Hey Mädels.
Hab n riesen Problem. Ich habe 1. Keine Datei angenommen, nichts virenverseuchtes geöffnet oder jegliches!
Gestern Abend kam es dann. circa 20x von jedem :
Svchost.exe | cmd.exe | reader_s.exe | iexplorer.exe

Netstat sagt das, sieht sehr danach aus als würde ich gut als ddosler dienen :

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\viORGANER>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP vio:epmap virusscan.jotti.org:0 ABHÖREN
TCP vio:microsoft-ds virusscan.jotti.org:0 ABHÖREN
TCP vio:3389 virusscan.jotti.org:0 ABHÖREN
TCP vio:1431 localhost:1432 HERGESTELLT
TCP vio:1432 localhost:1431 HERGESTELLT
TCP vio:1635 localhost:1636 HERGESTELLT
TCP vio:1636 localhost:1635 HERGESTELLT
TCP vio:5152 virusscan.jotti.org:0 ABHÖREN
TCP vio:5152 localhost:2687 SCHLIESSEN_WARTEN
TCP vio:netbios-ssn virusscan.jotti.org:0 ABHÖREN
TCP vio:1052 bos-d004a-rdr2.blue.aol.com:https HERGESTELLT
TCP vio:1054 64.191.104.229:22925 HERGESTELLT
TCP vio:1056 ip-212-117-165-21.server.lu:2125 HERGESTELLT
TCP vio:1058 ip-212-117-177-136.server.lu:3954 HERGESTELLT
TCP vio:1060 78.159.102.105:32114 HERGESTELLT
TCP vio:1066 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR
TEN
TCP vio:1067 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR
TEN
TCP vio:1068 27.152.135.79.microlines.lv:3132 HERGESTELLT
TCP vio:1188 mu-in-f148.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:1327 mu-in-f149.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:1343 mu-in-f149.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:1462 87.238.52.217:http SCHLIESSEN_WARTEN
TCP vio:1463 87.238.52.217:http SCHLIESSEN_WARTEN
TCP vio:1464 87.238.52.217:http SCHLIESSEN_WARTEN
TCP vio:1465 87.238.52.217:http SCHLIESSEN_WARTEN
TCP vio:1470 public.srmg.kunder.linpro.no:http SCHLIESSEN_WA
RTEN
TCP vio:1476 loft5003.serverloft.com:http SCHLIESSEN_WARTEN
TCP vio:1600 fx-in-f113.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:1620 s89.softwarelibre.nl:ftp HERGESTELLT
TCP vio:1711 mu-in-f148.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:1743 80.157.170.80:http HERGESTELLT
TCP vio:1802 ip198-64.baltnet.ru:http SCHLIESSEN_WARTEN
TCP vio:1910 fx-in-f113.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:2002 gw-in-f27.1e100.net:smtp HERGESTELLT
TCP vio:2159 mx1.ovh.net:smtp HERGESTELLT
TCP vio:2223 69.172.200.48:http SCHLIESSEN_WARTEN
TCP vio:2225 mail.inkanet.com:smtp HERGESTELLT
TCP vio:2283 69.172.200.48:http SCHLIESSEN_WARTEN
TCP vio:2307 ey-in-f27.1e100.net:smtp HERGESTELLT
TCP vio:2322 s4.koddos.com:http SCHLIESSEN_WARTEN
TCP vio:2325 87.238.52.217:http SCHLIESSEN_WARTEN
TCP vio:2331 69.172.200.48:http SCHLIESSEN_WARTEN
TCP vio:2349 loft5003.serverloft.com:http SCHLIESSEN_WARTEN
TCP vio:2387 s4.koddos.com:http HERGESTELLT
TCP vio:2396 ip198-64.baltnet.ru:http SCHLIESSEN_WARTEN
TCP vio:2408 mailhost.bentley.com:smtp HERGESTELLT
TCP vio:2409 109.123.78.136:http SCHLIESSEN_WARTEN
TCP vio:2410 128.242.240.52:http HERGESTELLT
TCP vio:2421 mail.haeng.com:smtp HERGESTELLT
TCP vio:2435 deframx26.softcom.dk:smtp HERGESTELLT
TCP vio:2436 gw-in-f27.1e100.net:smtp HERGESTELLT
TCP vio:2444 rs51.worldserver.net:smtp HERGESTELLT
TCP vio:2465 webmail.imaginesystems.net:smtp HERGESTELLT
TCP vio:2471 teton1.peakpeak.com:smtp HERGESTELLT
TCP vio:2482 mx1.warwick.net:smtp HERGESTELLT
TCP vio:2501 ulric.tng.de:smtp SYN_GESENDET
TCP vio:2509 69.172.200.48:http HERGESTELLT
TCP vio:2519 mu-in-f27.1e100.net:smtp HERGESTELLT
TCP vio:2520 rrcs-24-103-224-82.nyc.biz.rr.com:smtp SYN_GESE
NDET
TCP vio:2521 218.30.103.83:smtp HERGESTELLT
TCP vio:2540 mindwork.de:smtp SYN_GESENDET
TCP vio:2544 96-31-32-158.discountasp.net:smtp SYN_GESENDET
TCP vio:2546 mail.haaker.com:smtp HERGESTELLT
TCP vio:2547 mail.thompkins-co.com:smtp HERGESTELLT
TCP vio:2559 deimos.plaza.nl:smtp HERGESTELLT
TCP vio:2570 www175.sedoparking.com:smtp SYN_GESENDET
TCP vio:2571 h3r.com:smtp HERGESTELLT
TCP vio:2590 sip.projuktee.com:smtp SYN_GESENDET
TCP vio:2591 mx.siteserve.jp:smtp HERGESTELLT
TCP vio:2604 adsl-63-193-184-2.dsl.bkfd14.pacbell.net:smtp S
YN_GESENDET
TCP vio:2615 d08.dinaserver.com:smtp HERGESTELLT
TCP vio:2637 klartext1.klartextmedia.de:smtp HERGESTELLT
TCP vio:2735 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2739 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2753 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2756 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2757 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2764 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2768 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2769 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2777 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2780 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2783 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2784 host340507.krutikservers.com:46462 HERGESTELLT
TCP vio:2829 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2849 s89.softwarelibre.nl:39281 WARTEND
TCP vio:2861 s89.softwarelibre.nl:25385 WARTEND
TCP vio:2870 s89.softwarelibre.nl:20490 WARTEND
TCP vio:2892 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2899 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2902 s89.softwarelibre.nl:53591 WARTEND
TCP vio:2907 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2927 s89.softwarelibre.nl:28071 WARTEND
TCP vio:2935 64.34.15.35:smtp HERGESTELLT
TCP vio:2957 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2964 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2965 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2977 s89.softwarelibre.nl:10719 WARTEND
