Rechner sendet permanent daten

[TimeShade]

kurze Frage, mein Rechner sendet permanent daten, sobald ich mich ins netz einlogge, sendet der wie n blöder
ich hab soweit alles mögliche von antispy blocken lassen, virenscanner ist auch gelaufen etc.
ich hab irgendwie kein plan was sonst noch sein könnte, jmd ne idee??

oS = XP
ich usw arcor DSL öhh naja und sonst alles andere sind halt stani-sachen

 

[MesH]

Installier doch mal die Personal Firewall deines Vertrauens und guck was sich da so den Weg nach draußen bahnt bzw. bahnen will..

 

[cart]

1. Adaware
2. Spybot Search&Destroy

 

[TimeShade]

spybot ist schon drüber gelaufen
daten werden sogar gesendet, wenn ich per zone alarm den internetzugriff kille ^^
ich peils irgendwie nicht

 

[PhotonMan]

probier mal sygate personal firewall...da bekommste jeden prozess aufgelistet, der irgendwie nach draussen will (auch lan). kannst nach belieben blocken und freigeben

 

[TimeShade]

ich bin grad noch n bischen mit hijack dran
also was mit ZA häufig ausgibt ist

ms32cfg.exe
msnmsg.exe
svxhost.exe

jmd ne ahnung was was ist?! ^^

 

[4GT~DosX]

ms32cfg.exe - http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_RBOT.HO
msnmsg.exe - http://www.sophos.ch/virusinfo/analyses/w32rbotgo.html
svxhost.exe - http://www.sophos.de/virusinfo/analyses/w32forbotk.html

100% Treffer!
upgedatetes Adaware und upgedatetes SpyBot sowie upgedateten Virenscannen drüberlaufen lassen

 

[TimeShade]

hab nu erstmal alles manuell gelöscht adaware läuft grad, hijack ausgewertet, scheint nu ok zu sein, ich lass erstmal alles durchlaufen und dann mal schauen, was der datendurchsatz sagt
danke erstmal für die schnelle hilfe!!

 

[TimeShade]

so, die meisten sachen sind behoben, aber problem besteht immernoch. ich werd immer aus diablo gekickt, so alle 5min kommt "ihre verbindung wurde unterbochen" ich befürchte mal, dass das irgendwas damit zu tun hat!!

 

[Gast]

e.t... nach' haus... vergiss es. phatbot oder agobot. die symptomatik ist eindeutig. mach n backup und dann format c:...

 

[[For]Hood2]

poste mal das hijackthis log

 

[EatNoFish]

plz dem noob keine tipps mehr geben, ich brauche seinen rechner noch!

 

[TimeShade]

das log hab ich schon durchlaufen lassen, ist soweit alles ok mittlerweile. dateien per kaspersky checken lassen, sah alles gut scheiße aus -.-
najo das diablo problem lässt sich halt irgendwie nicht wirklich beheben

@eat_no
tschuldige bitte das nicht jeder so n hiclass pc skiller sein kann wie du, wenn du n problem damit hast das "noobs" in einem TECHNIK-Forum fragen stellen, solltest besser nicht mehr hier rein schauen!! thx

 

[[For]Hood2]

wenn ich dir helfen soll poste bitte ein hijackthis log

 

[TimeShade]

Logfile of HijackThis v1.97.7
Scan saved at 19:17:58, on 29.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Winamp3\winamp3.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Time\Desktop\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky\kav.exe /minimize
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: Download with Star Downloader - C:\PROGRA~1\STARDO~1\sdie.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6830B74B-4743-4BD7-BAE7-8E1706F4C0DF}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{744DCC2A-CFEC-4C66-A4AB-8314760DD48F}: NameServer = 195.50.140.250 145.253.2.174


das ist der aktuelle log!! ich werte das dann halt mit der seite aus, sieht halt auch schon bedeutend besser aus, als gestern ^^

 

[[For]Hood2]

ok scheint i.O zu sein

nun brauch 2 snapshots
einmal hiermit/hiervon
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

und einmal
hiervon/hiermit
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

edit:axo beim 2ten muss ich natürlich die lokalen Ports sehen können

 

[[For]Hood2]

auf dem 2ten blick ein ebay tool?

dann kill
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab


Auch ungewöhnlich O17 - HKLM\System\CCS\Services\Tcpip\..\{6830B74B-4743-4BD7-BAE7-8E1706F4C0DF}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{744DCC2A-CFEC-4C66-A4AB-8314760DD48F}: NameServer = 195.50.140.250 145.253.2.174

3 DNS ? Wie kommts?

 

[TimeShade]

kills hab ich vorgenommen, das ebaytool hab ich auch gekillt, kA wo das herkommt, wenn ich ehrlich bin... die shots edite ich gleich rein

€dit:
hier
und hier

ich hoffe mal das ist das was du haben wolltest, sonst vielleicht ne kurzanleitung für mich?!

 

[[For]Hood2]

um es mal vorweg zu nehmen halte ich eine neuinstallation für die bessere Lösung.

der Prozess 1308 feuert anscheinend über 2 ports (2098/2309) ins inet. ich kann diese Ports nicht richtig einordnen

auf 2309 UDP soll ein SD server arbeiten, scheint eine streaming geschichte sein.

2098 ein dialog port für was auch immer.

ich würde Datensichern, formatieren und neuinstallieren
SP2 draufhauen, ein aktuellen VIrenscanner, Firefox/opera, sowie Spybot, Spywareblaster benutzen

 

[TimeShade]

najo, ich hatte sowas in der art schon befürchtet ^^
danke dir für die ganze hilfe!!

 

[[For]Hood2]

gerne

Man könnte auch versuchen das noch weiter ein zu kreisen, aber eigentlich war ich nur neugierig was man findet.

ich würde nicht zulange warten mit deinen 3 DNS Server...