Trojaner-Board - Internet plötzlich eine Schnecke

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internet plötzlich eine Schnecke - ist es ein Trojaner? (https://www.trojaner-board.de/36831-internet-ploetzlich-schnecke-trojaner.html)

Internet plötzlich eine Schnecke - ist es ein Trojaner?

Hallo alle miteinander,

da ich keine Lösung für mein Problem "ergooglen" konnte, hoffe ich nun auf eure werte Hilfe. Seit einigen Tagen ist die Internetverbindung meines Heimrechners (Arcor DLS 2000) so langsam (um 3kb/sec), dass eine Nutzung keinen Sinn mehr macht. Da ich die Leitung durch Arcor prüfen lies und es mit dem Internet ebenfalls keine Probleme gibt, wenn ich das DSL-Kabel an meinen Laptop anschliesse (von dem aus ich gerade diesen Beitrag verfasse), schließe ich eine externe Ursache aus und tippe auf Infektion mit Trojanern/Viren.
Auf dem PC sind eine Sygate Firewall und zwei Virenscanner installiert (Antivir und Bitdefener), die immer schön up-to-date sind und von mir auch regelmässig benutzt werden. Da sie nichts entdecken konnten, habe ich zusätzlich das NOD32 Antivirusprogramm sowie Spybot - Search and Destroy installiert. NOD32 hat ebenfalls nichts entdeckt, Spybot lediglich einige Cookies, deren Entfernung das Problem gleichsam nicht beseitigt hat. Die Auswertung meines Hijackthis Log auf Hijackthis.de konnte ebenfalls keine gefährlichen Einträge identifizieren.
Hier das Logfile und Danke im Voraus für eure Aufmerksamkeit:

Logfile of HijackThis v1.99.1
Scan saved at 17:24:14, on 05.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wza6f0\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo,

3 Virenscanner? :teufel1:
Viel hilft nicht immer viel!
Deinstalliere zwei davon........die Beißen sich gegenseitig und versuchen, sich zu :sword2: ....das bringt nur probleme!

Dein LOG sieht, meiner einer nach, sauber aus!

Gruß Mellosun

Zitat:

Zitat von Mellosun (Beitrag 256945)

Danke für deine Antwort. Ich habe Antivir und Bitdefender deinstalliert. Leider hat das nichts geändert.
Kann es sein, dass Hijackthis etwas übersehen hat? Oder ist vielleicht einfach meine Netwerkarte ein "bisschen" kaputt ist -d.h. sie funktioniert noch irgendwie aber eben nur mit 2.0 kb/sec?

Zitat:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

Anscheinend hat jemand Zugriff auf dein System? Die Einträge solltest du mal fixen und danach logfile wieder posten.

Hier auch mal ein Verweis auf einen Forumsbeitrag mit ähnlichen Einträgen.

http://www.trojaner-board.de/36083-h...ic-befall.html

:teufel2:

Zitat:

Zitat von felixx65 (Beitrag 257031)

Danke auch für deine Antwort. Diese Dateien waren mir auch schon aufgefallen, leider hat der "Fix" nichts gebracht. Kann es sein, dass es dafür einfach zu spät ist und das System neu aufsetzten, wie in dem anderen Forumsbeitrag empfohlen, etwas hilft?

Hier das aktuelle Log:

file of HijackThis v1.99.1
Scan saved at 14:03:51, on 06.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wz122f\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Hallo.

Zitat:

Zitat:
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
Anscheinend hat jemand Zugriff auf dein System? Die Einträge solltest du mal fixen und danach logfile wieder posten.

Hier auch mal ein Verweis auf einen Forumsbeitrag mit ähnlichen Einträgen.

HAbe ständig Upload und Worm.generic befall

Zitat:

leider hat der "Fix" nichts gebracht.

das war klar, d.h. kommt ja auch der Hinweis im anderen Thread (gelesen felix? ;) ) neuaufzusetzten..

Also: Setzte dein System neu auf!

Und passe dann besser drauf auf. Dein Rechner ist doch ganz gut aufgeräumt, da frage ich mich wie da ein Trojaner reinschlüpfen kann..
Lies dir mal den link zur Systemsicherheit in meiner Signatur durch. Zum Virenscanner: Wenn du die drei zur Auswahl hast würde ich AntiVir installieren.

Gruss

Undoreal

Hallo,
das hier Lesen könnte Erleuchtung bringen....

Loopback - Wikipedia
Dazu :

Zitat:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

Irrlicht

Zitat:

das war klar, d.h. kommt ja auch der Hinweis im anderen Thread (gelesen felix? ;) ) neuaufzusetzten..

Hallo undoreal

klar habe ich das gelesen, einen Versuch wars dennoch wert, denn es sind ja nicht alle Einträge bei ihm vorhanden, oder?

Neuaufsetzen ist jetzt auf jeden Fall die beste Lösung, wenn man wieder ruhig schlafen will ;)

Gruss

Ok, vielen Dank euch allen für die engagierte und kompetente Unterstützung!
Ich habe über die Anleitung zum Neuaufsetzten drüber gelesen und werde es machen, sobald ich die Zeit finde. So wie ich es verstanden habe, gibt es keine andere Möglichkeit.

Eines möchte ich allerdings gerne noch wissen: Ich weiß, dass diese besagten Alcohol Einträge schon mindestens 6 Monate auf meinem Rechner schlummern. Wieso hat es so lange gedauert, bis sie die Internetverbindung beinträchtigt haben und warum ist der Rechner sonst in Ordnung?
Und ist der Rechner "ansteckend", d.h. kann ich bis zum Neuaufsetzen Daten (Dokumente, Präsentationen, Mediafiles) auf meinen Laptop und zurück verschieben oder nicht?

Auf jeden Fall keine ausführbaren Dateien z.B. exe. Selbst erstellte Worddokumente, mp3 kannst du kopieren. Sicherheitshalber nochmals mit Antivirenprogramm vorher scannen.

Gruss

also diese 3 einträge in der hosts datei

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

vermeiden nur dass alcohol-soft "heimtelefoniert"... also nichts schlimmes!

ich denke Du hast alcohol nicht ganz legal erworben...

wegen diesen 3 Einträgen würde ich nicht gleich das system neu aufsetzen!

suche die hosts.txt datei und lösche die Einträge!

anschliessend funktioniert aber dein alkohol wahrscheinlich nicht mehr!

Grüße