TCP vio:2990 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:2995 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3013 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3043 s89.softwarelibre.nl:25443 WARTEND
TCP vio:3057 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3060 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3065 62.159.159.188:smtp SYN_GESENDET
TCP vio:3068 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3069 s89.softwarelibre.nl:39118 WARTEND
TCP vio:3082 www175.sedoparking.com:smtp SYN_GESENDET
TCP vio:3087 s89.softwarelibre.nl:58010 WARTEND
TCP vio:3088 mailin.kpnxchange.com:smtp HERGESTELLT
TCP vio:3113 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3124 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3126 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3138 s89.softwarelibre.nl:21463 WARTEND
TCP vio:3146 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3151 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3157 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3159 veronica.wmol.com:smtp HERGESTELLT
TCP vio:3163 dedicated3.longevitydesign.com:smtp SYN_GESENDE
T
TCP vio:3174 s89.softwarelibre.nl:52744 WARTEND
TCP vio:3211 s89.softwarelibre.nl:35895 WARTEND
TCP vio:3253 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3259 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3265 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3269 s89.softwarelibre.nl:27022 WARTEND
TCP vio:3303 s89.softwarelibre.nl:40615 WARTEND
TCP vio:3308 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3311 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3316 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3333 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3341 server-216-137-61-49.fra2.cloudfront.net:http H
ERGESTELLT
TCP vio:3347 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3362 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3363 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3365 mpr3.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3372 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3382 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3386 s89.softwarelibre.nl:64493 WARTEND
TCP vio:3388 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3400 img13.abload.de:http HERGESTELLT
TCP vio:3418 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3420 fx-in-f113.1e100.net:http HERGESTELLT
TCP vio:3424 img7.abload.de:http HERGESTELLT
TCP vio:3430 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3437 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3450 s89.softwarelibre.nl:21181 WARTEND
TCP vio:3451 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3468 mpr4.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3474 tlvmedia.com:http WARTEND
TCP vio:3480 mpr4.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3495 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3499 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3504 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3529 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3531 mail-gx0-f6.google.com:smtp HERGESTELLT
TCP vio:3543 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3546 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3549 s89.softwarelibre.nl:19254 WARTEND
TCP vio:3550 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3601 217.188.35.152:http SCHLIESSEN_WARTEN
TCP vio:3606 p548F3875.dip.t-dialin.net:3333 SYN_GESENDET
TCP vio:3625 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3627 s89.softwarelibre.nl:4564 WARTEND
TCP vio:3632 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN
TCP vio:3637 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3644 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3650 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN
TCP vio:3651 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN
TCP vio:3652 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN
TCP vio:3654 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN
TCP vio:3657 proxy101.ethproxy.com:http SCHLIESSEN_WARTEN
TCP vio:3658 tlvmedia.com:http WARTEND
TCP vio:3673 27.152.135.79.microlines.lv:3129 HERGESTELLT
TCP vio:3681 56.131.96.66.static.eigbox.net:ftp WARTEND
TCP vio:3686 s89.softwarelibre.nl:17483 WARTEND
TCP vio:3700 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3703 91.213.232.6:http HERGESTELLT
TCP vio:3712 mpr1.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3728 mpr2.ngd.vip.ch1.yahoo.com:http WARTEND
TCP vio:3737 s89.softwarelibre.nl:30985 FIN_WARTEN_2
TCP vio:4094 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR
TEN
TCP vio:4095 27.152.135.79.microlines.lv:3126 SCHLIESSEN_WAR
TEN
TCP vio:4127 27.152.135.79.microlines.lv:3132 HERGESTELLT
TCP vio:4417 217-212-244-201.customer.teliacarrier.com:http
SCHLIESSEN_WARTEN
TCP vio:4535 server-216-137-61-56.fra2.cloudfront.net:http S
CHLIESSEN_WARTEN
TCP vio:4542 bw-in-f138.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:4574 145.253.32.90:http SCHLIESSEN_WARTEN
TCP vio:4771 bw-in-f138.1e100.net:http SCHLIESSEN_WARTEN
TCP vio:4775 mu-in-f147.1e100.net:http SCHLIESSEN_WARTEN
UDP vio:microsoft-ds *:*
UDP vio:isakmp *:*
UDP vio:1046 *:*
UDP vio:1048 *:*
UDP vio:1049 *:*
UDP vio:1055 *:*
UDP vio:1057 *:*
UDP vio:1059 *:*
UDP vio:1061 *:*
UDP vio:2792 *:*
UDP vio:3714 *:*
UDP vio:4500 *:*
UDP vio:ntp *:*
UDP vio:1032 *:*
UDP vio:1034 *:*
UDP vio:1064 *:*
UDP vio:1172 *:*
UDP vio:1507 *:*
UDP vio:1900 *:*
UDP vio:3804 *:*
UDP vio:4085 *:*
UDP vio:4152 *:*
UDP vio:44301 *:*
UDP vio:45301 *:*
UDP vio:ntp *:*
UDP vio:netbios-ns *:*
UDP vio:netbios-dgm *:*
UDP vio:1900 *:*

