Hallo und Moin, moin :-),

ich beobachte auf meinen Rechner zunehmend unerwünschten Traffic, den ich zwar mit der Firewall (Bitdefender IS 10) immer wieder unterbinden kann, doch dessen "Quelle" ich leider nicht finden kann.

Nachdem ich online gehe dauert es eine kurze Weile (ca. 10 Minuten) und dann beobachte ich massenweise unerwünschte Datentransfers.

Hier exemplarisch eine via webstat erstellte Liste:

Proto Lokale Adresse Remoteadresse Status

TCP dwgmbh:1064 68.101.120.77.colo.static.dc.volia.com:http SCHLIESSEN_WARTEN
TCP dwgmbh:1065 lnx.co.il:http SCHLIESSEN_WARTEN
TCP dwgmbh:1066 mail.ol7.com:http SCHLIESSEN_WARTEN
TCP dwgmbh:1067 host5.stormpay.com:http SCHLIESSEN_WARTEN
TCP dwgmbh:1069 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN
TCP dwgmbh:1070 64.8.20.50:http SCHLIESSEN_WARTEN
TCP dwgmbh:1077 img290.imageshack.us:http SCHLIESSEN_WARTEN
TCP dwgmbh:1084 mercury.orderbox-domainforward.com:http SCHLIESSEN_WARTEN
TCP dwgmbh:1100 leapcash.com:http SCHLIESSEN_WARTEN
TCP dwgmbh:1119 a100.nthosting.ru:http SCHLIESSEN_WARTEN
TCP dwgmbh:1135 38.97.225.135:http SCHLIESSEN_WARTEN
TCP dwgmbh:1153 smtp-mx1.mac.com:smtp SYN_GESENDET
TCP dwgmbh:1338 2k3s-202-15.aspadmin.net:4785 WARTEND
TCP dwgmbh:1338 drivesuel.net:1243 WARTEND
TCP dwgmbh:1338 drivesuel.net:2324 HERGESTELLT
TCP dwgmbh:1338 ba.56.5646.static.theplanet.com:2165 WARTEND
TCP dwgmbh:1338 ev1s-209-62-2-82.ev1servers.net:1458 WARTEND

