Hallo erstmal.

Mein Problem: alle Auto-Updates sind deaktiviert, kein Programm gestartet außer Firewall & Antivir.
Trotzdem zeigt ZoneAlarm fast durchgehend einigen Netzwerktraffic an!?

Hier die Infos:
Ich benutze den CC-Cleaner und Firefox.
Intelligenter Hintergrundübertragungsdienst ist deaktiviert
msinfo32:

Code: Alles auswählenAufklappen

ATTFilter

Betriebssystemname	Microsoft Windows XP Professional
Version	5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller	Microsoft Corporation
Systemname	***
Systemhersteller	BIOSTAR Group
Systemmodell	GF8100 M2+ TE
Systemtyp	X86-basierter PC
Prozessor	x86 Family 16 Model 6 Stepping 2 AuthenticAMD ~2999 Mhz
BIOS-Version/-Datum	American Megatrends Inc. 080015, 05.05.2009
SMBIOS-Version	2.5
Windows-Verzeichnis	C:\WINDOWS
Systemverzeichnis	C:\WINDOWS\system32
Startgerät	\Device\HarddiskVolume1
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername	***\***
Zeitzone	Westeuropäische Sommerzeit
Gesamter realer Speicher	2.048,00 MB
Verfügbarer realer Speicher	1,30 GB
Gesamter virtueller Speicher	2,00 GB
Verfügbarer virtueller Speicher	1,96 GB
Größe der Auslagerungsdatei	3,60 GB
Auslagerungsdatei	C:\pagefile.sys
         

hjt-log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:03, on 02.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\mmc.exe
D:\Download\Programme\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://media.warrock.net/inGameAds/index.html
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F***} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC4***} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC463***} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba***} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba***} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C***} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07**} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830***} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4566 bytes
         

Kann mir bitte jemand sagen, ob ich mir was eingefangen hab?

Grüße aus Hamburg

Hallo Hamburg

Deine Log Dateien sind unauffällig. Ich würde ja mal das Paranoia verursachende Zonelabs runter schmeißen. Die Windowseigene Firewall reicht völlig aus. Kannst du dir vorstellen, dass den Traffic deine Firewall verursacht? Denn diese wollen auch ständig nach Hause telefonieren.
Mach aber mal noch einen Scan mit Malwarebytes-Anti-Malware und stelle das Log ein.

Hallo.

Danke erstmal, daß Du dich meiner "Paranoia" ;-) annimmst..

Also: Die Firewall kann ich mit ziemlicher Warscheinlichkeit ausschliessen, die fragt mich auch, wenn sie selbst in's Netz will.

mbam quick:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4168

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04.06.2010 11:29:19
mbam-log-2010-06-04 (11-29-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 118399
Laufzeit: 2 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

mbam vollständig:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4168

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04.06.2010 12:54:08
mbam-log-2010-06-04 (12-54-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 203407
Laufzeit: 25 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\System Volume Information\_restore{18D04EFE-F37A-48B2-A2DF-7119D50ADE3F}\RP187\A0037096.exe (Malware.Packer.Gen) -> No action taken.
         

Mmmh.. das ist seltsam, hab den Rechner erst vor kurzem neu aufgesetzt. Da sollte die Systemwiederherstellung
doch sauber sein...

Hallo Hamburg
warum hast du eigentlich die gefundenen Sachen nicht löschen lassen von Malwarebytes?
Mach dann noch einen Scan mit Superantispyware nach der Anleitung.
Öffne dann mal den Task Manager und sage mir, was die Auslastung verursacht.

Zitat:

Also: Die Firewall kann ich mit ziemlicher Warscheinlichkeit ausschliessen, die fragt mich auch, wenn sie selbst in's Netz will.

Soso, dabei wars ZoneAlarm selbst mal, das heimlich nach Hause telefoniert hat
Schmeiß ZA vom Rechner, das Teil macht nichts sicherer und Du betreibst damit nur irrsinnige Augenwischerei.

Hallo.

Entschuldigung erstmal das ich so lang' gebraucht hab!

Also

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/20/2010 at 03:10 PM

Application Version : 4.39.1002

Core Rules Database Version : 5093
Trace Rules Database Version: 2905

Scan type       : Complete Scan
Total Scan Time : 02:44:32

Memory items scanned      : 404
Memory threats detected   : 0
Registry items scanned    : 4418
Registry threats detected : 3
File items scanned        : 123769
File threats detected     : 0

Disabled.SecurityCenterOption
	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
	HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY
         

Den Fund hatte ich noch nicht gelöscht, um keine eventuellen Spuren oder ähnliches zu verwischen..bin halt ned so bewandert. Ist jetzt nachgeholt.
ZoneAlarm wird auch bald entfernt, nervt mich ja selbst.

War das jetzt alles in allem also nur Paranoia und ich kann mich entspannen?

Grüße aus der Hansestadt

PS: die Anweisung mit dem Taskmanager hab ich nicht wirklich verstanden.
Meinst Du die Prozessorauslastung? Denn über die Herkunft von Traffic sagt mir der Taskmanager
ja nichts. Prozessorauslastung war aber auch n bischen seltsam (möglicherweise auch nur für mich).
Der Leerlaufprozess gab über 90% an, aber der Graph vom zweiten Kern war fast am Anschlag.

So dann machen wir weiter. Als erstes mal den ZA entfernen und die windowseigene Firewall aktivieren.
Dann lass mal den CCleaner nach Anleitung über den Rechner gehen. Die Registrie bitte mehrmals scannen lassen, bis es keine Funde mehr gibt.
Im Taskmanager kannst du sehen, welche Programme für die Auslastungen verantwortlich sind.
Dass der Leerlaufprozess 90% hat, ist normal.
Dann muss auch noch der Internetexplorer auf den neuesten Stand gebracht werden. Auch wenn du mit einen anderen ins Internet gehst.

ZA weg.
Win FW an.
In der Reg. nur noch der Antivir-Key.
IE is up-to-date.

Und was hat der CCleaner gebracht? Wie verhält sich jetzt dein Rechner? Mach noch ein Vollscan mit Malwarebytes und lasse alles gefundene löschen.

also...
1. der CCleaner hat einige reg-probleme behoben
2.naja, das einzige "problem" war ja traffic unbekannter herkunft. ohne die fw würd ich den nu eh nicht mehr sehen.
3 den vollscan hab ich gemacht, hat aber nichts gefunden (ausser den win-security-center einträgen)

Falls der Herr Doctor mich nu aus der Behandlung entlässt ;
wirklich vielen Dank für deine Mühe und Zeit!

Zitat:

Zitat von -Hamburg-

3 den vollscan hab ich gemacht, hat aber nichts gefunden (ausser den win-security-center einträgen)

Und hast du diese Einträge gelöscht?

Nein. Das sind doch bloß die drei entfernten Häkchen in den Warneinstellungen. Die würden doch eh gleich wiederkommen, sobald ich die wieder entfern' (weil mich die Warnungen nerven), oder hab ich da was falsch verstanden?

Lösche die Einträge.
Dann noch ein Log mit SUPERAntiSpyware machen und hier reinstellen.
Dann werden wir weiter sehen.

Et voila:

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 06/24/2010 bei 04:17 PM

Version der Applikation : 4.39.1002

Version der Kern-Datenbank : 5113
Version der Spur-Datenbank : 2925

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:44:30

Gescannte Speicherelemente : 423
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4427
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 125228
Erfasste Datei-Elemente : 0