hi,
ich bin mir ziemlich sicher, dass ich entweder einen dialer oder einen trojaner habe, der nicht mit meinem router zurecht kommt. einen entsprechenden autostart finde ich allerdings nicht. da es etwas dauert, bis die tcp-verbindung in netstat angezeigt wird, kann es auch gut sein, dass der prozess durch einen anderen, wahrscheinlich windows-autostart aktiviert wird.
jedenfalls steht nach hochfahren des rechners die normale verbindung über den standart-gateway.

ich gehe über einen router ins netz, an den noch ein weiterer rechner angeschlossen ist. dessen lan-ip lautet 192.168.1.2. und genau die addresse wird nach jedem neustart angewählt. (ich wollte eben nach dem port schauen, doch plötzlich wird nicht mehr versucht eine verbindung aufzubauen. die steht übrigens immer nur auf "warten")

wenn ich nur netstat eingebe, wird noch dieser name angezeigt: "netbios-ssn" . goggle findet unter diesem begriff ein script für eine dos-attacke, was allerdings völlig absurd wäre.

des weiteren kann ich meine dfü-verbindung nicht mehr deaktivieren. es kommt eine fehlermeldung, dass womöglich protokolle verwendet werden, die plug&play nicht unterstützt, oder die verbindung wurde von einem anderen benutzer(nicht möglich) oder system initialisiert?!?!
wenn ich versuche, den internetgateway zu deaktivieren, kommt die meldung, dass gerade versucht wird, eine verbindung herzustellen oder zu beenden!

ich schätze mal, das hängt alles miteinander zusammen.

hat jemand eine ahnung, was das sein könnte?

ps.: ich habe noch volle zugriffsrechte auf system-internere bereiche. ein direkter angriff kann dies dann ja wohl nicht sein.

Tjo, haste mal einen Virenscan gemacht? Spybot laufen lassen? Und fallst du dein System übertaktet hast, geh mal auf Normaltakt zurück.

mmm...

Virenscanner, Spybot oder Ad-Aware mal drüberlaufen lassen (online-update nicht vergessen), sollten diese nichts finden, muss Hijackthis (http://www.spywareinfo.com/~merijn/downloads.html)? (war doch das Proggie, was so einen schönen Auszug an gestarteten Programmen erstellt oder ? ) ein Log erstellen und wir rätseln dann weiter ... Link zu den Proggies klich auf meine Signatur ...

jo, virenscanner etc. hab ich natürlich schon scannen lassen.
also ein noob in dem bereich bin ich auch nicht. bisher hab ich jedenfalls noch jeden trojaner löschen/entdecken können. blos der ist ziemlich hartnäckig^^

hier mal den auto-start auszug:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Neo\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mypoiskovik.com/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoiskovik.com/sp.htm
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3A9F3AE-D0A6-4E16-B064-4759B294EBA5}: NameServer = 194.25.2.129,212.185.253.9



was haben diese Oxx einträge zu sagen? von denen irritiert mich höchstens der letzte ein wenig, wobei ich "ccs" auch schon mal gehört hatte. aber nicht im zusammenhang mit trojanern/viren.


aktualisierung der vorfälle^^:
habe eben ein nicht von mir erstelltes, kennwortgeschütztes konto gelöscht! hab mir dummerweise den namen nicht gemerkt. war aber irgendeine website...
extrem kurios...


achso, schon geblickt. die oxx-einträge sind natürlich regedit-einträge...



lol, ihr glaubt garnicht, was sich alles im system einnistet!
windows-->sys.32-->drivers-->etc (ja, ganz genau da, wo sich die spybots imemr einnisten, die eine fremde website erscheinen lassen,. obwohl die "richtige" eingegeben ist^^)-->services
dort drin gibts einträge von id software's doom! ich habe die alpha nicht. nur q3, und das habe ich noch icht ausgeführt(ist auf part. D: )

so, nächste auffälligkeit:
habt ihr im system 32 auch einen ordner namens "cat root"?

Original geschrieben von Neo@game-factor
C:\Dokumente und Einstellungen\Neo\Eigene Dateien\HijackThis.exeWas ist das denn?

Was genau stört dich denn oder was gibt den Anlass einen Trojaner/Virus zu vermuten? Die Startverzögerung?

Beim Windowsstart wird u.a. wird das Microsoft Netzwerk eingebunden und nach Clients gesucht (NetBIOS (Port 135-137), Broadcast 255.255.255.255 und loopback (127.0.0.1)). Wenn Du diese Verbindungen blockst kann der Startvorgang länger dauern... einen Virus/Trojaner würde ich so schnell nicht vermuten, schon garnicht wenn die (auf neuestem Stand befindlichen) "Killer" nichts finden...

"HijackThis.exe" ist das prog, dass alle autostarts ermittelt hat:)

auf virenscanner verlass ich mich nicht mehr (seitdem ich selbst trojaner schreiben kann).
armadillo und kein virenscanner der welt findet noch was!

warum ich einen trojaner oder eher virus vermute habe ich oben geschrieben...


nochmal die gründe:
- gelegentlicher verbindungsaufbau im netzwerk von unbekannten, wohl stealth-laufenden programmen
- fremd-erstelltes benutzerkonto
- kann internetverbindung im netzwerk-ordner nicht mehr beenden


mir ist das ja blos so wichtig, weil ich online-banking mache und keine lust hab einen keylogger zu füttern...

Neo@game-factor

Müsste sich doch per plumper Firewall finden lassen...

Nimm halt eine applikationsbezogene Firewall, Packet Sniffer oder logge deinen Traffic. Was erwartest Du denn was wir dir Vorschlagen sollen? Es gibt keine Allroundlösung für dein Problem (wenn es überhaupt eins ist). Ich sehe bis jetzt nur Spekulationen und keinen triftigen Grund beunruhigt zu sein. Du kannst Windows präventiv neu installieren, wenn es dich beruhigt...

mmm...

Kann so kein ungewöhnliches Programm finden, steht in der Ereignisanzeige (Systemsteuerung -> Verwaltung -> Ereignisanzeige) irgendwas drinne ? nicht das nachher nur der NTP- Dienst von Windows dauernd am Rad dreht und die Zeit synchronisieren will ... ansonsten müssten wir die Dienste (msconfig) durchgehen bzw. bei der Registry selber schauen, was dort im Run- Zweig (+ den anderen Runzweigen) steht ...

die run-einträge habe ich schon alle durchgeschaut. die stehen aber auch in meinem letzten post. msconfig zeigt höchstens noch die windowsdienste, die windowsfremden sind alle ok(sind 3 stück, 2 mal av, einmal nvidia-service)

und das etwas nicht stimmt steht ausser frage, sonst wären nicht einfach fremde konten erstellt worden...