TCP dwgmbh:2097 66.36.236.47:smtp HERGESTELLT
TCP dwgmbh:2225 81.23.235.187:smtp HERGESTELLT
TCP dwgmbh:2226 smtp.genfoam.com:smtp HERGESTELLT
TCP dwgmbh:2253 esa-sf1.esa.gmessaging.net:smtp HERGESTELLT
TCP dwgmbh:2266 10.0.1.128:smtp SYN_GESENDET
TCP dwgmbh:2272 fujitsu3.fna.fujitsu.com:smtp SYN_GESENDET
TCP dwgmbh:2277 mx12.pacifier.net:smtp WARTEND
TCP dwgmbh:2278 mail84.messagelabs.com:smtp HERGESTELLT
TCP dwgmbh:2281 mail183.messagelabs.com:smtp HERGESTELLT
TCP dwgmbh:2283 swiftmail.swiftfreight.ae:smtp HERGESTELLT
TCP dwgmbh:2287 vws0104.fast.net:smtp HERGESTELLT
TCP dwgmbh:2289 10.0.1.128:smtp SYN_GESENDET
TCP dwgmbh:2290 kilo.whitburn.xcalibre.co.uk:smtp HERGESTELLT
TCP dwgmbh:2292 mail140.messagelabs.com:smtp HERGESTELLT
TCP dwgmbh:2293 mail-fwd.mx.sbc-webhosting.com:smtp HERGESTELLT
TCP dwgmbh:2294 llex02.uwic.ac.uk:smtp HERGESTELLT
TCP dwgmbh:2295 imta.emeryville.ca.mail.comcast.net:smtp ZULETZT_ACK
TCP dwgmbh:2296 cerberus.all-kom.com.ar:smtp SYN_GESENDET
TCP dwgmbh:5558 6a.76.1343.static.theplanet.com:3728 HERGESTELLT
TCP dwgmbh:5558 ba.f8.1343.static.theplanet.com:2649 HERGESTELLT
TCP dwgmbh:5558 ba.f8.1343.static.theplanet.com:4227 HERGESTELLT
TCP dwgmbh:5558 teenxfun.com:ingreslock WARTEND
TCP dwgmbh:5558 teenxfun.com:3515 WARTEND
TCP dwgmbh:5558 teenxfun.com:4330 WARTEND
TCP dwgmbh:5558 drivesuel.net:3107 HERGESTELLT
TCP dwgmbh:5558 2.ad.5446.static.theplanet.com:3720 HERGESTELLT
TCP dwgmbh:5558 c2.d2.5446.static.theplanet.com:2750 HERGESTELLT
TCP dwgmbh:5558 IT Conversations WARTEND
TCP dwgmbh:5558 titan.osrv.net:3516 WARTEND
TCP dwgmbh:5558 titan.osrv.net:4828 WARTEND
TCP dwgmbh:5558 9a.e0.5546.static.theplanet.com:1168 WARTEND
TCP dwgmbh:5558 9a.e0.5546.static.theplanet.com:3803 WARTEND
TCP dwgmbh:5558 ns1.i-netcertus.net:2815 WARTEND
TCP dwgmbh:5558 ns1.i-netcertus.net:3535 HERGESTELLT
TCP dwgmbh:5558 da.94.5646.static.theplanet.com:2412 WARTEND
TCP dwgmbh:5558 2k3s-150-81.aspadmin.net:4517 WARTEND
TCP dwgmbh:5558 nike79.djj-ferro-alloy.net:2272 WARTEND
TCP dwgmbh:5558 nike79.djj-ferro-alloy.net:3060 WARTEND
TCP dwgmbh:5558 nike79.djj-ferro-alloy.net:4112 WARTEND
TCP dwgmbh:5558 vianetwrk.org:1931 WARTEND
TCP dwgmbh:5558 vianetwrk.org:2970 HERGESTELLT
TCP dwgmbh:5558 vianetwrk.org:4430 WARTEND
TCP dwgmbh:5558 ev1s-75-125-33-26.ev1servers.net:3569 HERGESTELLT
TCP dwgmbh:5558 ev1s-75-125-33-26.ev1servers.net:3745 WARTEND
TCP dwgmbh:5558 jubehostus.ne.jp:2997 WARTEND
TCP dwgmbh:5558 jubehostus.ne.jp:3149 HERGESTELLT
TCP dwgmbh:5558 jubehostus.ne.jp:3229 WARTEND
TCP dwgmbh:5558 jubehostus.ne.jp:4819 WARTEND
TCP dwgmbh:5558 76-164-236.userdns.com:4800 WARTEND
TCP dwgmbh:5558 76-164-236.userdns.com:1806 WARTEND
TCP dwgmbh:5558 206.51.229.120:2615 WARTEND
TCP dwgmbh:5558 206.51.229.120:4628 WARTEND
TCP dwgmbh:5558 ev1s-207-218-233-234.ev1servers.net:1537 HERGESTELLT
TCP dwgmbh:5558 ev1s-207-218-233-234.ev1servers.net:2383 HERGESTELLT
TCP dwgmbh:5558 ev1s-207-218-233-234.ev1servers.net:2729 WARTEND
TCP dwgmbh:5558 ev1s-207-218-233-234.ev1servers.net:3914 HERGESTELLT
TCP dwgmbh:5558 jubehostus.ne.jp:1414 WARTEND
TCP dwgmbh:5558 maxdnt-mm.com:2506 WARTEND
TCP dwgmbh:5558 maxdnt-mm.com:3975 WARTEND
TCP dwgmbh:5558 maxdnt-mm.com:4037 WARTEND
TCP dwgmbh:5558 ev1s-209-62-2-66.ev1servers.net:1846 WARTEND
TCP dwgmbh:5558 ev1s-209-62-2-66.ev1servers.net:3985 HERGESTELLT
TCP dwgmbh:5558 ev1s-209-62-2-82.ev1servers.net:1281 WARTEND
TCP dwgmbh:5558 ev1s-209-62-2-82.ev1servers.net:2345 WARTEND
TCP dwgmbh:5558 ev1s-209-62-2-82.ev1servers.net:2986 WARTEND
TCP dwgmbh:5558 209.85.52.234:1116 WARTEND
TCP dwgmbh:5558 209.85.52.234:2950 HERGESTELLT
TCP dwgmbh:5558 209.85.52.234:3879 WARTEND
TCP dwgmbh:5558 ev1s-209-85-57-218.ev1servers.net:1202 WARTEND
TCP dwgmbh:5558 ev1s-209-85-57-218.ev1servers.net:4735 WARTEND
TCP dwgmbh:5558 ev1s-209-85-57-218.ev1servers.net:4781 HERGESTELLT
TCP dwgmbh:5558 ev1s-216-12-205-186.ev1servers.net:3588 WARTEND
TCP dwgmbh:5558 ev1s-216-12-205-186.ev1servers.net:4765 WARTEND
TCP dwgmbh:5558 ev1s-216-12-205-186.ev1servers.net:4860 HERGESTELLT
TCP dwgmbh:5558 f2.fa.ead8.static.theplanet.com:2713 WARTEND
TCP dwgmbh:5558 f2.fa.ead8.static.theplanet.com:3028 HERGESTELLT



