Hallo,

einige Programme, die bei mir schon länger problemlos laufen, zeigen plötzlich ein seltsames Verhalten.
Die Programme Proxomitron und Thunderbird versuchen auf einmal, sich wie ein Server zu verhalten. Dabei wurde versucht, Verbindungen von den beiden DNS-Adressen 62.104.191.241 und 62.104.196.134 zu akzeptieren.
Ebenso hat das Programm TCP View versucht, zu den obigen Adressen eine Verbindung herzustellen.
Diese Versuche wurden von meiner Desktop-Firewall (ZoneAlarm) gemeldet und geblockt.

Ist diese Aktivität ein Hinweis darauf, dass ein Virus oder Trojaner im Hintergrund arbeitet?

Wenn ja, dann wäre mir der Infektionsweg unklar. Außer zu Updatezwecken surfe ich nur mit einem Benutzerkonto mit eingeschränkten Rechten. Ich hatte zuvor auch keinen Emailanhang geöffnet, o.Ä. Da ich allerdings nicht über DSL verfüge, bin ich mit den Windows XP Sicherheitsupdates hoffnungslos im Rückstand.
Merkwürdigerweise hatte ich einen Tag, bevor die Probleme anfingen, dem Windows-Sicherheitscenter erlaubt, das Update KB937143 zu installieren (unter dieser Bezeichnung steht es in der Update-History). Vielleicht hätte ich das besser abgelehnt, da ich dieses Update gar nicht heruntergeladen hatte. Allerdings hatte ich unmittelbar zuvor zwei Programme aus der Heft-CD einer Computerzeitschrift installiert - das Firefox AddOn „NoScript“ und „Windows-Dienste abschalten“ (w*w.dingens.org). Ich dachte, das unangeforderte Update käme von daher.
Nun, vielleicht hat das alles gar nichts mit meinerm Problem zu tun. Es war allerdings der einzige ungewöhnliche Vorgang, der unmittelbar zuvor passiert ist.
Ich habe das System mit Antivir und Spybot mit aktuellen Signaturdateien gescannt. Es wurde kein Schädling gefunden.

Wenn mir jemand bei diesem Problem weiterhelfen könnte, wäre ich sehr dankbar.

Ich verwende Windows XP mit SP2 und Mozilla Firefox 2 als Browser.

Anbei das Logfile von HijackThis.
Ich habe dieses Logfile von meinem Administrator-Benutzerkonto aus erstellt, da HijackThis bei dem Konto mit eingeschränkten Rechten haufenweise Fehlermeldungen angezeigt hat.

Logfile of HijackThis v1.99.1
Scan saved at 16:38:31, on 30.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\KeePass Password Safe\KeePass.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://w*w.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "c:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KeePass Password Safe] C:\Programme\KeePass Password Safe\KeePass.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - c:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo.

Hinter [62.104.191.241] verbirgt sich ein Freenet-Server.
[62.104.196.134] ist ebenfalls von Freenet.

Zitat:

Diese Versuche wurden von meiner Desktop-Firewall (ZoneAlarm) gemeldet und geblockt.

Eine PFW wie ZA neigt dazu, so ziemlich jeden Mist anzuzeigen. Nur weil was angezeigt wird, heißt das nicht, dass es gefährlich ist.
In deinem Logfile sind mir keine bösen Einträge aufgefallen, allerdings solltest du mal Java aktualiseren. Ohne DSL macht's aber wirklich kein Spaß das Updaten, hast du keinen Bekannten mit DSL, der dich mit Updates versorgen kann?

Hallo cosinus,

zunächst mal danke für deine Antwort.

Na, das ist ja erst mal positiv. Eine Onlineauswertung auf der HijackThis-Website hat auch nichts Verdächtiges zu Tage gefördert.

Ja, du hast recht: ZoneAlarm verursacht auch viel Fehlalarm.
Allerdings hab ich die "Informationswarnungen" der Firewall ohnehin schon abgestellt. Die in meinem Beitrag genannten Warnungen sind aufgetreten, weil die betreffenden Programme vorher noch nie versucht hatten, als Server zu agieren, bzw. weil TCP View vorher noch nie versucht hatte, auf's Netz zuzugreifen.
Und das ist halt die Sache, die mich skeptisch macht. Diese Programme laufen seit Monaten problemlos. Und dann wollen sie plötzlich, innerhalb weniger Tage auf einmal alle telefonieren, und das auch noch auf die gleichen Adressen.
Laut dem Logfile der Firewall versucht es Proxomitron einmal pro Sitzung. Merkwürdigerweise meldet mir Proxomitron in letzter Zeit auch sehr häufig, dass er die angeforderte Seite nicht gefunden hätte (z.B. auch das Forum hier), obwohl es beim zweiten oder dritten Anwählen dann doch klappt.

Wenn diese beiden DNS-Adressen von Freenet sind, heißt das dann, sie sind harmlos? Mein Provider ist übrigens zufälligerweise auch Freenet (Internet by Call).
Was bedeutet es eigentlich, wenn Programme als Server agieren? Für ihre eigentliche Funktion scheint es ja nicht notwendig zu sein (also Proxomitron und Thunderbird). Sonst hätten sie das wohl schon früher versucht und würden jetzt nicht korrekt arbeiten.

