Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Probleme mit der Verbindung (UPLOAD!) - möglicher Virus? (https://www.trojaner-board.de/48278-probleme-verbindung-upload-moeglicher-virus.html)

Edomedo 15.01.2008 19:36
Probleme mit der Verbindung (UPLOAD!) - möglicher Virus?
 
Hi Leute,

ich habe das Problem, dass mein Upload seit geraumer Zeit mehr als nur spinnt. Volle Auslastung bekomme ich überhaupt nicht mehr, meistens erreiche ich bei den sogenannten Speedtests nur ca. 10-15% der Bandbreite, die Downloadgeschwindigkeit läuft jedoch IMMER 100%.

Bei meinem Anbieter (Alice DSL) habe ich nachgefragt, jedoch konnten die keine Probleme bezüglich der Leitung feststellen, demnach scheint es also an meinem Rechner zu liegen. Ich habe schon alle möglichen Programme drüberlaufen lassen, jedoch hat das meinem Problem leider bisher nicht geholfen. Den Router habe ich auch mehrmals resettet bzw. neu aufgesetzt, hat auch nichts geholfen und die Netzwerkkarte habe ich mittlerweile auch schon ausgetauscht.

Ich habe das ganz normale Win XP mit SP2 drauf, und Avira Antivir Virenscanner.

Hijacklog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:34, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\IDU\iptray.exe
C:\Dokumente und Einstellungen\Edo\Eigene Dateien\RefreshLock.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Intel\IDU\awServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Games\Warcraft III\pickup.listchecker.exe
C:\Dokumente und Einstellungen\Edo\Desktop\w3hph.exe
C:\Games\mIRC\mirc.exe
C:\Programme\FMA 2\MobileAgent.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ipTray.exe] "C:\Programme\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RefreshLock] C:\Dokumente und Einstellungen\Edo\Eigene Dateien\RefreshLock.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-251cfbc426bd1b7e.spaces.live.com/PhotoUpload/MsnPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Programme\Intel\IDU\awServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 6282 bytes



vielleicht hatte ja jemand von euch schon ein ähnliches Problem und weiß Rat.
Ansonsten werde ich wohl nicht um ein Format C:/ kommen.


Danke schonmal im Voraus


freundliche Grüße
Edo

cosinus 15.01.2008 20:41
Zitat:
C:\Dokumente und Einstellungen\Edo\Desktop\w3hph.exe
Kenn ich nicht was ist das fürn Kappes? Jag die Datei auch mal bei Virustotal hoch. Ist denn die TrafficLED vom Router ständig am Blinken auchwenn Du nix machst? Schonmal nen anderen PC an deiner Leitung angeschlossen?

Edomedo 15.01.2008 20:48
Zitat:
Zitat von root24 (Beitrag 316313)
Kenn ich nicht was ist das fürn Kappes? Jag die Datei auch mal bei Virustotal hoch. Ist denn die TrafficLED vom Router ständig am Blinken auchwenn Du nix machst? Schonmal nen anderen PC an deiner Leitung angeschlossen?
die Datei ist nur ein Programm für ein Spiel - nix schlimmes. An nem anderen PC läuft die Leitung ganz normal, deshalb ist ja die schuld am Provider nicht zu suchen. Traffic habe ich keinen.

Ganz seltsam alles...


virustotal - panda sagt => suspicious file!

AhnLab-V3 2008.1.16.10 2008.01.15 -
AntiVir 7.6.0.48 2008.01.15 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.15 -
BitDefender 7.2 2008.01.15 -
CAT-QuickHeal 9.00 2008.01.15 -
ClamAV 0.91.2 2008.01.14 -
DrWeb 4.44.0.09170 2008.01.15 -
eSafe 7.0.15.0 2008.01.15 -
eTrust-Vet 31.3.5459 2008.01.15 -
Ewido 4.0 2008.01.15 -
FileAdvisor 1 2008.01.15 -
Fortinet 3.14.0.0 2008.01.15 -
F-Prot 4.4.2.54 2008.01.14 -
F-Secure 6.70.13030.0 2008.01.15 -
Ikarus T3.1.1.20 2008.01.15 -
Kaspersky 7.0.0.125 2008.01.15 -
McAfee 5208 2008.01.15 -
Microsoft 1.3109 2008.01.15 -
NOD32v2 2793 2008.01.15 -
Norman 5.80.02 2008.01.15 -
Panda 9.0.0.4 2008.01.15 Suspicious file
Prevx1 V2 2008.01.15 -
Rising 20.27.12.00 2008.01.15 -
Sophos 4.24.0 2008.01.15 -
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.15 -
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.15 -
VirusBuster 4.3.26:9 2008.01.15 -
weitere Informationen
File size: 210432 bytes
MD5: db09274b0ac0c55e8ce9260350e071d7
SHA1: 81b4846685b572503530f56d6c8cf68566148e06
PEiD: ASPack v2.12 -> Alexey Solodovnikov
packers: Aspack
packers: ASPack

