Hi leute,

ich hoffe mal einer von euch kann mir bei meinem problem helfen: Seit ich dsl habe (also seit donnerstag) hatte ich diverse würmer, trojaner, etc. auf meinem system; alles mögliche halt, aber es konnten alle wieder entfernt werden.
Wenn ich jetzt netlimiter (v1.30) starte, wird mir angezeigt dass explorer.exe sehr viel up- und etwas weniger downloaded... da ich einen volumentarif habe und keine ahnung habe, warum der explorer (???) dateien versendet, bereitet mir das nat. einige probleme.
Ich schätze mal das ist auch ein virus oder sonstiges??
(wenn man bei google sucht, findet man beiträge, in denen es heisst, das bestimmte viren den explorer sozusagen als "tarnung" nutzen)

Ad-Aware, Spybot Search & Destroy und a2 free habe ich durchlaufen lassen. Das Problem besteht aber weiterhin.
Virenscanner bzw. firewall ist (noch) keiner aktiviert.

Vielen Dank im Voraus...

Avari155

Mach mal einen kompletten Virenscan. Falls der nix finden sollte poste mal die Log von HijackThis (http://www.spychecker.com/program/hijackthis.html)

@jean-luc picard

ich kann norton nicht aktivieren (liegt an meiner mail-adresse) und demzufolge auch keine vollständige systemüberprüfung durchführen... hijackthis hab ich runtergeladen und damit gescannt.

Hier die log:

Logfile of HijackThis v1.97.7
Scan saved at 20:40:30, on 26.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
F:\Norton\Norton AntiVirus2004\navapsvc.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Trillian\trillian.exe
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
D:\Programme\NetLimiter\NetLimiter.exe
E:\MAGIX Media Manager 2004 Gold\MediaManager.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
D:\Downloads\Antiviren\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton\Norton AntiVirus2004\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton\Norton AntiVirus2004\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NetLimiter] D:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\gkrru.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - Global Startup: GetRight Taskleisten-Symbol.lnk = D:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E5DAF95-7C58-45B8-95E9-971AA934A121}: NameServer = 217.237.151.97 194.25.2.129


Ich hoffe das hilft etwas weiter...

In der Log kann ich keinen Virus oder sonstigen Schädling ausfindig machen. Wenn Norton nicht will probier mal ob Antivir Personal (http://www.free-av.de) läuft.

mmm...

Was ist das?
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\gkrru.exe
Es gehört definitiv nicht zu Windows, bei Google ist es unbekannt ...

Also, ich kenne avari, und da er wie gesagt einige Probleme mit seinem PC hat, hat er auch darüber im icq geschrieben ;)

Er hat jetzt mal antivir drüberlaufen lassen, und da ist das bei rausgekommen:

die datei c: \windows\system32\gkrru.exe enthält signatur des wurms Worm\korgo.Q Soll diese Datei gelöscht werden?

Er hat sie aber nicht gelöscht.

Also, Lokadamus, gut aufgepasst! ;)

Er hat gesagt, morgen kommt er wieder, mal schauen, ob das das Problem ist...

@t-master

nat. habe ich sie gelöscht... Antivir gab 5 Warnungen aus. 3 infizierte Dateien wurden gefunden und (nach Bestätigung) gelöscht.

@lokadamus

gkrru.exe gehörte anscheinend zu dem Wurm Kongo.Q...

Dieser und alle anderen Würmer bzw. Trojaner nutzten eine Sicherheitslücke in Microsoft Windows LSASS. Deswegen habe ich mir jetzt ein update von microsoft (für win xp in verbindung mit sp1) heruntergeladen und das problem sollte hoffentlich dauerhaft gelöst sein...

Mein upload ist jedenfalls wieder völlig normal. ;-)

DANKE!