Hallo an alle. Ich bin neu in diesem Forum und bin von der Kompetenz der Antworten sehr begeistert. Danke an alle, die Usern wie mir evt weiterhelfen können!

Mein Problem (recht kompliziert zu bescheiben):

Ich hänge via W-Lan am DSL. Ich benutze Antivir als Virenscanner und Tiny Firewall. Mit beiden Programmen war ich derzeit sehr zufrieden, da sie mir jeglichen Angriff oder Installationsversuch emeldet hatten.

Seit einer Woche ist mein PC auf 80-100% CPU Auslastung. Im Activity Monitor von Tiny Firewall erkennt man einen massiven Traffic. Ich versuche mal die Zeilen wiederzugeben!

svchost.exe (TCP) Local Ports werden numerisch abgescannt (pro Sekunde 5 Stück - von 1000-49152). Die Statuszeile meldet "Closed(outbound)". Der Remote Port ist immer 49152. Wenn man sich den eventLOG dazu anschaut greift der Browser (in meinem Falle Foirefox V1.0.6) auf thumbnails.alexa.com und reverse.theplanet.com zu.

Schließe ich im Taskmanager die eine der svchost.exe erscheint diese typscihe Sasser-Meldung, dass der Rechner in 60 Sekunden heruntergefahren wird. Mit shutdown -a kann ich den Vorgang beenden und der Traffic ist unterbunden!

Habe bisher alle gängigen Virencanner ausprobiert. Auch Adaware und Spybot geben keine Meldungen über einen Trojaner, Wurm oder Virusbefall an! Auch in Regedit finde ich keine auffälligen Einträge!

Ich bin relativ machtlos und weiss nicht was ich mir da eingefangen habe und wo sich der Übeltäter versteckt!

hier mein HijackThis log file. Ich hoffe ich habe alles richtig gemacht!

Logfile of HijackThis v1.99.1
Scan saved at 11:16:21, on 25.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxAgent.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tiny Firewall Pro\amon.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Mirko\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O4 - Global Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{588F0628-BD63-4FB3-AE35-DA79E9B959FD}: NameServer = 62.26.26.62,72.27.27.72
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Programme\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
O23 - Service: FW User to IP Address Translation (UmxUTA) - Tiny Software, Inc. - C:\Programme\Tiny Firewall Pro\umxuta.exe

Würde mich freuen, wenn sich jemand die Mühe macht mir zu helfen!

Hallo,
kann eigentlich keine Malware erkennen, die svchost ist ein ganz normaler Systemprozess, wenn du ihn beendest ist es vollkommen normal das dein PC runtergefahren wird. Mit dem outbound traffic, bist du dir sicher das es sich dabei nicht um ganz normale Portscans handelt, die dir Tiny Firewall meldet. Lade dir mal das Programm TCPview runter undposte mal was das berichtet. Lass sicherheitshalber mal Escan (Anleitung genau befolgen!) über dein System laufen und poste dann den Inhalt der eScan_neu.txt


Grüße Wildone

Danke erstmal für die Blitzschnelle Antowort:

Hier zunächst erstmal das Log von TCP View:

[System Process]:0 TCP esox:2869 192.168.0.1:2454 TIME_WAIT
[System Process]:0 TCP esox:2869 192.168.0.1:2455 TIME_WAIT
alg.exe:916 TCP esox:1025 esox:0 LISTENING
AVGNT.EXE:1844 TCP esox:1029 localhost:18350 ESTABLISHED
AVGUARD.EXE:1652 TCP esox:18350 esox:0 LISTENING
AVGUARD.EXE:1652 TCP esox:18350 localhost:1029 ESTABLISHED
lsass.exe:672 UDP esox:isakmp *:*
lsass.exe:672 UDP esox:4500 *:*
MROUTE~2.EXE:2304 TCP esox:1031 esox:0 LISTENING
oodag.exe:1904 TCP esox:50300 esox:0 LISTENING
svchost.exe:1120 UDP esox:1033 *:*
svchost.exe:1196 TCP esox:2869 esox:0 LISTENING
svchost.exe:1196 UDP esox:1900 *:*
svchost.exe:1196 UDP esox:1900 *:*
svchost.exe:932 TCP esox:epmap esox:0 LISTENING
System:4 TCP esox:microsoft-ds esox:0 LISTENING
System:4 TCP esox:netbios-ssn esox:0 LISTENING
System:4 UDP esox:microsoft-ds *:*
System:4 UDP esox:netbios-dgm *:*
System:4 UDP esox:netbios-ns *:*

EScan folgt heute Abend, da ich im Moment wenig Zeit habe!

>>Mit dem outbound traffic, bist du dir sicher das es sich dabei nicht um ganz normale Portscans handelt, die dir Tiny Firewall meldet.

Ich denke nicht, dass es sich um "einfache" Portscans handelt, weil ich dardurch eine CPU Auslastung bis zu 100% habe. Wenn ich wie gesagt die richtige svchost.exe schließe, dann fallen diese "Portscans" auch weg und alles ist stbil und schnell!

Die Adresse "thumbnails.alexa.com" kommt mir bekannt vor. Ich denke, dass ich diese Internetadresse "alexa.com" wegen pornografischen Inhalts ausfiltern lasse.

Deshalb glaube ich, dass du dir eventuell etwas eingefangen hast.