Ich habe leider keine Idee, wie / vom welcher Software diese Verbindungen hergestellt werden.

Den Rechner habe ich bereits mit XP-Antispy, SpyBot, SpywareBlater, Symantec Online-Scan und nartürlich mit aktueller Bitdefender IS 10 Software "gepflegt" - leider bislang ohne Erfolg.

Die Verbindungen scheinen alle via svchost aufgebaut zu werden.

So, nun paste ich die Hijackthis-Logdatei, in der Hoffung auf gute Ideen von euch ;-)

Viele Grüße
Klaus



Logfile of HijackThis v1.99.1
Scan saved at 09:25:57, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
D:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
D:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\hasplms.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
D:\util\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe
D:\util\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
D:\www\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\www\BITDEF~1\bdmcon.exe
D:\www\BitDefender10\bdagent.exe
D:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe
D:\DATEV\PROGRAMM\B0000347\ScMgmt\ScardManager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\www\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\WINDOWS\system32\ctfmon.exe
D:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
D:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe
D:\www\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
D:\www\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
d:\www\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
d:\www\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\system32\cmd.exe
E:\Adel\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: DATEV Smartcard Browser Helper - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - D:\DATEV\SYSTEM\DVCCSAScardBHO002.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [BDMCon] D:\www\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "D:\www\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] D:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe
O4 - HKLM\..\Run: [DATEV_SCardMan] D:\DATEV\PROGRAMM\B0000347\ScMgmt\ScardManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] d:\www\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DFÜ-Manager.LNK = D:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
O4 - Global Startup: SkyUserDevmode-Update.lnk = D:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\office\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\www\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\www\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DCDEB3C-C378-4CBF-B18C-44FDD998E222}: NameServer = 217.237.150.51 217.237.148.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{3DCDEB3C-C378-4CBF-B18C-44FDD998E222}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: DVCCSA - C:\WINDOWS\SYSTEM32\DVCCSAnotify002.dll
O20 - Winlogon Notify: pifmgr32 - C:\WINDOWS\SYSTEM32\pifmgr32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DATEV Update-Service - DATEV eG - D:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - D:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - D:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
O23 - Service: DVckService - DATEV eG - D:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SQL Server (DATEV_CL_DE01) (MSSQL$DATEV_CL_DE01) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sDATEV_CL_DE01 (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NetOp Helper ver. 9.00 (2006348) (NetOp Host for NT Service) - Danware Data A/S - D:\DATEV\PROGRAMM\A0000008\NHOSTSWC.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\util\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: DATEV SmartCard Service (SCardService) - DATEV eG - D:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\util\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\www\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Eine Frage vorweg: Kann es sein, daß das ein ausschließlich beruflich genutzter PC ist, der in einem Büro steht? Wenn ja, wäre es vllt besser der IT-Abteilung Bescheid zu geben.

