Verbindungsabrüche

Dieses Thema im Forum "Sicherheit" wurde erstellt von tombär, 17. September 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. tombär

    tombär ROM

    Registriert seit:
    17. September 2004
    Beiträge:
    4
    Hallo an alle,
    :heul:
    ich bin nicht sicher ob ich ein Hardware oder Software-Problem habe.
    Ich schildere mal: Ich wähle mich über den Smartsurfer ein. Manchmal klappt die Einwahl manchmal nicht. Klappt sie, dann ist die Verbindung superlahm und bricht auch meist nach kurzer Zeit wieder ab mit der Meldung: "Die Verbindung wurde außerhalb des Smartsurfers getrennt. Es besteht die Gefahr, dass sch ein 0190 bzw. 0900 Dialer Programm über ihr DFÜ Netzwerk einwählt." Auch wenn die Verbindungsgeschwindigkeit mal gut ist bricht die Verbindung nach einiger Zeit mit obiger Meldung ab. Antivir, Adaware, a2, Spybot haben nichts finden können. Habe TuneUp und HDCleaner drüber laufen lassen, Registries gecleant, Festplatten defragmentiert usw. Nichts hat was gebracht! Ein anderer Rechner den wir in die gleiche Dose (jedoch andere Buchse) gesteckt haben. Verbindet sich regulär und ohne Probleme.
    Kennt jemand das Problem bzw. noch besser weiß jemand eine Lsg. dieses Problems?

    Vorab Danke und Liebe Grüße

    Tombär

    P.S. Verwendetes System Windows XP auf einem Medion-Laptop mit internem 56K-Modem
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo tombär

    Lade dir mal das Programm HijackThis von dieser Seite herunter:

    http://hjt.klaffke.de/

    Erstelle nach Anleitung auf der genannten Seite eine Log-Datei und poste deren Inhalt hier. Entferne aber zuvor personenbezogene Daten bzw. mache diese unkenntlich. Setze am Anfang des Logs bitte "SIZE=1" in eckige Klammern und ans Ende "/SIZE", ebenfalls in eckige Klammern.

    Du kannst die Log-Datei aber auch auf http://www.hijackthis.de automatisch auswerten lassen, wenn du die Log-Datei hier nicht posten möchtest. Bevor du dich aber an das Löschen von "bösen" bzw. "evtl. bösen" Einträge machst, bitte die Einträge hier vorher posten.

    Gruß
    Nevok
     
  3. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    Hallo,

    du solltest zunächst mal ausschließen, dass du dir einen Dialer eingefangen hast.

    Lies erstmal hier:
    http://www.trojaner-info.de/dialer/dialer.shtml

    Die Seite ist nicht mehr ganz taufrisch, aber trotzdem lesenswert.

    Anschließend lädst du dir HijackThis runter:
    http://hjt.klaffke.de/
    (Mit bebilderter Anleitung). Du gehst in den abgesicherten Modus (beim Booten F8 drücken), öffnest nicht mehr den IE und machst ein Log. Die Auswertung ist gar nicht so knifflig, wie's aussieht. Für eine 1. Orientierung gehst du hierhin:

    http://www.hijackthis.de/

    und läßt dein Log auswerten. ACHTUNG: Noch nichts löschen! Du kannst nur mit ziemlicher Sicherheit die Einträge als Verursacher deines Problems ausschließen, die mit "gut" gekennzeichnet sind.

    Anschließend nimmst du dir dein Log vor. Eine Anleitung findest du hier:

    http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

    Bei einem Dialer mußt du besonders auf die laufenden Prozesse und auf Ziffer 04 des Log achten. Prüfe, ob dort (04) nur Sachen aufgeführt sind, die du wissentlich installiert hast. Im Zweifel hilft Google. Lösche (fixe) dubiose Einträge.

    Falls das nichts nutzt, poste das Log-file hier rein. Achte jedoch darauf, dass persönliche Hinweise (Z.B. Namen in "eigene Dateien") unkenntlich sind.
     
