Hallo Zusammen,
ich gehe mit einem 56k Modem ins Internet (bei meiner Freundin). Seit einiger Zeit haben wir nun das Problem, daß die Internet Verbindung kurz nach der Einwahl bis 5/6 Minuten danach unterbrochen wird. Das Problem ist Providerunabhängig. Nachdem ich schon die treiber der zuständigen Geräte erneuert habe, und die Systemenstellungen geprüft habe, habe ich noch keine lösung für das Problem gefunden. So langsam gehe ich von einem Schädling aus. Das Programm Spybot hat zwar was gefunden, es hatte aber nichts mit dem Internetrauswürfen zu tun. Ich hoffe, daß hier jemand einen Rat weiß.

mfg

Martin

Hallo !!

Erstmal herzlich willkommen im Forum!!

Für dieses Problem gibt es mehrere Erklärungsmöglichkeiten! Wichtig wäre erst einmal zu wissen, welches Betriebssystem verwendet wird!
Dann hätte ich folgende Vorschläge :

1.) im Taskmanager nach dem Prozess cidaemon.exe suchen...falls vorhanden
deaktivieren und es dann nochmal versuchen

2.) Netzwerkeinstellungen überprüfen (LAN-Verbindungen XP verändert?)

3.) Hijack-Log-File hier reinposten (V. 1.99)

Viele liebe Grüße und gutes Gelingen

B.

Hallo haelge421,

Downloade mal Hijackthis, erstelle damit einen Log und poste es hier:

Download und Anleitung findest Du hier:

www.hjt.klaffke.de

dartus

@dartus

genau zeitgleich ist auch mal nicht schlecht!

Liebe Grüße
B.

Hi Eazi,



dartus

Danke fürs willkommen heißen. Konnte lange Zeit nicht online gehen, da es wichtige Dinge als der PC zu erledigengab. Das Betribssystem ist XP pro in der ersten Version. en Prozess cidaemon.exe habe ich auchnicht gefunden.
Hier nun der LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 13:10:37, on 04.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinZip\WZQKPICK.EXE
K:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Hallo haelge421,

Deine Probleme liegen an der Variante dieses Besuchers:

svchosting.exe = http://www.sophos.de/virusinfo/analy...2forbotcc.html

Bei einem derartigen Befall wird Dir hier dringend zu Format C: geraten, um dies zu vermeiden:

http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

Hauptgrund ist das nicht upgedateten System. XP SP 2 ist aktuell.

Halte Dich an folgende Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Och nö......
Gibt es denn da keine andere Möglichkeit??? Ehrlich gesagt habe ich keine Lust das System neu aufzusetzten.

Sagt mir doch bitte mal, welche Firewall (Freeware) man gebrauchen kann.

Zitat:

Gibt es denn da keine andere Möglichkeit???

Nein.

Zitat:

Ehrlich gesagt habe ich keine Lust das System neu aufzusetzten.

Darum geht es nicht, du bist eine Gefahr für dich und für andere!
Über die Entfernung von Schädlingen
http://www.heise.de/newsticker/meldung/57030

Zitat:

Sagt mir doch bitte mal, welche Firewall (Freeware) man gebrauchen kann.

http://www.ntsvcfg.de/ oder http://www.dingens.org/

Okay. Dann werde ich das wohl tun müssen SCH***e. Wie bekommt man den Wurm??? Per E-mail oder logt der sich einfach so ein?

Steht eigentlich alles schon im Post bzw. Links von dartus.

Zitat:

W32/Forbot-CC ist ein Netzwerkwurm und eine IRC-Backdoor für die Windows-Plattform.
W32/Forbot-CC verbreitet sich über Netzwerkfreigaben, und indem er die LSASS-Schwachstelle (MS04-011) ausnutzt. Der Wurm kann sich auch über Backdoors verbreiten, die von anderer Malware hinterlassen wurden.

Quelle: http://www.sophos.de/virusinfo/analy...2forbotcc.html

Hallo zusammen.
Habe das System neu aufgesetzt. Mit SP2. Hoffe, daß das Problem nun beseitigt ist. Vielen Dank für eure Hilfe.