Am PC meiner Schwester kehrt seit einigen Wochen trotz mehrfachen formatierens und Virenscan, sowohl mit Norton 2004 und Antivir XP keine Ruhe ein.
Ich bin inzwischen nicht mal mehr sicher ob das überhaupt ein Virus ist, zumindest merkt man an ihrem PC selbst eigentlich nichts davon.
Ich hab nur bemerkt dass in Cs mein Ping teilweise Minuten lang ziwschen 800 und 1000 hing und daraufhin mal meine Routerlogs gecheckt an dem meine beiden Schwestern, mein Vater und ich hängen.
Daraus entnahm ich, dass vom PC meiner Schwester in nur einer Sekunde gleich mehrere TCP Pakete an "205.188.165.121" geforwardet wurden, wenn ihr PC aus ist bleibt auch mein Ping unter 100...
205.188.165.121 ist eine Website auf der allerdings bis auf "nothing to see here" nichts zu sehen ist.
Zum Versenden der Pakete werden ports zwischen 2500 und 2900 genutzt, vielleicht geht es auch drüber oder drunter hinaus, meine logs sind dafür zu kurz^^, es wird jeder Port genau einmal genutzt und dann wird zum nächsten über gegangen!
Hat irgendjemand ne Ahnung um was für ne Art von (Virus)problem es sich dabei handelt, Windows neu hat wie gesagt auch nichts gebracht, wobei aber Daten erhalten blieben (auch nach Trend Mirco Online Scan virenfrei...)

Mit Ping hättest du gesehen das die IP 205.188.165.121 zu AOL, genau genommen zu ads.web.aol.com, gehört.
Was da aber so einen Traffic verursacht, kann ich auch nicht sagen.

Wird ICQ eingesetzt?
Da wird nämlich ständig Werbung nachgeladen...

Nein auch wenn sie den rechner nicht benutzt wird fleißig gesendet, außerdem hab ich auch auf anderen Rechnern im LAN ICQ laufen...

Auf die Idee mit Ping hätt ich selber kommen können, aber ich wusst net was man da alles erfährt...

lol hab grad ma Neotrace über die Adresse laufen lassen => US Bundesstaat Kansas...
Naja war ja nur spasshalber nützen wirds mir eh nix.

mmm...

Must mal sämtliche Sachen, die im Hintergrund laufen, beenden. Im Notfall über den Taskmanager, irgendwann solltest du dann den Kram gefunden haben, was diesen Traffic erzeugt ... ansonsten mal ein Log von HijackThis posten oder auf der Webseite auswerten lassen ...

hallo,

klingt für mich nach einem irc-bot.

lad dir mal filemon runter -> http://www.sysinternals.com/ntw2k/source/filemon.shtml

und schau dir alle laufenden instanzen an. damit müsstest du den übeltäter recht schnell identifizieren. filemon zeigt dir auch die pfade an.

p.s.

schmeiss die virenscanner vom system und besorg dir am besten einen router oder verwende die in sp2 integrierte sw-firewall. virenscanner helfen nie wenn man sie braucht. desweiteres solltest du alle monat mal sbybot aktualisieren und das system scannen.

Bin hier am pc meiner schwester.
ich hab zigtausend von programmen gelöscht, alle so vom typ GAIN, der rechner läuft jetzt auch bedeutend schneller, das inet macht aber immernoch probleme, hier mal meine logs (man beachte den zeitrahmen) achja nen router hab ich sonst hätt ich das vll gar net gemerkt:

Fri, 2004-11-12 17:41:28 - UDP packet forwarded - Source:192.168.0.3
,1058 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:28 - TCP packet forwarded - Source:192.168.0.3
,1059 LAN - Destination:205.188.9.66,5190 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:30 - TCP packet dropped - Source:83.135.156.126
,4470 WAN - Destination:217.236.112.198,6881 LAN - [Inbound Default rule match]
Fri, 2004-11-12 17:41:32 - UDP packet forwarded - Source:192.168.0.3
,1061 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:33 - IP packet dropped - Source:217.5.98.102
,WAN - Destination:217.236.112.198,LAN - [IP Spoofing]
Fri, 2004-11-12 17:41:34 - UDP packet forwarded - Source:192.168.0.3
,1062 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:36 - UDP packet forwarded - Source:192.168.0.3
,1063 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:38 - UDP packet forwarded - Source:192.168.0.3
,1064 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:42 - UDP packet forwarded - Source:192.168.0.3
,1066 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:44 - UDP packet forwarded - Source:192.168.0.3
,1067 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:46 - UDP packet forwarded - Source:192.168.0.3
,1068 LAN - Destination:64.12.161.153,5150 WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:48 - TCP packet forwarded - Source:192.168.0.3
,1069 LAN - Destination:64.12.202.217,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:48 - TCP packet forwarded - Source:192.168.0.3
,1071 LAN - Destination:205.188.250.25,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:49 - TCP packet forwarded - Source:192.168.0.3
,1072 LAN - Destination:205.188.250.25,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:50 - TCP packet forwarded - Source:192.168.0.3
,1074 LAN - Destination:64.236.47.80,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:51 - TCP packet forwarded - Source:192.168.0.3
,1075 LAN - Destination:64.236.47.80,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:52 - TCP packet forwarded - Source:192.168.0.3
,1076 LAN - Destination:64.236.47.80,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:52 - TCP packet forwarded - Source:192.168.0.3
,1077 LAN - Destination:64.236.47.80,80[HTTP] WAN - [Outbound Default rule match]
Fri, 2004-11-12 17:41:54 - TCP packet forwarded - Source:192.168.0.3
,1078 LAN - Destination:64.12.174.57,80[HTTP] WAN - [Outbound Default rule match]

mmm...

Und wo ist das Log von HijackThis?

Es scheint so als hätt ich das Programm doch miterwischt, weil bisher hat der PC ruhegegeben, danke für die Hilfe, vor allem Hijack this und filemon haben mir recht gut geholfen!!
(fragt sich nur wie lange der frieden bestehen bleibt ->schwestern :rolleyes: )

mmm...

Öhm :confused: ... HijackThis zeigt alle Programme an, die gestartet werden, also auch die normalen Windows- Programme. Allerdings kann es ein Log erstellen und man kann es dann entweder auf der Seite auswerten lassen oder hier im Forum posten und einige gucken es dann nochmal durch. Ich hoffe, du hast nicht einfach alles entfernt, was HijackThis angezeigt hat, ansonsten hast du auch einige normale Sachen deaktiviert. Über das Backup solltest du im Notfall an einige Sachen wieder rankommen (hoffe ich) ...

ich hab nur das entfernt, was nicht da hin gehört hat, und es geht auch alles noch problemlos.
ganz dämlich bin ich ja auch nicht... ;)