habe TuneUp und HDCleaner drüber laufen lassen, Registries gecleant, Festplatten defragmentiert usw. Nichts hat was gebracht! Ein anderer Rechner den wir in die gleiche Dose (jedoch andere Buchse) gesteckt haben. Verbindet sich regulär und ohne Probleme.
Kennt jemand das Problem bzw. noch besser weiß jemand eine Lsg. dieses Problems?

Vorab Danke und Liebe Grüße

Tombär

P.S. Verwendetes System Windows XP auf einem Medion-Laptop mit internem 56K-Modem

 

Hallo tombär

Lade dir mal das Programm HijackThis von dieser Seite herunter:

http://hjt.klaffke.de/

Erstelle nach Anleitung auf der genannten Seite eine Log-Datei und poste deren Inhalt hier. Entferne aber zuvor personenbezogene Daten bzw. mache diese unkenntlich. Setze am Anfang des Logs bitte "SIZE=1" in eckige Klammern und ans Ende "/SIZE", ebenfalls in eckige Klammern.

Du kannst die Log-Datei aber auch auf http://www.hijackthis.de automatisch auswerten lassen, wenn du die Log-Datei hier nicht posten möchtest. Bevor du dich aber an das Löschen von "bösen" bzw. "evtl. bösen" Einträge machst, bitte die Einträge hier vorher posten.

Gruß
Nevok

 

Hallo,

du solltest zunächst mal ausschließen, dass du dir einen Dialer eingefangen hast.

Lies erstmal hier:
http://www.trojaner-info.de/dialer/dialer.shtml

Die Seite ist nicht mehr ganz taufrisch, aber trotzdem lesenswert.

Anschließend lädst du dir HijackThis runter:
http://hjt.klaffke.de/
(Mit bebilderter Anleitung). Du gehst in den abgesicherten Modus (beim Booten F8 drücken), öffnest nicht mehr den IE und machst ein Log. Die Auswertung ist gar nicht so knifflig, wie's aussieht. Für eine 1. Orientierung gehst du hierhin:

http://www.hijackthis.de/

und läßt dein Log auswerten. ACHTUNG: Noch nichts löschen! Du kannst nur mit ziemlicher Sicherheit die Einträge als Verursacher deines Problems ausschließen, die mit "gut" gekennzeichnet sind.

Anschließend nimmst du dir dein Log vor. Eine Anleitung findest du hier:

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Bei einem Dialer mußt du besonders auf die laufenden Prozesse und auf Ziffer 04 des Log achten. Prüfe, ob dort (04) nur Sachen aufgeführt sind, die du wissentlich installiert hast. Im Zweifel hilft Google. Lösche (fixe) dubiose Einträge.

Falls das nichts nutzt, poste das Log-file hier rein. Achte jedoch darauf, dass persönliche Hinweise (Z.B. Namen in "eigene Dateien") unkenntlich sind.

 

Hi Nevok,

Warst schneller. M.E. wäre es sinnvoll, wenn der TO es erstmal selbst versucht.

 

Hi MobyDuck

Ich habe ihm ja die Wahl gelassen, ob er das Log hier postet, oder ob er es erstmal selbst versuchen möchte.

Mal sehen, wie er sich entscheidet.

Gruß
Nevok

 

Hallo Ihr zwei,

habe Hijack an einem "guten" Rechner eben ausprobiert. Sieht gut aus und ist auch einfach zu bedienen. Die Auswertung über HiJack-Seite ist auch super und vor allem verständlich.
Heute abend bekomme ich den "bösen" Rechner wieder. Mal schauen was das log-file ausgibt.

Vorab schon mal ein dickes Danke! Endergebnis teile ich für Interessierte auch noch mit.

Viele Grüße

Tombär

 

Schön.
Paß nur auf, dass du nicht kritiklos löschst, was dir die automatische Auswertung vorschlägt.

 

Hallo,

sitze nun am "bösen" Rechner und habe folgendes Log-File erhalten:

Logfile of HijackThis v1.98.2
Scan saved at 20:45:38, on 17.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\SAMSUN~1\SAMSUN~1\2.0p\MOUSE32A.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Labtec\Labtec Keyboard-Desktop Software\DsiMmKbd.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Hase\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\PROGRA~1\SAMSUN~1\SAMSUN~1\2.0p\MOUSE32A.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LabtecKB] C:\Programme\Labtec\Labtec Keyboard-Desktop Software\DsiMmKbd.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Hase\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx


Die Auswertungsseite befindet alles als gut bis auf R1, O14 und 016. Die ersten beiden sind klar und OK (Rechnerhersteller), doch mit O16 (letzte Zeile des Logs) kann ich nichts anfangen. Weiß einer von Euch was das ist?.

Übrigens läuft just die Verbindung ganz gut - komisch das ist!

Viele Grüße

Thomas

 

Weiß auch nicht, was das ist. Macht aber nichts. Es handelt sich um ein ActiveX-Objekt. Den Verlust wirst du daher ganz bestimmt verschmerzen können. Kein Mensch braucht ActiveX. Fixe es.

Wenn du es mal wieder wirklich benötigen solltest, wird dir das der Internet Explorer schon mitteilen.

Melde dich, falls das Problem nochmal auftritt.

 

Hallo an Euch,

Status Quo: Im Moment läuft alles rund!

Danke noch mal an Euch beide für die schnelle, kurzfristige Hile.

Viele Grüße und noch einen schönen Abend.

Tombär

 

@ tombär

Das System ist nicht gepatcht!
Es wäre also dringendst anzuraten, daß du ein Windows Update durchführst: http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx

btw: HiJackThis sollte nicht temporär gestartet werden, da es sonst keine Backups anlegen kann.

Lesenswerte Lektüre:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

 

Hi Cidre,
hast natürlich recht, ich muss mal meine Brille putzen.

 

...oder vielleicht aufsetzen.

btw: Nobody is perfect.

 

OT:

Na warte... schätze mal, dass wir uns in den Weiten des Internets nochmal begegnen werden :p

Dein Hinweis auf die temporäre Ausführung von HJT ist natürlich auch richtig, hier hatte ich allerdings nicht die Befürchtung, dass der TO viel kaputt machen konnte. Worst case hätte er ein paar Autostart-Aufrufe weniger gehabt.