Hallo, ich glaube auf mein System wird aus dem Netz zugegriffen. Mein Rechner ist seit 2 Tagen, besonders im Netz, langsamer und haengt oft.
Manchmal kann ich garkeine Seiten im Netz ansehen, es öffnen sich immer nur weisse Fenster. Wenn ich die bestehende Internetverbindung trenne kommt häufig eine Meldung, dass ich (oder ein Programm) Informationen von irgendeiner mir unbekannten Internetseite angefordert hätte (z.B. dns.nubela.net) und ich solle nun auswählen, mit welche meiner Verbindungen ich nun wieder online gehen möchte. Wenn ich das Fenster schließe kommt eine neue Meldung....
Ich benutze Firefox, selten IE, habe SpybotSD, Spywareblaster, AdAware und AntiVir alles up to date laufen lassen (auch einiges gefixt), aber ich finde nichts mehr! Vielleicht könnt ihr mir ja helfen, würde mich freuen .
Hier ist meine Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 03:10:38, on 05.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
E:\programme\RedLine\Taskbar.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sysentry.exe
C:\WINDOWS\System32\ctfmon.exe
E:\programme\redline\gameutil.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
E:\programme\Browser-Hijacker-Remover Tools\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Joystick\lwemon.exe" /noui
O4 - Global Startup: gameutil.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66



Die beiden letzten Eintraege (mit der IP 62.27.27.62.26.53.66) habe ich schon öfters gefixt aber sie tauchen immer wieder auf!

Ich sehe gerade in der regedit, dass ich unter currentuser->software->microsoft-> den Ordner "RASAutodial" habe mit unzähligen an SubOrdnern die Internetadressen oder IPs als Namen haben. Unteranderem ist hier auch die IP 62.27.27.62.26.53.66 vorhanden.
Soll ich vielleicht einfach den gesamten Ordner "RASAutodial" löschen (hört sich doch sehr verdächtig an, oder ) ?
Ich warte einfach mal auf eure Antworten...

Hallo Moppeldoppel,

Besuche bitte zuerst www.windowsupdate.com und lade Dir alle Patches und Updates runter. Dein IE entspricht nicht der aktuellen Version.

Lade Dir dann bitte die aktuelle Version von Hijack This runter: http://www.trojaner-board.de/51130-a...ijackthis.html.

Poste danach bitte ein neues Logfile.

SD

Hier ist die neue logfile!
Ich habe zwar IE drauf aber benutze so gut wie IMMER Firefox!

Logfile of HijackThis v1.98.2
Scan saved at 12:35:43, on 05.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
E:\programme\RedLine\Taskbar.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sysentry.exe
C:\WINDOWS\System32\ctfmon.exe
E:\programme\redline\gameutil.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\programme\Browser-Hijacker-Remover Tools\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Joystick\lwemon.exe" /noui
O4 - Global Startup: gameutil.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E584EE8-948D-4D32-BB87-E79F10E2409F}: NameServer = 62.27.27.62 62.27.53.66

Danke

Hallo Moppeldoppel,

auch wenn Du den IE nicht verwendest, hast Du ihn doch auf dem System und er muss auf dem aktuellen Stand sein, wie alles, was auf Deinem Rechner ist. Bitte aktualisiere den IE unter oben genannter URL.

Dein Logfile sieht - an sich - gut aus.

Ich würde Dir noch raten, diese Einträge mit Hijack This im abgesicherten Modus zu fixen:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Joystick\lwemon.exe" /noui
O4 - Global Startup: gameutil.exe.lnk = ?

O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

wenn Du die Einträge unter 012 und 017 nicht kennst und nicht brauchst, solltest Du sie fixen.

Deinstalliere

c:\programme\google\googletoolbar1.dll

bitte sei so nett und überprüfe den Eintrag mit dem online-scan von kaspersky:

C:\WINDOWS\System32\sysentry.exe

Ergebnis?

Scanne Deinen Rechner zur Vorsicht mit eScan - bitte lies die Anleitung im Thread und halte Dich an diese Vorgaben. Lass uns bitte wissen, welche Viren gefunden bzw. umbenannt worden sind und poste bitte ein neues Logfile.

SD

Hallo SD, vielen Dank das du dir soviel Mühe machst, finde ich toll von dir!
Also ich habe den IE nochmals über den Link upgedated (mit dem automatischen Update über IE6setup.exe), aber ich gleube nach wie vor die gleiche Version.
AUßerdem habe ich sämtliche von dir corgeschlagenen Einträge gefixt und im abgesicherten Modus escan, KaperskyAntivir, etc. durchlaufen lassen und alles gefixt. Bin mit escan wie beschrieben verfahren (->base Verzeichniss), aber das update funktionierte nicht (keine Verbindung zum Updateserver hergestellt). Trotzdem scheint mein Rechner nun in Ordnung zu sein!!!
Beim wiederhohlten Virusscanning wurde kein Virus mehr gefunden! Und meine Verbindung scheint wieder in Ordnung zu sein!

Hier ist mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:00:51, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
E:\programme\RedLine\Taskbar.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
E:\programme\Browser-Hijacker-Remover Tools\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] E:\programme\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB80F406-2DA0-495F-95E8-C9B097E97CF2}: NameServer = 62.27.27.62 62.27.53.66


Nur eins verwundert mich: Der Eintrag 017 tritt nicht auf wenn ich offline bin, erst wenn ich online bin. Fixen kann ich den irgendwie nicht, taucht immer wieder auf wenn ich ins Netz gehe. Habe schon in der regedit den Ordner gelöscht, aber er taucht immer wieder auf. Naja vielleicht ist das ja auch in Ordnung, was meinst du?
Nochmals vielen Dank, dass du dir die Zeit nimmst einem Newbie wie mir zu helfen!