|
Plagegeister aller Art und deren Bekämpfung: Riesige Datenmengen werden verschicktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.01.2005, 01:27 | #1 |
| Riesige Datenmengen werden verschickt Moinsen, Bin neu hier und habe seit gestern folgendes Problem: Irgendein Programm versendet und empfängt riesige Datenmengen. Das sind nach 20-30 Minuten um die 20-30 Millionen Bytes, also 20-30 MB - was eigentlich gar nicht möglich ist. Und nein, ich habe kein Download Programm an. Das ganze geht dann soweit, dass die Lan verbindung vom Rechner vom Switch Blockiert wird, damit das Netzwerk nicht überlastet wird. Sooo... natürlich hab ich dann gleich mal sämtliche Antiviren Programme etc. geupdatet und durchlaufen lassen - jedoch ohne Erfolg. Auch sind mir keine seltsamen Tasks aufgefallen und Programme wie eScan oder HijackThis finden keinerlei verdächtige Programme. Lediglich wenn ich svchost Beende, hören die Datentransfere auf. Dies führt jedoch zu Problemen, z.B. funktioniert dadurch Firefox nicht mehr und auch der IE funktioniert nur noch eingeschränkt. Hab dann mal HijackThis laufen lassen, und folgendes ausgespuckt bekommen: Logfile of HijackThis v1.99.0 Scan saved at 01:29:06, on 05.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\apache\mysql\bin\mysqld-nt.exe c:\apache\APACHE.EXE C:\WINDOWS\System32\svchost.exe c:\apache\APACHE.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe C:\Programme\Trillian\trillian.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ec3b89...dxIE601_de.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: MySql - Unknown - C:/apache/mysql/bin/mysqld-nt.exe O23 - Service: PHPGeekUtil - Unknown - c:\apache\APACHE.EXE Hoffe mir kann jemand helfen, ansonsten bleibt wohl nur Format C übrig. |
05.01.2005, 02:05 | #2 |
| Riesige Datenmengen werden verschickt Welche Virenscanner hast du genau verwendet? Benutze mal E-Scan wie beschrieben:
__________________http://www.trojaner-board.de/42731-escan-anleitung.html |
05.01.2005, 02:10 | #3 |
| Riesige Datenmengen werden verschickt Virenscanner hab ich AntiVir, neustes Update.
__________________Und eScan hab ich schon durchlaufen lassen, als ergebnis wurde lediglich nur Tue Jan 04 22:22:35 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\VVSN_RDLT0504Inst.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. ausgegeben. |
05.01.2005, 02:20 | #4 |
| Riesige Datenmengen werden verschickt Hast du E-scan updgedated und auch ALLE Dateien scannen lassen, wie beschrieben? Ansonsten fällt mir erst mal nix weiter auf im Log. Hast du ein bestimmtes Programm installiert, bevor das Ganze losging? Kannst du nachvollziehen, welches Programm/welcher Prozess diese Daten umsetzt? Eventuell mit netstat: http://www.microsoft.com/resources/d...s/netstat.mspx |
05.01.2005, 02:26 | #5 |
| Riesige Datenmengen werden verschickt Also eScan habe ich direkt nach dem entpacken geupdatet, so wie es auf der einen Seite die du gepostet hast beschrieben ist. Und auch alles so ausgeführt, wie es auf der Seite steht. Und mit netstat werden mir einmal zwei Trillian verbindungen angezeigt, einmal die Seite hier, dann eine t-dialin.net Verbindung mit dem Port 13762 und zehn mir unbekannte Verbindungen, deren Status ist jedoch WARTEND. Soll ich die hier posten? // Edit: localhost Verbindungen hab ich noch vergessen. |
05.01.2005, 08:19 | #6 |
| Riesige Datenmengen werden verschickt Folgendes fixen: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm Den Apache-Server deinstallieren, wenn du ihn nicht brauchst. Ansonsten beenden, falls er als Dienst läuft.
__________________ --> Riesige Datenmengen werden verschickt |
05.01.2005, 14:22 | #7 |
| Riesige Datenmengen werden verschickt Den Apache Server hab ich drauf, um php Scripts etc. zu testen.... aber den hab ich eigentlich schon sau lange installiert.... und bisher noch nie Probleme. |
05.01.2005, 14:26 | #8 |
| Riesige Datenmengen werden verschickt Ich sagte ja nicht das der stört, aber wenn du ihn nicht richtig abgesichert hast, können Daten von aussen in dein System dringen. Besorge dir am besten Xampp. Das ist alles drin was du brauchst, um deine Scripts offline zu testen. |
05.01.2005, 14:45 | #9 |
| Riesige Datenmengen werden verschickt SO nachdem ich das deaktiviert hab und den Apache server runna geschmissen hab... werden trotzdem noch riesige Datenmengen von meinem PC aus gesendet um empfangen. Hab grad erst neugestartetet, und schon wird mir Gesendet: 2 Mio Bytes und Empfangen: 1,2 Mio Bytes. Aber das steigert sich jetzt nicht mehr so schnell... |
05.01.2005, 14:51 | #10 |
| Riesige Datenmengen werden verschickt Bist du über Router im Netz? |
05.01.2005, 15:03 | #11 |
| Riesige Datenmengen werden verschickt Jau. Dann habsch noch die Windows Firewall auf meinem PC |
05.01.2005, 15:39 | #13 |
| Riesige Datenmengen werden verschickt Desktop-Firewall ist unnötig und nutzlos. Schalte die in deinem Router ein. Dann schau mal in deinem Router-Menü, welche Ports offen sind. Hast du W-Lan? |
05.01.2005, 15:54 | #14 |
| Riesige Datenmengen werden verschickt Hm... also auf dem Router is die Firewall immer aktiv... jedoch hab ich darauf keinen Zugriff... und ne, W-lan hab ich net (zum glück ) |
06.01.2005, 11:50 | #15 |
| Riesige Datenmengen werden verschickt Also inzwischen weiß ich au was versendet wird. Und zwar handelt es sich dabei um Nachrichten im XML/SOAP-Format... auf dem Router is aber keiner dieser Ports freigegeben. Hab mir mal Notorn Firewall zugelegt und damit werden die Versendeten Dateien größtenteils geblockt... naja is aber Trail version - Sprich: In 15 Tagen werd ich das Problem wieder haben |
Themen zu Riesige Datenmengen werden verschickt |
adobe, antivir update, application, bho, blockiert, download, escan, excel, explorer, file missing, firefox, format, helfen, hijack, hijackthis, internet, internet explorer, kein download, lan, lan verbindung, microsoft, netzwerk, neu, nicht möglich, problem, programm, programme, software, svchost, system, windows, windows xp |