Da wären einige verdächtige Dateien...

C:\WINDOWS\system32\hasplms.exe
C:\WINDOWS\SYSTEM32\pifmgr32.dll
C:\WINDOWS\SYSTEM32\DVCCSAnotify002.dll

Hi root24,

vielen Dank für Deine sehr rasche Antwort und die Durchsicht meiner log-Datei :-).

Joup, der PC wird dienstlich genutzt (z.B. Gehaltskonten via Datev). Deine Idee mit der IT-Abteilung ist gut ! .... ich bin die IT Abteilung :-)

Die drei von Dir genannten Dateien habe ich gecheckt:

-hasplms.exe: HASP Hardlock Treiber von Aladdin (damit schützen wir unsere Software). Der sollte o.k. sein, wenngleich ich natürlich nicht genau sagen kann, was er noch alles tut ausser das Hardlock zu bedienen.

-DVCCSAnotify002.dll: der Gehört zur DATEV Buchhaltungs-Software. Das Dateidatum und -zeit passt zu den Dateien, die sich im DATEV verzeichnis befinden.

- pifmgr32.dll: hier habe ich keine Idee/Erklärung. Ich habe das Ding mal umbenamst (_pifmgr32.dll) und HijackThis meldet nun brav "file missing".

Soweit so gut - ich werde mal schauen ob dies eine Veränderung bewirkt.

Ich habe den Eindruck, als ob unser PC zu den oben genannten Servern wie z.B. lnx.co.il, colo.static.dc.volia.com, mail.ol7.co, host5.stormpay.com, leapcash.com, etc., eine Verbindung aufbaut und dann weiteren Servern unsere IP mitteilt, dann weitere Verbindungen mit svchost aufbaut und so unseren Rechner für irgendwelche Datentransfers (Spam o.Ä.) missbraucht ...

Viele Grüße
Klaus

Zitat:

- pifmgr32.dll: hier habe ich keine Idee/Erklärung. Ich habe das Ding mal umbenamst (_pifmgr32.dll) und HijackThis meldet nun brav "file missing".

Sieht mir sehr nach malware aus. Werte die nun umbenannte Datei mal bei Virustotal.com aus und poste die Ergebnisse inkl. MD5/SHA-1.

Zusätzlich folgende Tools ausführen und die Logfiles posten:

* Blacklight
* eScan
* Silentrunners
* combofix

Gerade weil es ein beruflich genutzter PC ist, solltest Du aber lieber an die Möglichkeit des Neuaufsetzens denken.

Der Rechner gehoert sofort(!)vom Netz genommen und neu aufgesetzt. Du spamst gerade "die ganze Welt" voll!

TCP dwgmbh:2292 mail140.messagelabs.com:smtp HERGESTELLT
TCP dwgmbh:2293 mail-fwd.mx.sbc-webhosting.com:smtp HERGESTELLT
TCP dwgmbh:2294 llex02.uwic.ac.uk:smtp HERGESTELLT
TCP dwgmbh:2295 imta.emeryville.ca.mail.comcast.net:smtp ZULETZT_ACK
TCP dwgmbh:2296 cerberus.all-kom.com.ar:smtp SYN_GESENDET

Mal ganz davon abgesehen, was da vieleicht noch alles laeuft.


Edit: Zur Malware wuerde ich auf Storm/Zhelatin tippen. DAs kannst du aus jux und dollerei nach dem Backup und vor dem neu aufsetzen mitCombofix ueberpruefen.

Hi,

vielen Dank für eure guten Ratschläge :-).

Ich werde die pifmgr32.dll morgen mal näher checken lassen und auch die vorgeschlagenen Tools anwenden.

