Trojaner-Board - Ping...spikes/loss

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ping...spikes/loss (https://www.trojaner-board.de/9514-ping-spikes-loss.html)

Ping...spikes/loss

ich hab extreme spikes und losses bzw schwankungen des pings, ich bin mal soweit dass ich den grund gefunden habe, und zwar muss irgendein bot/psy/virus/wurm/trojaner oder aehnliches das problem auslösen. vor einigen tagen hab ich neu formatiert und bevor ich ins netz gegangen bin sp2 und diverese firewall + scanner installiert. danach war der ping perfekt und einwandfrei. am naechsten tag war wieder der selbe scheiß, und die scanner finden nichts mehr. bitte um hilfe
hier ein hijack log

Logfile of HijackThis v1.98.2
Scan saved at 19:15:37, on 12.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\ShareDLL\MediaDet.Exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\IAMAPP.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\VirusScan\SHSTAT.EXE
D:\Programme\Common Framework\UpdaterUI.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
D:\Programme\Common Framework\FrameworkService.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\VirusScan\Mcshield.exe
D:\Programme\VirusScan\VsTskMgr.exe
D:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
D:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe
D:\mIRC\mirc.exe
C:\WINDOWS\system32\cmd.exe
D:\Programme\Miranda IM\miranda32.exe
D:\Programme\The All-Seeing Eye\eye.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Mozilla\mozilla.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\jue\LOKALE~1\Temp\Rar$EX00.781\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.chello.at/search/at_iesearch.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.chello.at/autoconfig/deat.ins
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iamapp] D:\PROGRA~1\SYMANT~1\SYMANT~1\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\Run: [Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID {DA9935BA-22F7-44ee-BD12-BD8B87700BEA}
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/

hi
hier dein logfile ausgewertet, sieht nicht übel aus, hast du schon xp antispy probiert, eventuell telefoniert windows noch etwas viel nach hause :crazy:
wieviel aktive virenscanner laufen den da so?, ich würde mit dem regcleaner den autostart etwas verkleinern, das manuelle hochstarten dauert auch nicht viel länger

ich hab jetzt xp anti spy auf die empofhlenen einstellungen gestellt. und keine aenderung war sichtbar.

also ich hab adware,antivir,mcafee,spybot s&d laufen lassen und keiner findet was

Zitat:

mit dem regcleaner den autostart etwas verkleinern, das manuelle hochstarten dauert auch nicht viel länger

sollte man auf jedenfall ausführen

@jue
du hast mehrere antiviren und firewall software oben, kann es nicht sein dass du zuviel vom gute auf dein system hast?
diese programme können wenn sie gleichzeitig im hintergrund laufen ein haufen problemen machen.
hier gilt nicht immer "viel hilft viel"

ich würde mal höchstens ein firewall mit ein antivirenprogramm gleichzeitig laufen lassen.

chaosman

ok hab ich jetzt auch gemacht. die files die ich nicht kenn hab ich mal lassen

CTAvTray C:\programme\creative\sblive\program\CTAvTray.exe
CTAVTray C:\programme\creative\sblive\program\CTAvStub.exe EAX.avi

NvCplDaemon RUNDLL32.exe C:\windows\system32\NvCpl.dll,NvStartup
NvMediaCenter RUNDLL32.exe C:\windows\system32\NvMcTray.dll,NvTaskbarInit

aber das is ja nicht die wirkliche problemlösung. weiß jemand, was das sein koennte?

@Chaosman, ich hab auch schon nur die firewall rennen lassen und den ping getestet. und da tritt das selbe problem auf also an dem kann es nicht leigen :\

@jue
hier etwas info über die 4 dateien
http://www.2-spyware.com/entry-nvcpldaemon.html
http://computercops.biz/startuplist-793.html

hast du die antivirenprogramme auch in den abgesicherten modus gestartet?

chaosman

macht das an unterschied wenn ich im abgesicherten modus laufen lass?
wenn ja warum

danke fuer die links

@jue
les bitte hier mal nach
http://www.trojaner-board.de/63335-w...s-starten.html

chaosman

hat auch nix genutzt
jemand noch vorschlaege?

@ jue,

Zitat:

und zwar muss irgendein bot/psy/virus/wurm/trojaner oder aehnliches das problem auslösen.

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

also ich hab den scanner laufen lassen und folgendes wurde gefunden:

Mon Nov 15 21:56:57 2004 => File D:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\38A505F7 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.

Mon Nov 15 21:56:57 2004 => Scanning File D:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\38ED21A8
Mon Nov 15 21:56:57 2004 => Scanning File D:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\38F475A1
Mon Nov 15 21:56:57 2004 => File D:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\38F475A1 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.

das fragwürdige ist nur dass ich auf C win habe.
ich hoffe du kannst mir mit dem ergebnis weiterhelfen
das komische ist auch dass der ping in der nacht also gegen 3 uhr fast einwandfrei funktioniert. wobei der erste router von einigen andern gepinged worden ist und er als fehlerfrei deklariert worden ist. naja wenn es kein virus oder aehnlichs ist koennt ich mir nichts anderes vorstellen da ich mein modem kabel und netzwerkkarte schon alles umgetauscht habe.

bitte um hilfe

@ jue,

leere den Ordner D:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine

lade Dir vorsichtshalber das Cleaner-Tool gegen W32.NetSky (alle Varianten) runter und lasse es auf Deinem Rechner laufen.

Ich schätze allerdings, dass damit Deine Probleme auch nicht behoben sein werden. Ich würde mir an Deiner Stelle überlegen, den Rechner zu formatieren und neu zu installieren entsprechend Cidre's Rat.

Lieben Gruss
SD

hat keinen einfluss auf die spikes gehabt
das hab ich auch schon hinter mir, dass ich ganz neu aufgsetzt hab.
ist es möglich dass es doch am provider liegt?