Hallo!

Ich habe ein großes Problem!

Wenn ich in meine ZoneAlarm Logs schaue, dann sehe ich dort, dass alle 3 Minuten 2 Dinge geblockt werden!
Protocol: UDP
Source IP: Meine IP mit verschiedenen Port nUmmern
Destination IP: 214.224.33.33
195.180.210.65 jeweils Port 53!
Direction: OUTGOING
Source DNS: mein PC
Destination DNS: g.fwd-ns.de
b.fwd-ns.de

Hat jemand eine Ahnung was das sein kann?
Hab schon mit Ad-Aware, Spybot und a² gescannt, aber nichts gefunden!

HILFE!

Edit:

Die IP-Adressen und die Destination DNS variieren! Bei einer anderen Verbindung sind sie verschieden!
z.B.: frnk.dnscache.mediaways.net
mgr1.pfrz.mediaways.net

oder bei einer anderen Verbindung:
dns-fra.de.ignite.net
dns-muc.de.ignite.net

Auch ist nicht immer 3 Minuten Anstand dazwischen! Manchmal auch weniger!

Hat keiner ne Idee, was das sein könnte???

Port 53 - DNS Server, glaub ich.

Vielleicht meldet ja deine FW auch einfach Portscanns ....

Bitte poste mal ein HijackThis-Log. Vielleicht ist ja tatsächlich Malware
an der ganzen Sache schuld.

Zitat:

Zitat von Uilop

Hat keiner ne Idee, was das sein könnte???

Nö, Idee habe ich keine

Ich weiß nur das Port 53 vom DNS genutzt wird und ohne einen Zugriff auf einen DNS-Server findest Du halt recht wenig im Internet. Wenn Port 53 blockiert ist kann man dummerweise google.de meist schlecht finden, denn dort hättest Du sicherlich was über Port 53 gefunden.

Habe ich für dies bisserl Text 3 Minuten gebraucht? *staun*
Schenk dir das mit HJT (wegen Port 53), obwohl es schadet sicher nicht

Nix Portscann: OUTGOING
Und natürlich ist bei unterschiedlichen Verbindungen unterschiedliche DNS-Server gefragt, schließlich kosten die Dinger was

Naja dumm bin ich ja net! (google.de/DNS usw.)

Wundert mich nur weshalb das meist alle 3 Minutren passiert!

Hier mal mein HijackThis Log:


Logfile of HijackThis v1.98.0
Scan saved at 18:56:19, on 06.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\a2\a2guard.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\secretmaker\secretmaker.exe
C:\Programme\ZMatrix\matrix.exe
C:\Programme\Geizkragen\_Geizkragen.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O4 - Startup: ZMatrix.lnk = C:\Programme\ZMatrix\matrix.exe
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\secretmaker\secretmaker.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file)
O9 - Extra button: ArchiCrypt Stealth - {5A62567B-9F3A-468A-8200-E7D33EA8845B} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.akamai.net
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {88E48871-88E6-4480-9921-F1EC4EB9AB74} - http://www.raxco.com/fileaccesstimer/WebTimedRead.cab
O16 - DPF: {A409700E-0751-11D5-BDA7-00A0C982BA51} - http://www.raxco.com/analyze/PDWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D77BED60-4EBC-440F-8FDA-A9310FE4E4F7}: NameServer = 62.53.221.228 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC0E8449-122A-4286-ACEC-F2C9BCFDB56E}: NameServer = 192.168.120.252,192.168.120.253

Du solltest das aktuelle HJT hernehmen!

O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g solltest Du Dir sehr genau ansehen, runONCE heißt so weil es einmal(!) laufen soll.

außerdem mal der automatischen Auswertung hier => http://www.hijackthis.de/index.php Folge leisten.

Vier Nameserver ist schon eher ungewöhnlich (die beiden O17)
überprüf mal ob du wirklich 2 lokale hast und ob die beiden anderen wirklich "deine" sind.

Mit dem vielen 'Müll' (besonders ICQ) könnte es schon sein dass alle paar Minuten rausgerufen wird.

Dies würde ich(!) unbedingt fixen: O15 - Trusted Zone: *.akamai.net
Unter akamai.net gibt es so viel und dies sollte IMHO niemals komplett zur Trusted Zone gehören (ich würde auch keinen Teil dazu machen und übrigens auch MS rausschmeissen)

Vielen Dank für die schnelle Auswertung!

So:

O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
Weiß net, was das sein soll! Hast du eine Ahnung?

Zu den Nameservern: (was sind das überhaupt?)
Die beiden beim 2. O17 sind meine!
Die beiden beim 1. O17 sind die IP-Adressen, die ZoneAlarm immer anzeigt bei Destination IP, wenn etwas über UDP den Rechner verlässt!

ICQ ist kein Müll. Außerdem sind die Alerts unabhängig von ICQ! Auch ohne sind sie vorhanden!

akamai.net und microsoft kann ich rausnehmen, hatte ich nur drin, weil mal mein Windows Update nicht funktioniert hat!

So nochmals vielen Dank und ich hoffe, du hilfst mir ein weiteres Mal weiter!