Schalömchen. Also mit der Meldung im Titel hat es angefangen. Das besondere daran ist jedoch das diese(rechts unten, mit gelben Warndreieck) aus heiterem Himmel, vor 2 Tagen aufgetaucht ist. Der Rechner wurde vor ca 2 Wochen neu aufgesetzt SP2 und Updates wurden auch sofort mit draufgemacht. Also würde ich behaupten wenn es an SP2 liegt hätte ich das Problem von Anfang an gehabt, hatte ich aber nicht.
Das System ist von meinen Scannern her soweit sauber, außer Avast(Der hatte kurz vorher allerdings ein Virus aus einer Email blöckiert, bzw gelöscht) habe ich auch Adaware, Spybot S&D und Stinger benutzt. Außer den üblichen Tracking Cookies nix gefunden. Mit HJT haber ich mit automatischen Auswertungen auch nichts gefunden, außer einige überflüssige Einträge gelöscht(Mitbringsel von ICQ, MSN, XFire, RealPlayer).
Ich habe auch über einige Forenanleitungen diese Meldung bereinigt(DHCP Deaktiviren usw) Hat wohl geholfen aber es ist doch komisch das es vorher auch ging(auch mit SP2)
Allerdings habe ich jetzt ein Geschwindigkeitsproblem(macht sich in Spielen durch Lags bemerkbar, und das sehr Massiv, und Mozilla hat manchmal Probleme Seiten zu öffnen bis ich eine neue Verbindung zum Internet über die Freenet Software herstelle. Der Geschwindigkeitsverlust kam zusammen mit dieser Meldung. Ich werde jetzt nochmal LSPfix laufen lassen aber wäre doch sehr freundlich wenn sich jemand mal mein HJT Log anschaut.

Ich habe Freenet DSL6000 , FritzBox SL(DSL Modem) und einen nVidia nForce Networking Controller(nForce 2), Treiber sind auch immer aktuell

Falls ich keinen ungebetenen Gast hab und LSPfix nicht hinhaut, bin ich für jeden Tip dankbar!



Logfile of HijackThis v1.99.1
Scan saved at 16:23:27, on 28.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HIJACKTHIS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*tp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*tp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*tp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*tp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*tp://www.xfire.com/xf/firstupdate.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9992D18-EB07-46B1-A97E-DCA44DBDCC98}: NameServer = 194.97.173.125 194.97.173.124
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Edit: LSPfix hat nichts gebracht.

Hab mittlerweile herausgefunden das ich mit rustock infiziert bin. Bin mal gespannt wie ich den loswerde...

Wie hast du das herausgefunden? Wo soll dieser Schädling sitzen, also welche Datei ist das?

Dein Hijackthis-Log sieht m.E. sauber aus.

Herausgefunden mit Spy Sweeper, allerdings wußte ich nicht wo er gesessen hat, sonst hätte ich es abonnieren müssen. Aber immerhin hab ich herausgefunden um was es sich handelt.
Entfernt habe ich ihn mit rustfix. Dazu muß ich allerdings sagen, das rustfix.exe auf Anhieb nicht lief. Erst als ich die Datei umbenannt habe. Wurde wohl blockiert. wie dem auch sei, er scheint weg zu sein. Traffic Verhalten ist auch wieder normal.
Dieses Teil versteckt sich mit nem Rootkit(und das so gut, das ich ihn auch nicht von Hand aufspüren konnte, und das bei einem fast jungfräulichen System!) und hat aus meinem Rechner wohl einen Proxy gemacht, oder Gigabyteqweise Spammails verschickt. Aber bei dem Traffic tippe ich eher auf Proxy.
Auf wunsch Poste ich mal morgen ein paar Links dazu aber jetzt hau ich mich erstmal hin.

Howdy,

wahrscheinlich ist es durch den xfire gekommen als irgendeine patch oder so. Welche rootkit cleaner hast du benutzt um es zu säubern?

Kann durchaus xfire aber auch jedes andere, sich selbst aktualisierende Programm sein... Ich tippe aber eher auf eine infizierte e-mail. Hab 600 e-mails auf einmall abgerufen, weil ich die ne Woche lang nich nachgeschaut hab. Und beim Spamlöschen und jede menge markierten Mails hab ich wohl auf eine 2mal geklickt. Wie auch immer, das läßt sich jetzt nich mehr nachvollziehen. Wenns möglich wäre würd ich das Teil bei Jotti hochladen.

Ich such grad den Link zu dem Removal tool... Wenn ich ihn gefunden habe poste ich ihn.

C-Ko: RootkitUnhooker hat fertig lest selbst...

http://www.uploads.ejvindh.net/rustbfix.exe Damit ließ es sich entfernen. Ein Scan mit Spy Sweeper hat nichts ergeben danach, und der Traffic war wieder normal. Also es hat geholfen und die Kiste ist sauber.

Gladiator Security Forum [Powered by Invision Power Board] Englisch kann sicher jeder, und wer Rustock noch nicht kennt, der schau mal hier rein.

Nur leider hat mir Spy Sweeper nicht gesagt, welche Dateien es in meinem Fall sind und wo sie sitzen(sonst hätte ich es bezahlen müssen, und ich kann mir nicht für jeden exotischen Virus nen Scanner kaufen, das kann ja kein Mensch bezahlen). Einfach nur das es da ist. Und Rustbfix hat es enfernt ohne weitere Infos zu geben. Dazu kann ich dann leider nix sagen.