  4. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    Hi Nevok,

    Warst schneller. M.E. wäre es sinnvoll, wenn der TO es erstmal selbst versucht. :)
     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hi MobyDuck

    Ich habe ihm ja die Wahl gelassen, ob er das Log hier postet, oder ob er es erstmal selbst versuchen möchte. ;)

    Mal sehen, wie er sich entscheidet. :)

    Gruß
    Nevok
     
  6. tombär

    tombär ROM

    Registriert seit:
    17. September 2004
    Beiträge:
    4
    Hallo Ihr zwei,

    habe Hijack an einem "guten" Rechner eben ausprobiert. Sieht gut aus und ist auch einfach zu bedienen. Die Auswertung über HiJack-Seite ist auch super und vor allem verständlich.
    Heute abend bekomme ich den "bösen" Rechner wieder. Mal schauen was das log-file ausgibt.

    Vorab schon mal ein dickes Danke! Endergebnis teile ich für Interessierte auch noch mit.

    Viele Grüße

    Tombär
     
  7. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    Schön.
    Paß nur auf, dass du nicht kritiklos löschst, was dir die automatische Auswertung vorschlägt.
     
  8. tombär

    tombär ROM

    Registriert seit:
    17. September 2004
    Beiträge:
    4
    Hallo,

    sitze nun am "bösen" Rechner und habe folgendes Log-File erhalten:

    Logfile of HijackThis v1.98.2
    Scan saved at 20:45:38, on 17.09.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\0190 Warner\w0svc.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\AVPersonal\AVSched32.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
    C:\PROGRA~1\SAMSUN~1\SAMSUN~1\2.0p\MOUSE32A.EXE
    C:\WINDOWS\System32\atiptaxx.exe
    C:\Programme\Labtec\Labtec Keyboard-Desktop Software\DsiMmKbd.EXE
    C:\PROGRA~1\0190WA~1\WARN0190.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Dokumente und Einstellungen\Hase\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\PROGRA~1\SAMSUN~1\SAMSUN~1\2.0p\MOUSE32A.EXE
    O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [LabtecKB] C:\Programme\Labtec\Labtec Keyboard-Desktop Software\DsiMmKbd.EXE
    O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
    O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Hase\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx


    Die Auswertungsseite befindet alles als gut bis auf R1, O14 und 016. Die ersten beiden sind klar und OK (Rechnerhersteller), doch mit O16 (letzte Zeile des Logs) kann ich nichts anfangen. Weiß einer von Euch was das ist?.

    Übrigens läuft just die Verbindung ganz gut - komisch das ist!

    Viele Grüße

    Thomas
     
  9. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    Weiß auch nicht, was das ist. Macht aber nichts. Es handelt sich um ein ActiveX-Objekt. Den Verlust wirst du daher ganz bestimmt verschmerzen können. Kein Mensch braucht ActiveX. Fixe es.

    Wenn du es mal wieder wirklich benötigen solltest, wird dir das der Internet Explorer schon mitteilen.

    Melde dich, falls das Problem nochmal auftritt.
     
  10. tombär

    tombär ROM

    Registriert seit:
    17. September 2004
    Beiträge:
    4
    Hallo an Euch,

    Status Quo: Im Moment läuft alles rund!

    Danke noch mal an Euch beide für die schnelle, kurzfristige Hile.

    Viele Grüße und noch einen schönen Abend.

    Tombär
     
  11. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ tombär

    Das System ist nicht gepatcht!
    Es wäre also dringendst anzuraten, daß du ein Windows Update durchführst: http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx

    btw: HiJackThis sollte nicht temporär gestartet werden, da es sonst keine Backups anlegen kann.

    Lesenswerte Lektüre:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
     
  12. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    Hi Cidre,
    hast natürlich recht, ich muss mal meine Brille putzen.
    :rolleyes:
     
  13. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    ...oder vielleicht aufsetzen. :totlach:

    btw: Nobody is perfect. ;)
     
  14. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    OT:
    Na warte... schätze mal, dass wir uns in den Weiten des Internets nochmal begegnen werden :p

    Dein Hinweis auf die temporäre Ausführung von HJT ist natürlich auch richtig, hier hatte ich allerdings nicht die Befürchtung, dass der TO viel kaputt machen konnte. Worst case hätte er ein paar Autostart-Aufrufe weniger gehabt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen