Heimnetzwerke - WIFI, LAN, Router und Co 16.537 Themen, 81.397 Beiträge

Verfolgung starten Optionen

Netzwerkgriff auf einen Comp. extr. langsam, Virscans o. Erg.

komasurfer / 16 Antworten / Flachansicht Nickles

Hallo Digi-Engel,
der Netzwerkzugriff von und zu einem von 4 vernetzten Computern ist kaum mehr möglich (extrem langsam oder Abbruch mit "Netzwerk ausgelastet" oder "Netzwerkressource nicht mehr zur Verfügung") Nur der Internetzugriff funktioniert einwandfrei. Kommunikation der anderen Rechner untereinander einwandfrei.
Alle Rechner sind Win98SE oder WinME-Rechner. Alle Netzwerkeinstellungen gleich.
Virenscans lokal mit A-Squared, AVG und Antivir und online mit Trendmicro Housecall waren erfolglos.
Aufbau des Netzwerks:
Zwei Leitungen von Teledat Router 630 zu zwei Switches - an einer Switch hängen drei, an der anderen der Problem-Rechner. Austausch der beiden Switches ergebnislos, ebenso Kabel- und Port-Tausch. Netzwerkkarte (Realtek 8139 A, full duplex): Treiberupdate und Diagnoseprogramm von Realtek ohne Ergebnis.
Netstat Viewer liefert keine Auffälligkeiten, soweit ich das beurteilen kann. Routerdiagnose und -einstellungen ebenfalls nicht.
Allerdings zeigte Netstat gestern abend für einen Moment plötzlich sechs Verbindungen zu Außen-IPs, obwohl ich den Browser nicht mal offen hatte. Eine Überprüfung ergab, dass die IPs zu Domains z. B. vom Bundesaußenministerium, der Stadt Zagreb oder einer Internetagentur gehörten - alles Domains, die keiner hier je aufgerufen hat oder das tun würde. Ähnliches ließ sich bis dato nicht wieder reproduzieren, Netstat zeigte bis jetzt keine solcher "Geisterverbindungen" mehr an. Sollte da doch irgendwo so ein Backdoor-Dings agieren? Aber wo?
Bin mit Nerven und Ideen am Ende. Könnt ihr helfen?
Merci vielmals
Armin

bei Antwort benachrichtigen
Hallo, 1. welches Btriebssystem? 2. welche Hardware 3. wie ist die ... cscherwinski
Hallo Christian, 1. Betriebssystem: hatte ich geschrieben genauer: Win ME ... komasurfer
Hallo Christian, habe gepingt! Der Problemrechner hat 4 Pakete empfangen, ... komasurfer
Hi Wenn Du mit Viren einigermaßen sicher gehen möchtest, dann versuche mal ... gelöscht_189916
Hallo fakiauso, danke für die Tipps. Eigenschaften TCP/IP stehen auf DNS ... komasurfer
Hallo, dann geh doch mal in den Gerätemanager und deinstalliere die ... cscherwinski
Hallo komasurfer, gebe in der Eingabeaufforderung diesen abgewandelten ... shrek3
Hallo komasurfer DNS müßte aber m.E. aktiviert sein, damit die Umsetzung ... gelöscht_189916
Hallo, danke zwischendrin fürs Engagement und die Tipps! @shrek3,@Fakiauso: ... komasurfer
Was mir gar nicht gefällt, dass es auf dem fragwürdigen Rechner nicht mehr ... shrek3
komasurfer shrek3 „Was mir gar nicht gefällt, dass es auf dem fragwürdigen Rechner nicht mehr...“
Optionen

Hallo shrek3,
genau das ist, was ich eben auch befürchtet habe.
Allerdings macht mich dabei folgendes stutzig:

1. Ich sehe im HiJackThis-Log keinen Hinweis darauf (siehe Log-Text am Ende dieses Beitrags)
Der oberste Eintrag (R1) ist wohl Malware - komisch nur, das mir keine andere Startseite, als die gewollte Google-Seite angezeigt wird und weder Spybot noch sonst ein Scanner mir diesbzgl. eine Meldung ausgegeben hat.
Den Eintrag habe ich inzwischen gefixt.

2. Ich habe jetzt jeden Tag Netstat immer mal wieder laufen lassen und keine weiteren "Geisterverbindungen" mehr gesehen.

3. Eigentlich hätte doch wenigstens eines der Virenprogramme einen Backdoor-Trojaner oder sowas finden müssen, oder?

4. Im Teledat Router ist eine Firewall aktiv (Stateful Inspection, DoS-Schutz, NAT). Außerdem verstecken sich die Computer des Netzwerks sozusagen hinter dem Router. Das heißt doch, dass, wenn überhaupt, nur entweder alle oder keiner der Rechner fremdbenutzt werden könnte/würde, oder? (Immer vorbehaltlich, dass ich die Router-Beschreibung und -Konfiguration richtig verstanden habe...)

Wie kann ich entsprechende Bot-Aktivitäten sicher verifizieren, d. h. sichtbar machen oder aufspüren?
Es müsste doch dann eine Möglichkeit geben, sie zu blockieren. Wie?

Habe gerade Spybot laufen lassen, hat nur ein paar Cookies und "diskussionswürdige" Traces gefunden, die ich alle gelöscht habe.
Allerdings weist Spybot unter "Systemstart" folgenden aktivierten Eintrag aus, der mir unter msconfig/Autostart nicht angezeigt wird:
Schlüssel: WinLogon (C:\WINDOWS\system.ini)
Wert: Shell
Kommandozeile: Explorer.exe
Klicke ich das Fenster mit Zusatzinformationen für diesen Eintrag an, erscheint eine ganze Latte mit Hinweisen, die auf verschiedene Malware-Aktivitäten dieses Eintrags hindeuten, mit Alias-Dateinamen, falschen Pfaden etc. Es geht aber nicht eindeutig daraus hervor, ob genau dieser Eintrag nun zu den "falschen" gehört oder nicht. Frage ist also: Kann ich den Autostart-Eintrag hier deaktivieren, oder zerschieße ich mir dadurch den Systemstart, weil dann der "echte" Explorer oder sonst was wichtiges nicht gestartet wird?
(Es gibt übrigens auf dem Computer in Windows nur eine explorer.exe, direkt im Windows-Verzeichnis)

Gruß
komasurfer
------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:28, on 27.10.2008
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS202\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAMME\DAP\DAPBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_16\bin\ssv.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMME\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [MCW Startup] "C:\PROGRAMME\MONITOR CALIBRATION WIZARD\MCW.EXE" /s
O4 - HKUS\.DEFAULT\..\Run: [MCW Startup] "C:\PROGRAMME\MONITOR CALIBRATION WIZARD\MCW.EXE" /s (User 'Default user')
O4 - .DEFAULT Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE (User 'Default user')
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_16\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_16\BIN\SSV.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O18 - Filter hijack: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)

bei Antwort benachrichtigen
@csherwinski: Reinstallation der Netzwerkkarte leider ohne Effekt... komasurfer
Hallo R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar ... gelöscht_189916
Näheres zur ersten IP-Adresse: http://centralops.net/co/DomainDossier.aspx ... shrek3
Hallo, puh, seit gestern funktioniert der Netzwerkzugriff wieder wie ... komasurfer
Hallo komasurfer Ausgeschaltet ist so eine Frage, wenn der Rechner nur ... gelöscht_189916