Hallo,
nach einem Neuaufsetzen meines Systems nach Trojaner-Attacke habe ich auf zusätzliche Sicherheit gesetzt und u.a. PGP installiert. Nun meldet mir PGP Messaging regelmäßig morgens, dass von meinem eMail-Client in der Nacht eine SSL-verschlüsselte Nachricht an eine Adresse *.pool.mediaways.net oder *.pool.arcor-ip.net gesendet wurde (Beispiel: kemp-d9bdb339.pool.mediaways.net).

Alle Scans mit AVG 7.1, AdAware und Jotti sagen, dass mein System clean ist...

Handelt es sich evtl. um einen normalen Vorgang oder ist mein System immer noch infiziert?!

Gruss, Mario

HijackThis-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 07:36:00, on 10.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\System & Tools\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Pocket PC\RepliGo\RepliGoMon.exe
C:\Programme\Internet & Kommunikation\Mozilla Firefox\JRE\bin\jusched.exe
C:\Programme\Grafik & Design\Adobe Acrobat\Distillr\Acrotray.exe
C:\Programme\System & Tools\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Pocket PC\Microsoft ActiveSync\wcescomm.exe
C:\Programme\System & Tools\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet & Kommunikation\NeoMule\emule.exe
C:\PROGRA~1\POCKET~1\MICROS~1\rapimgr.exe
C:\Programme\System & Tools\DMX 6fire Control Panel\DMX6Fire.exe
C:\PROGRA~1\SYSTEM~1\GRISOF~1\avgupsvc.exe
C:\WINDOWS\ehome\RMSysTry.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\System & Tools\SpeedFan\speedfan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\ehome\RMSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\McrdSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Connect 2\wmccds.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\SYSTEM~1\GRISOF~1\avgamsvr.exe
C:\PROGRA~1\SYSTEM~1\GRISOF~1\avgcc.exe
C:\Programme\Büro & Arbeit\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet & Kommunikation\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.tune-up.com/link/?app=tu2006&version=5.0.2327&tulang=de&lang=de&country=DE&target=bootscreens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Grafik & Design\Adobe Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Internet & Kommunikation\Mozilla Firefox\JRE\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\SYSTEM~1\GRISOF~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Programme\Pocket PC\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Internet & Kommunikation\Mozilla Firefox\JRE\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Grafik & Design\Adobe Acrobat\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\System & Tools\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Pocket PC\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [AWMON] "C:\Programme\System & Tools\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\Internet & Kommunikation\NeoMule\emule.exe -AutoStart
O4 - Startup: BOINC Manager.lnk = C:\Programme\Internet & Kommunikation\BOINC\boincmgr.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\System & Tools\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Extender-Ressourcenüberwachung.lnk = C:\WINDOWS\ehome\RMSysTry.exe
O4 - Global Startup: PGPtray.exe.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Grafik & Design\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\BRO&AR~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Internet & Kommunikation\Mozilla Firefox\JRE\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Internet & Kommunikation\Mozilla Firefox\JRE\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\POCKET~1\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\POCKET~1\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\POCKET~1\MICROS~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: OCMAPIHK.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\SYSTEM~1\GRISOF~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\SYSTEM~1\GRISOF~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\System & Tools\TuneUp Utilities 2006\WinStylerThemeSvc.exe

@stupormundi: ... so, jetzt aber!

Poste bitte Dein Log mittels "kopieren" und "einfügen" hier im Textfenster. Als Anhang ist das zu unübersichtlich!

Danke, stupormundi

Nicht schlecht, wenn es jetzt noch das ganze Logfile wird, kann man es sich auch ansehen
stupormundi

heute Nacht wurde ein erfolgloser Versuch von PGP gemeldet, mit dem Server TOM-hp.cc.fer.hr Kontakt aufzunehmen.

Gibt es eine Möglichkeit, genau zu protokollieren, welches Programm/Datei für diese Verbindungen verantwortlich ist? und evtl. was für Daten versendet werden??

Gruss, Mario

Hallo DocMario,
in der Ereignisanzeige sollte dazu etwas stehen.Kann es sein das du feste Zeiten eingestellt hast,zu denen nach Updates geschaut werden soll.Ehome ist doch ein "Fernsehprogramm",oder ? Vielleicht aktuallisiert sich das,des Nachts ?Mein Tipp :irgend ein Scheduler in einem deiner Proggis kuckt nach, ob es was neues gibt.
Irrlicht

hallo irrlicht,

eHome ist ein Bestandteil von Windows MCE2005, soweit ich weiss. An einen Scheduler habe ich auch schon gedacht, nur normalerweise schalte ich alle automatischen Programmupdates ab.
Außerdem kommt diese ungewollte Verbindung zu unterschiedlichen Zeiten und versucht, sich mit verschiedenen (Mail-)Servern zu verbinden.
Einen entsprechenden Eintrag im SysLog konnte ich nicht finden.

Vielleicht bin ich ja nur paranoid... um das herauszufinden, wüsste ich gerne, von welchem Prozess diese Verbindung initiier wird und was gesendet wird.

Gruss, Mario

Hallo,

ich frage mich, warum der Rechner nachts überhaupt läuft? Deswegen?

Zitat:

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\Internet & Kommunikation\NeoMule\emule.exe -AutoStart

Und warum sollte PGP die Sicherheit erhöhen?
Dann hast Du noch diesen Client installiert und da kann man lesen

Zitat:

Must I leave my computer connected to the Internet?
No. The experiment will try to communicate with the central servers daily but can continue even if that's not possible.
Most broadband Internet connections are always on so this is seldom an issue.

Gruß

Schrulli