hallo leute,
ich weiß echt nicht mehr ob ich irgendwann einmal einen "sauberen" pc haben werde.
neulich sind probleme mit der internetverbindung aufgetreten.
beim start des computers wurden ca. 6 fenster nacheinander angezeigt "dieser server ist überlastet - wechseln zu - wiederholen" oder etwas wie "diese verbindung kann nicht hergestellt werden da schon eine verbindung existiert - wechseln zu - wiederholen"
dann kam zweimal das gleiche fenster das dazu einlädt "problembericht an microsoft senden - nicht senden" und da ging es um "sagate.exe"
als ich danach ins internet wollte, stürzte der pc immer nachdem die verbindung hergestellt wurde ab.
diese "sagate.exe" befand sich in windows/system32
ich habe nach eigenschaften geschaut, datei gehörte nicht zum windows! dann hab ich sie gelöscht!
jetzt geht es wieder!
aber ich hab immer noch zweifel ob ich nicht was wichtiges gelöscht hab???


und das zweite problem werde ich auch gleich los, um keinen neuen thread zu starten:
schon seit tagen wird manchmal nachdem der pc ca. 30 min online ist eine meldung angezeigt dass "general hostic processes" unerwartet beendet wurde (entschuldigung, weiß nicht ob ich das richtig in erinnerung habe!!!)
gleich danach kommt ein shutdown-countdown!
es ist NICHT sasser da ich den pc nach sasser durchsucht hab und sonst finden viren-etc-scanner auch nix!

danke fürs lesen und entschuldigung dass ich mit meinen problemen nerve, bin aber ein absoluter laie!

gruß,
oli

EDIT:
Logfile of HijackThis v1.99.0
Scan saved at 00:17:41, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\rspcs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\ACLSymbols.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Oli\Eigene Dateien\Installer\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RSPC Driver D] rspcs.exe
O4 - HKLM\..\RunServices: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] rspcs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [RSPC Driver D] rspcs.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4926275E-788F-486C-BD95-F18099FDD8B8}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4926275E-788F-486C-BD95-F18099FDD8B8}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{4926275E-788F-486C-BD95-F18099FDD8B8}: NameServer = 62.27.27.62 62.27.53.66
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: ArchiCrypt Live Service - Unknown - C:\WINDOWS\System32\ACLSymbols.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sagate Security Firewall - Unknown - C:\WINDOWS\System32\sagate.exe (file missing)

Hallo@oli85

http://www.rz.uni-karlsruhe.de/rz/sec/v ... otBOW.html
W32-Wurm, -> W32/Gaobot-Fam.
Betroffen: alle ungesicherten 32-Bit Windows-Systeme
# Verbreitung: über administrative Netzwerkfreigaben mit schwachem Kennwortschutz
# über Hintertüren auf TCP-Port 7000 (Backdoors)

For more information regarding these vulnerabilities, please refer to the following Microsoft Web pages:

* Microsoft Security Bulletin MS03-007
* Microsoft Security Bulletin MS03-026
* Microsoft Security Bulletin MS03-001
* Microsoft Security Bulletin MS03-049
http://uk.trendmicro-europe.com/enterpr ... AGOBOT.ACD
-------------------------------------------------------------------------------------------

Gehe in die Registry
Start<Ausfuehren<regedit

falls die Werte nicht dem Normalwert entsprechen-->aendere sie)

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" -->aendere in "Y"

HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous = dword:00000001 -->aendere in : dword:00000000


Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Sagate Security Firewall " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Sagate Security Firewall " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\Run: [RSPC Driver D] rspcs.exe
O4 - HKLM\..\RunServices: [Sagate Security Firewall] sagate.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] rspcs.exe
O4 - HKCU\..\Run: [RSPC Driver D] rspcs.exe
O23 - Service: Sagate Security Firewall - Unknown - C:\WINDOWS\System32\sagate.exe (file missing)

Kennen Sie die IP oder die Domäne '62.27.27.62 62.27.53.66' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{4926275E-788F-486C-BD95-F18099FDD8B8}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4926275E-788F-486C-BD95-F18099FDD8B8}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{4926275E-788F-486C-BD95-F18099FDD8B8}: NameServer = 62.27.27.62 62.27.53.66

PC neustarten

Loesche (darf nicht im Taskmanger aktiv sein)
C:\WINDOWS\System32\rspcs.exe
C:\WINDOWS\System32\sagate.exe

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade: SYS-UP.zip
entpacke und klicke: SysUp.exe (DOS oeffnet sich)
TrendMikro -->scan (poste das Log vom Scann)

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php

Sygate-free (Firewall)
http://www.blitzbox-download.com/spf.exe
Personel Firewall installieren und alle Ports > 1024 /TCP-Port 7000sperren

dann poste das neue Log vom HijackThis

---------------------------------------------------------------------------------------------------------

danke danke danke @ nikita!
den scanlog von trendMicro kann ich irgendwie nicht speichern und auch nicht den text kopieren!
scanlog von hijack:
Logfile of HijackThis v1.99.0
Scan saved at 13:40:02, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\ACLSymbols.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Oli\Desktop\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: ArchiCrypt Live Service - Unknown - C:\WINDOWS\System32\ACLSymbols.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

gruß,
oli

Hallo@oli85

das Log ist sauber

installiere eine Firwall

<Zone Labs
ZoneAlarm von Zone Labs ist in der Grundversion kostenlos und besonders für Einsteiger geeignet.
http://www.zonelabs.de/download/znalm.html
<Zone Alarm Deutsche Bedienungsanleitung
Kleines Manual auf trojaner-info.de, auch zum Download.
http://www.trojaner-info.de/zone/zonealarm.html