Verursachter Upload durch Würmer ?

faint · 13.10.2004, 11:22

Moin, Onkel google hat mich zu euch geschickt.. ich hoffe hier kann jemand helfen

Wenn ich game habe ich immer wieder derbe lags, teilweise nen ping von 1000, winbar zeigt dann meist auch nen ziemlich komisch hohen upload wert an. Ich hab schon oft gescannt, auch oft was gefunden, aber die lags bleiben.
Liegt bestimmt daran das ich viren nicht komplett gelöscht habe..

HiJack sagt mittlerweile folgendes ( definitive Wurmeinträge hatte ich schonmal vor längerer zeit deleted)
Logfile of HijackThis v1.98.2
Scan saved at 11:59:43, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
C:\- ( Programme ) -\ZoneAlarm\zlclient.exe
D:\WINDOWS\Mixer.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\- ( Programme ) -\AVPERSONAL\AVGNT.EXE
C:\- ( Programme ) -\AVPERSONAL\AVGUARD.EXE
C:\- ( Programme ) -\AVPERSONAL\AVWUPSRV.EXE
D:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\- ( Programme ) -\IRC\mirc.exe
C:\- ( Programme ) -\Maxthon\Maxthon.exe
C:\Games\CS 1.6\HLSW\hlsw.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.starcoma.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\- ( Programme ) -\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\- ( Programme ) -\AVPERSONAL\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...fcddba6ee2da02
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097343312671
O17 - HKLM\System\CCS\Services\Tcpip\..\{01A4A73E-5656-4640-A61E-4F76ABD47A0C}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{01A4A73E-5656-4640-A61E-4F76ABD47A0C}: NameServer = 217.237.149.161 217.237.151.225

Im Anhang hab ich noch nen pic von meiner msconfig, dann wisst ihr mal was verseucht is.. da sind mindestens 8 einträge nicht normal..

escan findet nichts mehr, aber stinger hat was gefunden:

McAfee AVERT Stinger Version 2.4.0.3 built on Sep 28 2004
Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.
Virus data file v1000 created on Sep 28 2004.
Ready to scan for 43 viruses, trojans and variants.
Scan initiated on Wed Oct 13 13:19:49 2004

D:\WINDOWS\system32\o
Found the W32/Sdbot.worm!ftp virus !!!
D:\WINDOWS\system32\o has been deleted.
Number of clean files: 25888
Number of infected files: 1
Number of files deleted: 1

plz help möchte gern wieder gamen können

Shadowdance · 13.10.2004, 12:55

Hallo faint,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
ht*p://public.windupdates.com/get_f...cd dba6ee2da02

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
ht*p://www.starcoma.de/
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -
ms-its:mhtml:file://C:\foo.mht!ht*p://195.190.118.140/e9xr2.chm::/file.exe

Boote in den normalen Modus.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche - wenn Du sie nicht brauchst:

file.exe

Aktiviere die Systemwiederherstellung.

Der eScan ab Version 4.5.1 löscht gefundene Malware nicht automatisch. Die Malware muß, bei - deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Danach die Systemwiederherstellung wieder aktivieren.

Zur Lektüre:

- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Vorbeugende Maßnahmen: www.trojaner-info.de

Erstelle bitte ein neues Hijack This Logfile und poste es.

SD

faint · 13.10.2004, 13:53

ich installiere gerade sp2.. finde jedoch keine file.exe auf meinem rechner!!
liegt die nicht auf nem anderen rechner? kommt mir jedenfalls aus der hijack log so vor..

Shadowdance · 13.10.2004, 15:28

Hallo faint,

wenn es sich bei dem von Dir oben geposteten Logfile um das Logfile Deines Rechners handelt, dann befindet sie sich auf Deinem Rechner:

Zitat:

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exe

Wenn Du sie nicht findest, kann das daran liegen, dass auf Deinem Rechner die Funktion ""Alle Dateien und Ordner anzeigen" nicht aktiviert ist: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren". Versuch's nochmal.

SD

faint · 14.10.2004, 14:06

ich finde keine file.exe.. nicht per f3..
liegt es vielleicht daran das ich den eintrag der file.exe mit hijack gefixed hab und danach die datei löschen wollte ? hat hijack schon deleted ?
weil das war definitiv die log file von meinem rechner, aber von einer file.exe keine spur!

Zitat:

Wenn Du sie nicht findest, kann das daran liegen, dass auf Deinem Rechner die Funktion ""Alle Dateien und Ordner anzeigen" nicht aktiviert ist: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren". Versuch's nochmal.

Hab ich nach jedem format gleich aktiviert.. finde nix

Shadow · 14.10.2004, 14:57

lösche lieber die Datei c:\foo.mht

faint · 14.10.2004, 21:58

Logfile of HijackThis v1.98.2
Scan saved at 22:58:10, on 14.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
C:\- ( Programme ) -\AVPERSONAL\AVGUARD.EXE
C:\- ( Programme ) -\AVPERSONAL\AVWUPSRV.EXE
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wscntfy.exe
C:\- ( Programme ) -\ZoneAlarm\zlclient.exe
D:\WINDOWS\Mixer.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\- ( Programme ) -\AVPERSONAL\AVGNT.EXE
C:\- ( Programme ) -\IRC\mirc.exe
C:\- ( Programme ) -\Maxthon\Maxthon.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.starcoma.de/
O4 - HKLM\..\Run: [Zone Labs Client] "C:\- ( Programme ) -\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\- ( Programme ) -\AVPERSONAL\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\- ( Programme ) -\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c048e710a78631
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097343312671
O17 - HKLM\System\CCS\Services\Tcpip\..\{01A4A73E-5656-4640-A61E-4F76ABD47A0C}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{01A4A73E-5656-4640-A61E-4F76ABD47A0C}: NameServer = 217.237.149.161 217.237.151.225

Das ist die aktuelle log. Hab keine foo.mht und keine file.exe gefunden..
is bestimmt schon weg ^^

sieht die log clean aus oder wie

Shadowdance · 15.10.2004, 03:37

Hallo faint,

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
ht*p://public.windupdates.com/get_f...048e 710a78631

wenn Du diesen Eintrag nicht kennst/brauchst, bitte ebenfalls fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
ht*p://www.starcoma.de/

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Was hat die Überprüfung mit dem eScan ergeben? Hattest Du Viren auf dem System? Wenn ja, wie heissen sie?

SD

faint · 15.10.2004, 11:49

Nein keine Viren mehr laut eScan.

C:\Hijack\backups\backup-20041015-112301-545.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
C:\Hijack\backups\backup-20041013-144203-814.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
D:\WINDOWS\Downloaded Program Files\SyncroAdX.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
Die meldungen hatte ich + 23 errors wo er nicht durchsuchen konnte.

Aber hab immer noch derbe Lags und Pings als würde wer mit 16 kb von meinem rechner uploaden..

Logfile of HijackThis v1.98.2
Scan saved at 12:50:15, on 15.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
C:\- ( Programme ) -\ZoneAlarm\zlclient.exe
D:\WINDOWS\Mixer.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\- ( Programme ) -\AVPERSONAL\AVGNT.EXE
C:\- ( Programme ) -\AVPERSONAL\AVGUARD.EXE
C:\- ( Programme ) -\AVPERSONAL\AVWUPSRV.EXE
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\system32\wscntfy.exe
C:\- ( Programme ) -\IRC\mirc.exe
C:\- ( Programme ) -\Maxthon\Maxthon.exe
D:\WINDOWS\system32\wuauclt.exe
C:\- ( Programme ) -\eMule.de\emule.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.starcoma.de/
O4 - HKLM\..\Run: [Zone Labs Client] "C:\- ( Programme ) -\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\- ( Programme ) -\AVPERSONAL\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\- ( Programme ) -\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097343312671
O17 - HKLM\System\CCS\Services\Tcpip\..\{01A4A73E-5656-4640-A61E-4F76ABD47A0C}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{01A4A73E-5656-4640-A61E-4F76ABD47A0C}: NameServer = 217.237.149.161 217.237.151.225

EDIT: Ich habe gerade ebend einfach nochmal nach der file.exe gesucht und sie gefunden. das war ne internet explorer verlaufsfile oder sowas...

Shadow · 15.10.2004, 16:35

Zitat:

Zitat von faint

EDIT: Ich habe gerade ebend einfach nochmal nach der file.exe gesucht und sie gefunden. das war ne internet explorer verlaufsfile oder sowas...

logisch weil sie vorher ständig über die foo.mht aus dem Internet frisch geladen wurde.

Stormshadow · 20.12.2004, 20:56

also ich hab das problem seit ein paar tagen auch.
zb im day of defeat hat ich einen ping von 30-60 dann plötzlich lag und wenn ich den ping mir anschaue ist der bei über 1000

das dauert so 2-3sec und dann läuft der normal weiter,am server kanns nicht liegen den die pings der anderen spielern laufen normal weiter

hab mit norton av + kav gescannt und die zeigen keine viren oder trojaner bzw würmer mehr an.
wo kann ich da mein prob suchen hab zuletzt eigentlich nur meine zone alarm geupdatet.
gruss bianka

14.10.2004, 14:57	#6
Shadow /// Mr. Schatten	Verursachter Upload durch Würmer ? lösche lieber die Datei c:\foo.mht __________________ --> Verursachter Upload durch Würmer ?

Verursachter Upload durch Würmer ?

Plagegeister aller Art und deren Bekämpfung: Verursachter Upload durch Würmer ?

Lags und upload durch Trojaner