beetFreeQ Geschrieben 7. November 2004 Teilen Geschrieben 7. November 2004 Moin! Ich hab da ein ziemlich blödes Problem. Mein Rechner zeigt kurz nach dem Öffnen einer Internetverbindung dieses typische "Das System wird heruntergefahren"-Meldung, die ja so einige Viren auslösen. Das Problem dabei - sämtliche Tools, die ich hab drüberlaufen lassen, finden nix. Ich hab's mit Antivir (neueste Version), CWSShredder, AD Aware, Stinger, einigen MSBlast-Removal-Tools, Spybot und dem F-Secure-Agobot-Removal-Tool probiert - nichts! Ich hole aber mal etwas weiter aus: Vor einigen Tagen hatte ich das Problem, daß mein Virenscanner einige Viren in meinem Thunderbird-Maileingang gefunden hatte - Folge: Alle Mails waren plötzlich leer. Kurz darauf funzte dann die Internetverbindung nicht mehr - ich konnte mich zwar sowohl via ISDN als auch vai DSL einwählen, hab aber nix im Internet erreicht... Da ich sowieso meinen Rechner neu aufsetzen wollte, hab ich das dann getan - C-Partition gelöscht und Windows XP mit SP1 neu drauf. Danach hab ich nur die Outpost-Firewall, Antivir und meine NVIDIA-Chipsatz-Treiber für's Mainboard (auf dem auch der Ethernet-Anschluss sitzt) installiert und wollte danach mit Arcor-DSL ins Internet. Kurze Zeit später war plötzlich einer der SVCHOST.EXE-Prozesse auf 99% und außerdem wollte die TFTP.EXE ins Internet. Sowas hatte ich schonmal, nur, daß damals per Virenscanner alles wieder repariert werden konnte - diesmal hat er nix gefunden. Seltsamerweise blieb es dann nicht bei dem Problem - einige Neustarts später machte die SVCHOST.EXE keine Mucken mehr - dafür kam dann das oben beschriebene Problem mit dem Neustart. Ich hab dann nochmal nach TFTP-Dateien gesucht und wie damals einige gefunden (immer mit einer Zahl dahinter) - also alle gelöscht und auch aus dem DLLCache rausgenommen. Das löst aber leider nicht mein Problem. Ich hab's zwar dadurch entschärft, daß ich im RPC-Dienst eingestellt hab, daß er nach einem Abbruch nicht Windows sondern den Dienst selbst neu starten soll, aber das ist ja auch keine sinnvolle Lösung. Kann es sein, daß sich irgendwas bei mir auf meiner Daten-Partition, die ich nicht neu formatiert habe, festgesetzt hat? Ich hatte vor einigen Monaten schonmal Probleme mit dem SDBot-Virus, aber das Ding kam nie wieder... - außerdem wird ja jetzt nix gefunden. Oder kann es etwas ganz anderes sein? Vielleicht weiß ja jemand Rat! Ich bin jedenfalls mit meinem Latein am Ende... Thx for help! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Chief Wiggum Geschrieben 7. November 2004 Teilen Geschrieben 7. November 2004 Das sieht ja nicht nett aus. Kannst du mal HijackThis nehmen (aktuelle Version) und hier das Log posten? Da kann man dann besser sehen, was alles geladen wird. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beetFreeQ Geschrieben 7. November 2004 Autor Teilen Geschrieben 7. November 2004 Hier mal das Log: Logfile of HijackThis v1.97.7 Scan saved at 09:18:53, on 07.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\OUTPOS~1.0\outpost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Outpost Firewall 1.0\outpost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\eMule\emule.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Eigene Dateien\Downloads\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Outpost Firewall 1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D1F11CEB-171E-4C64-9440-FF3AB4C91334}: NameServer = 145.253.2.203 145.253.2.81 Ich benutze aber normalerweise nur den Firefox-Browser - wenn der IE nicht gestartet ist, ist das Log auch kleiner... Vielleicht erkennste ja was... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beetFreeQ Geschrieben 7. November 2004 Autor Teilen Geschrieben 7. November 2004 Ach ja, ich hab jetzt außerdem folgendes Verhalten: - nach einer Weile funktioniert kein Drag&Drop mehr! Das hatte ich schonmal als ich einen der SVCHOST.EXE-Prozesse manuell beendet hab. Könnte also vielleicht damit zusammenhängen, daß der RPC-Dienst sicherlich zwischendurch beendet wurde... Und meine Internet-Verbindung lässt sich dann auch nicht mehr beenden, wie ich grad feststellen musste... - der Rechner blieb danach auch beim Runterfahren hängen - kann aber noch nicht sagen, ob das jetzt immer passiert... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Chief Wiggum Geschrieben 7. November 2004 Teilen Geschrieben 7. November 2004 Merkwürdig. Soweit scheint das Log von Hijackthis ja sauber zu sein, die Nameserver sind die von Arcor, also in Ordnung, wenn du über Arcor reingehst. Ich hätte ja erst auf eine Netsky-Infektion in der Winlogon.exe getippt, aber dafür fehtl der Aufruf in der Registry... echt merkwürdig.... Kannst du mal einen Online-Scan bei bitdefender durchführen? Link dazu in der Linkliste im Security-Bereich. Ausfall von Drag and drop ist charakteristisch für einen gecrashten RPC-Dienst. Nur: warum crasht der. Ich sehe da nichts. :eek: Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 7. November 2004 Teilen Geschrieben 7. November 2004 Sperre in der Outpost nach draussen alle nicht benoetigten Ports: Dazu zaehlen 135 (RPC/DCOM), 137-139 (NetBIOS), 445 (SMB), 593 (RPC over HTTP). Dann mit einem OnlineScanner den Rechner scannen. (Alternative zu activeX-gesteuerten Online Virenscannern: der javagesteuerte Trend Micro HouseCall.) Nach dem Scannen online mit Windows Update oder offline mit dem MBSA ueberpruefen, ob das System auf dem neuesten Stand ist. Vorschlag hier: erstmal das System mit allen Patches ausser SP2 ausstatten Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beetFreeQ Geschrieben 7. November 2004 Autor Teilen Geschrieben 7. November 2004 Ich hab jetzt die entsprechenden Ports für die SVCHOST.EXE gesperrt und mir alle aktuellen Windows Updates geholt. Hoffe, es klappt - das kann ich im Moment aber noch nicht einschätzen... Ein Scan mit Bitdefender ist jedenfalls auch negativ ausgegangen - kein bekannter Virus weit und breit... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beetFreeQ Geschrieben 7. November 2004 Autor Teilen Geschrieben 7. November 2004 Hmm, jetzt ist der Rechner schon länger als eine Stunde online und alles klappt noch, wie's soll... - vorher hat's nur ein paar Minuten gedauert, bis der Dienst sich verabschiedet hatte. Sieht so aus, als hätte entweder das Sperren der Ports oder die Installation der Updates das Problem behoben. Mal abwarten, ob das so bleibt! Vielen Dank an euch beide auf jeden Fall schonmal!! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.