Und ja, ich habe über einen Bekannten Zugang zu einem DSL-fähigen Rechner. Dort hol ich mir i.d.R. alle benötigten Updates. Allerdings ist das auch sehr mühsam. Ich werde das Java aber mal aktualisieren.

Gruß
Difetto

Zitat:

Wenn diese beiden DNS-Adressen von Freenet sind, heißt das dann, sie sind harmlos? Mein Provider ist übrigens zufälligerweise auch Freenet (Internet by Call).

So wird ein Schuh draus
Rein zufälligerweise hast du erstmal als Nameserver nämlich den von deinem Provider. Bei tcpview kann ich das sogar nachvollziehen, dann das will IP-Nummern in Namen auflösen und dazu muss es nunmal den DNS-Server befragen - sonst ist nichts mit Namen und du musst dir nur noch IP-Adressen merken.
Warum ZA dir auf auf einmal aber diese *ähem* höchst gefährliche Aktion anzeigt kann ich dir nicht sagen - wahrscheinlich hast du irgendein Regelwerk neu definiert oder ein bestehendes verändert.

Zitat:

Was bedeutet es eigentlich, wenn Programme als Server agieren?

Sagt ZA dir, dass die als "Server fungieren"?
Ich kann da eigentlich nicht wirklich ein servertypisches Verhalten draus erkennen, denn es werden gewisse informationen ja abgefragt und nicht bereitgestellt (wie ein es Server machen würde).

Zitat:

Und ja, ich habe über einen Bekannten Zugang zu einem DSL-fähigen Rechner. Dort hol ich mir i.d.R. alle benötigten Updates. Allerdings ist das auch sehr mühsam. Ich werde das Java aber mal aktualisieren.

Naja. Java ist nicht besonders viel, zieh dir einmal die aktuelle Version als Komplettsetup sind ca. 15 MB, dann hast erstmal wieder Ruhe.
Windows-Updates bekommst du als Paket von hier, es umfasst aber nur alle kritischen Updates, die nach SP2 erschienen sind. Am besten du lädst es dir einmal von dort und lässt dann mit den automatischen Updates nachschaun, welche wichtigen Updates evtl. noch fehlen - die Anzahl dieser wenigen interessanten hält sich dann in Grenzen, sodass auch der Download über ein Schmalbandanschluss noch einigermaßen vertretbar ist.
Vllt. wäre auch der Heise-Offline-Updater was für dich.

Zitat:

Warum ZA dir auf auf einmal aber diese *ähem* höchst gefährliche Aktion anzeigt kann ich dir nicht sagen - wahrscheinlich hast du irgendein Regelwerk neu definiert oder ein bestehendes verändert.

Hm, nein. Bei ZA definiert man die Regeln ja darüber, indem ZA jedes Mal nachfragt, wenn ein Programm Zugriff zum Netz begehrt, und man dies entweder erlaubt oder abblockt. Wenn man dem Programm vertraut, dann erlaubt man den Zugriff halt permanent und damit ist die Regel definiert und ZA fragt nicht mehr nach.
Proxomitron und Thunderbird hatten schon vorher ein permanentes Zugriffsrecht auf das Netz, aber halt nicht als Server (was auch immer das heißt). Und deshalb hat ZA die Zugriffsversuche gemeldet.

Zitat:

Sagt ZA dir, dass die als "Server fungieren"?

ZA meldet sinngemäß etwa sowas: „SERVERPROGRAMM. The Proxomitron möchte Verbindungen aus dem Internet zulassen. Wollen Sie dies erlauben?“
Wenn ich die Anfrage mit „Nein“ beantworte, schreibt ZA Folgendes in sein Logfile:

ACCESS,2007/10/03,00:20:18 +2:00 GMT,The Proxomitron wurde blockiert von eine Verbindung akzeptiert von, das Internet (62.104.191.241: DNS).,N/A,N/A
ACCESS,2007/10/03,00:20:18 +2:00 GMT,The Proxomitron wurde blockiert von eine Verbindung akzeptiert von, das Internet (62.104.196.134: DNS).,N/A,N/A

Wenn ich mir die definierten Regeln ansehe, dann scheint ZA insgesamt 4 Arten von Zugriffsversuchen zu unterscheiden: Die zwei Hauptrubriken: „Zugriff“ und „Server“, welche dann jeweils noch einmal in die Kategorien: „Sicher“ und „Internet“ unterteilt werden.
Was das genau bedeutet, weiß ich selber nicht. Allerdings haben bisher alle Programme, wie Firefox, Thunderbird und Proxomitron, welche ich für den Internet-Betrieb brauche nur Zugriffsrechte in der Rubrik „Zugriff“ benötigt.
Einzig der „Generic Host Process for Win32 Services“ hat auch Zugriffsrechte in der Rubrik „Server“.

Jap, danke für die Links. Damit werde ich meine Windows-Updates mal auf den neusten Stand bringen.