Das System neu aufzusetzen möchte ich nur als aller letzte Möglichkeit in Betracht ziehen, denn dabei lerne ich leider gar nichts. Wenn sich Ähnliches noch einmal ereignet, dann bin ich genau so klug/unwissend wie zuvor.

Als Sofortmassnahme habe ich via Firewall der svchost.exe sämtlichen (!) Traffic untersagt. Nach meinen Beobachtungen fanden danach (dauerhaft) keine ungewollten Aktivitäten mehr statt.
Dennoch habe ich den PC vorsorglich vom Netz genommen.

Schade eigentlich, dass der Bitdefender von der ganzen Sache überhaupt nichts bemerkt hat ...

Viele Grüsse
Klaus

Zitat:

Ich werde die pifmgr32.dll morgen mal näher checken lassen und auch die vorgeschlagenen Tools anwenden.

Wenn du den Rechner erstmal so lassen willst, sollte er möglichst keine Anbindung mehr zum Netwerk/Internet haben. Also: Netzwerkkabel ziehen!

Zitat:

Das System neu aufzusetzen möchte ich nur als aller letzte Möglichkeit in Betracht ziehen, denn dabei lerne ich leider gar nichts. Wenn sich Ähnliches noch einmal ereignet, dann bin ich genau so klug/unwissend wie zuvor.

Läßt sich nur schwer vermeiden, denn Du brauchst für diesen PC die Gewißheit, daß dort nichts mehr schadhaftes läuft.
Wenn du Lernen willst wie sich zukunftiger Befall am besten vermeiden läßt, mußt Du Dir auf jeden Fall Wissen aneignen: Der Linkblock - www.ntsvcfg.de

Zitat:

Als Sofortmassnahme habe ich via Firewall der svchost.exe sämtlichen (!) Traffic untersagt. Nach meinen Beobachtungen fanden danach (dauerhaft) keine ungewollten Aktivitäten mehr statt.

Falls Du mit Firewall PFW meinst: Diese Maßnahme ist als fast wirkungslos zu betrachten, da das kompromittierte System laufende Sicherheitssoftware "anlügen" kann und die Schädlinge daher ungehindert an ihr vorbeisenden!
Jedenfalls ist das der worst-case und davon ist auf jeden Fall auszugehen.

Zitat:

Dennoch habe ich den PC vorsorglich vom Netz genommen.

Sehr löblich!

Zitat:

Schade eigentlich, dass der Bitdefender von der ganzen Sache überhaupt nichts bemerkt hat ...

Auf Virenscanner ist absolut kein Verlass => Computersicherheit - Virenscanner

Für forensische Nachuntersuchungen und Beweissicherungen solltest Du umgehend auch ein Systemimage (z.B. mit Acronis True Image) des verseuchten Rechners anlegen. Wichtig ist, daß dann noch nichts bzw. möglichst wenig bereinigt wurde- so hast Du für den Fall immer noch was in der hand. Sichere es nicht nur auf der internen Platte, sondern auch noch irgendwo extern (USB-Platte/DVD/BAND etc. pp.).
Das Image-Programm ist nicht auf dem verseuchten System zu installieren, sondern - sofern schon direkt vorhanden - das Bootmedium zu nutzen, um den verseuchten Rechner damit zu booten und das Image anzufertigen. Liegt kein solches Bootmedium (CD/DVD) vor, mußt Du das Programm auf einem anderen (sauberen!) PC installieren und Dir ein solches erstellen - Acronis müßte sowas aber in der Schachtel haben wenn ich mich recht erinnere.

Auch sehr hilfreich wäre es eine BartPE-CD zu haben. Ist ein von CD startbares Windows XP, was bei evtl. Bereinigungsaktionen hilfreich sein könnte, auch wenn bei diesem PC von einer Bereinigung dringend abgeraten werden muß. Ebenfalls läßt sich über ein Acronis-Plugin das Programm TrueImage gleich in das BartPE integrieren. Selbstverständlich muß auch das BartPE-Medium unbedingt von einem sauberen System erstellt werden!

root24