Hi,
ein Kumpel von mir geht über die T-Online Software 5.0 ins netz ( er möchte auch weiterhin darüber ins netz gehen, also braucht ihr nix schreiben von wegen router oder so). Jedenfalls fängt die Lampe vom Modem an ziemlich schnell zu flackern, wenn er über die software online geht, obwohl kein einziges Programm auf das Internet zugreift, nichtmal der Internet Explorer ist an. Weiss einer was das ist? Ein Trojaner vielleicht?? Habe Antivir mit neuestem Virenupdate schon drüber laufen lassen, aber er hat nix gefunden.

mfg
Slater

mmm...

Das könnte einfach der normale Traffic sein, der immer anfällt. Besonders viel Traffic dieser Art dürfte auftreten, wenn er die IP von einem P2P- User übernommen hat ... solltest vielleicht eine Firewall installieren und dann mal schauen, was gelockt wird oder einen Portscan machen (die meisten Onlineportscanner scannen nur den Bereich von Port 0 - 1024) ...

Hi,
also eine Firewall ist installiert ( Norton 2004 ). also die lampe leuchtet so viel und oft das es wirklich unnormal ist. Die firewall ist auf "medium" eingestellt.

mfg

Slater

mmm...

Dann wirst du wahrscheinlich auch auf Pings antworten => schau mal im Log nach, was alles so aufläuft, ansonsten ist es eh normal, Datenpakete trudeln permanent durch die Gegend ... wenn du willst, das wir nach unbegewöhnlicher Software suchen, must du mal ein Log mit HijackThis erstellen und posten, dann sagen wir dir, ob wir etwas ungewöhnliches finden können ...

hi,
ok aber das krieg ich nich vor mittwoch abend hin..


mfg

slater

Original geschrieben von Slater188
Logfile of HijackThis v1.97.7
Scan saved at 14:23:36, on 22.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rasmngr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RasCon Remote Access Service Manager] rasmngr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [RasCon Remote Access Service Manager] rasmngr.exe
O4 - HKCU\..\Run: [RasCon Remote Access Service Manager] rasmngr.exe
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7AFD7C-DAF2-4A43-B00B-B97BBB3C2D60}: NameServer = 217.237.149.225 194.25.2.129

mist, ausgeloggt gewesen, also das da oben ist der scanlog von hijackthis...vielleicht kann jemand was erkennen.
Es gibt bei norton noch einige einstellungen:

in der Internet Security unter Options:

Zugriffseinstellungen von externen modulen prüfen mit denen programme eine Verbindung ins internet erstellen.

wenn ein Programm von einem anderen gestartet wird, die Internet zgriffseinstellungen für jedes programm überprüfen.

Ansonsten ist die Firewall auf medium eingestellt, das heisst:

verbirgt unbenutze Ports
ActiveX steuerelemente werdfen ausgeführt, genauso wie javaApplets
Benachrichtigung wenn ein Programm versucht ins internet zu gehen.

mfg

slater

Könnte es zufällig mit diesem rasmangr.exe aus dem system32 ordner zusammenhängen??? Was ist das für eine Datei?

mfg

slater

mmm...

Ah, ich sehe, du hast es schon gefunden :) ...
Im Taskmanager abschiessen:
C:\WINDOWS\System32\rasmngr.exe

Mit HijackThis diese Einträge entfernen:
O4 - HKLM\..\RunServices: [RasCon Remote Access Service Manager] rasmngr.exe
O4 - HKCU\..\Run: [RasCon Remote Access Service Manager] rasmngr.exe

Das Teil zippen und entweder an mich mailen (Lokadamus@gmx.de Betreff 3dc- Virus) oder bei Antivir hochladen ... danach kannst du die Datei einfach löschen ...

Hi, kann das sein, das das mistvieh im explorer anders heisst?? zum bsp. rasdial.exe oder rasautou.exe??? weil eine rasmngr.exe gibts im system32 Ordner nicht.

mfg

slater

mmm...

Nein, das sind Windowsdateien und die braucht Windows auch. Es könnte eher sein, das sich das Teil versteckt angelegt hat und darum ausgeblendet ist. Im Explorer auf folgendes gehen => Extras => Ordneroptionen => Ansicht => (uff jetzt muss ich raten) Alle Dateien anzeigen, mit Glück wird die Datei schon angezeigt, ansonsten must du noch den Punkt raussuchen, wo Systemdateien ausgeblendet werden. Dann für alle Ordner übernehmen und du bekommst überall versteckte Dateien angezeigt und solltest sie im System32- Ordner sehen können ... ansonsten must du im System32- Ordner sein und dann einfach mit ok bestätigen, dann wird es nur in diesem Ordner angezeigt ...

Ok, habs erledigt und auch denen von Antivir gemailt.
Herzlichsten Dank nochmals.


mfg

slater