cosinus 15.01.2008 21:28
Tja wenn du dann sehr viel Pech hast, haste ein rootkit im System das gerade deine Leitung mit Müll zukippt. :kloppen:
Du kannst ja mal ein bischen Detecktiv spielen und mit Programmen wie gmer, blacklight, rootkitrevealer oder rootkit hook analyzer auf rootkits prüfen. Wenn diese Programme aber alle nix finden sollten heißt das nicht, daß dein System frei ist. Wenn du dich etwas mitm Netzwerk und tcp/ip auskennst kann dir evtl. auch Wireshark weiterhelfen.

Edomedo 15.01.2008 22:03
alles schon gemacht ;-) wireshark allerdings noch nicht, werde ich mal testen, danke!


die anderen Sachen haben nichts gefunden (gmer etc)

cosinus 15.01.2008 22:10
Na das hört sich ja schon mal recht positiv an. Entwarnung würd ich aber noch nicht geben kann sein daß das rootkit zu gut versteckt ist.
Schau doch lieber erstmal nach ob nich doch irgendein bekannter Prozess nach draußen will. Und Wireshark kann unter Umständen recht viele Einträge erzeugen.

Edomedo 15.01.2008 23:09
okay, danke - hat sich erledigt.

Das Problem lag an meinem Router - ich war per Kabel damit verbunden und die anderen PC's per WLAN. Da ist wohl etwas mit der Kabelschnittstelle hinüber, denn die anderen PC's hatten optimale Bandbreite anliegen.


nochmals danke für die Ratschläge :-)


viele Grüße
Edo

cosinus 15.01.2008 23:16
Zitat:
Zitat von Edomedo (Beitrag 316378)
Das Problem lag an meinem Router - ich war per Kabel damit verbunden und die anderen PC's per WLAN. Da ist wohl etwas mit der Kabelschnittstelle hinüber, denn die anderen PC's hatten optimale Bandbreite anliegen.
Geil :D
Sowas hab ich noch nie gehört. Entweder kaputt oder okay aber halbkaputt kenn ich nicht. :blabla:

Edomedo 16.01.2008 00:25
naja war halt ein Telekom Router - da wundert mich nichts ;-)

cosinus 16.01.2008 00:44
Zitat:
Zitat von Edomedo (Beitrag 316390)
naja war halt ein Telekom Router - da wundert mich nichts ;-)
Du meinst die Teledat und Speedport-Dinger? :) Die werden glaubich von Siemens hergestellt.
Sind sehr zuverlässig. DSL-Modems sind mir noch nie kaputt gegangen. Das Speedport-Teil hab ich jetzt seit nem 3/4 Jahr, läuft rund um die Uhr. Null problemo. Nur einmal bisher neustarten (Strom weg - Strom ran) müssen wegen Aufhänger. :daumenhoc

Naja. Ich kenn dein Kabelumfeld da nicht. Was ist mit nem anderen Port im Router?

Nero-J-Art 16.01.2008 02:15
@Edomedo
wars die alice hardware ? :blabla:

Zitat:
Zitat von root24
Und Wireshark kann unter Umständen recht viele Einträge erzeugen.
es soll ja auch niemand nebenher nen DOWNLOAD laufen lassen :D
:daumenhoc

schon ein DOWNLOAD mit 10MB und TCP/MSS 1452 ergibt insgesammt ungefähr 7000 frames;
bei einer geschwindigkeit von 16000 kbit/s sind das pro sekunde ungefähr 1250 frames;
und wenn jemand ungünstige TCP window (RWIN)/MSS werte hat werden´s noch mal n paar mehr
--praktische ca.,aufgerundete werte - keine rechnerischen


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129