C:\Dokumente und Einstellungen\viORGANER>

Taskmanager kann man öffnen, doch beim schließen der task's, passiert rein garnichts.


Hab eine Datei davon bei Kaspersky geuploaded und es kam das dabei raus
reader_s.exe Infiziert: Trojan-Downloader.Win32.Agent.dlhe (http://www.viruslist.com/de/find?words=Trojan-Downloader.Win32.Agent.dlhe)



Edit by soulstoned: Komm morgen wieder - vielleicht - deine PSC kannst behalten. Hier wird meistens sogar ganz ohne GGL geholfen, krass oder?

ok - ich bin dein mann

mach mal einen hijackthis log und send ihn mir per pm

Ich geb dir den ultimativen tipp, formatier!

genau das kann ich nicht, dann würde sich meine hwid ändern und ein paar programme würden dann nicht mehr gehen!

hacks etc? =D dann schreib den admin an & zahle eben für den hwid change ;) !

Was soll denn bitte gechanged werden wenn du formatierst da du keine hardware oder sonstiges ausbaust.

xD wie geil...

poste mal den hijackthis los, installiert "spybot search and destroy" und am betsne noch "malewarebytes amti malware" ....

das sollte dasd ganze für dich lösen ;)

Stimmt,die hwid ändert sich nach dem Formatieren nicht.
Formatieren ist hier tatsächlich die schnellste & effektivste Methode.

@Chiqsaw (http://free-hack.com/members/chiqsaw.html)
Wirklich naiv zu glauben,dass es mit Mbam & Spybot getan wäre.

VIO, ich kann dir nur sagen das du Formatieren musst!
Ich habe mir genau denselben Virus vor kurzen eingefangen den du hast, auch mit dieser reader_s.exe und so weiter..
Sogar formatieren hat mir nix geholfen, der Virus kam immer wieder.
Die Lösung ist das du vor dem Formatieren die Partiton löschen musst und dann wieder eine neue erstellen da der sich irgendwie bla Bootsector oder was auch immer, habe davon kA, dann hat es erst bei mir geholfen!
War bei mir auch so wie bei dir habe auch nix runtergeladen etc, und achja noch ein Tipp als ich mein USB Stick eingesteckt habe, hat der Virus sich auf den USB Stick kopiert mit ner autorun.inf, zum Glück war Autorun nicht aktiv.
Desweiteren waren auch 3 "getarne" Pornsites Verknüpfungen aufeinmal auf mein Desktop die jedoch irgendwelche Dateien waren. Zudem öffnete sich nach der Zeit auch irgendein "gefälschtes" Antivirus Programm wovon ich noch nie was gehört habe, es war auf Englisch und hatte ähnlichkeit mit den Sicherheitscenter von Windows.
Ich hoffe ich konnte dir weiterhelfen

Mach mal einfach nen HiJackThis Log, dann sehen wir weiter.


Ich geb dir den ultimativen tipp, formatier!
Und wenn ich dir nen ultimativen Tipp geben darf: Deine Tipps sind scheiße!

Gestern Abend kam es dann. circa 20x von jedem :


was kam 20 mal?

wenn du sicher gehen willst das niemand dzwischen funkt wärend du antivirus scans machst ... benutz ne linux live cd um nach den viren zu scannen und entferne sie.


ach und mit deinem netstat -a erfährst du nicht wirklich viel.. firefox öffnet auch mal mehrere verbindung wo hin.. und das ist dann trotzdem kein ddos.. mach das mal:

netstat -anob