Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC sendet ununterbrochen (https://www.trojaner-board.de/32295-pc-sendet-ununterbrochen.html)

bigmaddrongo 18.09.2006 13:36
PC sendet ununterbrochen
 
Moin.

seit heute folgendes Problem: wenn ich ins Internet gehe, sendet er wie verrückt Daten, auch wenn ich keinerlei Programm wie Eudora oder Firefox (die ich standardmäßig benutze) in Betrieb habe. Die Uploadrate ist doppelt so hoch wie die Downloadrate...

Ich habe einen kompletten Scan mit a² gemacht. Dabei fand er nach ein paar TracingCookies im Schnelldurchgang im Komplettscan folgendes:

Zitat:
Scan Beginn: 18.09.2006 13:19:43

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-3fdf56a0-5af8ec33.zip gefunden: Exploit.Java.ByteVerify

Gescannt

Dateien: 171224
Traces: 72852
Cookies: 3580
Prozesse: 20

Gefunden

Dateien: 1
Traces: 0
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 18.09.2006 13:54:46
Scan Zeit: 00:35:03

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-3fdf56a0-5af8ec33.zip Gelöscht Exploit.Java.ByteVerify

Gelöscht

Dateien: 1
Traces: 0
Cookies: 0
Ich dachte, damit hätte ich's. Aber er sendet munter weiter. Das HJT-Log spuckt folgendes aus:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:24:04, on 18.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system\msidll.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Eudora\Eudora.exe
D:\Eigene Dateien\Downloads\Programme\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://lotus.rbb-online.de/iNotes6.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129577545656
O17 - HKLM\System\CCS\Services\Tcpip\..\{189B40F4-29F3-4AE5-9D43-15A09CFA16C7}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Microsoft information dll service (msidll) - Unknown owner - C:\WINDOWS\system\msidll.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Microsoft Windows Internet Connections Manager (net32b) - Unknown owner - C:\WINDOWS\system32\net32b.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: QoS Provider (System Event) - Unknown owner - C:\WINDOWS\system32\explorer.exe" -netsvcs (file missing)
Meine "Favouriten" sind: net32b.exe und msidll.exe, lassen sich aber weder fixen noch als Prozess über den Taskmanager beenden. Desweiteren nervt mich der "file missing" -Eintrag. Aber das nur nebenbei.

Ich mache mir schon ein paar Sorgen. Könnte mir jemand bitte helfen?!
Mit besten Grüßen
Drongo

irrlicht 18.09.2006 14:26
Hallo,
was heißt genau, "sendet wie verückt" ? Die ganze Zeit wenn du im Netz bist ,oder hört das dann auf.Anfangsaktivität könnte auf einen Updateversuch oder ein Abgleich hindeuten.
Zitat:
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
Was synchronisiert der hier eigentlich ?
Zitat:
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
Media-Center wühlt auch gerne im Netz nach Onlinezeitschriften und Programupdates.
Unter "Anleitungen,FAQ;Links" findest du einen Thread zu "Ecan,neue Version".
Schau dir das mal genau an und führe es durch.Achte auf die richtige Datei beim runterladen und benutze den unter dem roten Punkt 5 angesprochene "find.bat" ganz unten auf der Seite ist der Direktdownload dafür.Lese die gesamte Anleitung sehr genau.Handle Punkt für Punkt danach,sonst funktioniert der Scan nicht.Poste das Ergebniss.
Irrlicht

bigmaddrongo 18.09.2006 18:12
eScan durchgeführt - Viren entfernt, Posten nicht mehr notwendig. Vielen Dank für den Hinweis: Das Programm schmorte seit einem Jahr bei mir auf der Festplatte herum, ohne daß ich es erinnerte...

Mein eingangs erwähntes Problem, das dauerhafte (egal ob halbe Stunde oder wie lange auch immer) Senden von ominösen Daten verschwand allerdings erst, als ich den von mir schon verdächtigten Dienst "msidll.exe" in der Verwaltung von Win 2000 deaktivierte. Nun meine Frage: wie kann ich diesen Dienst endgültig löschen?

Und was zur Hölle tut er überhaupt? Ich habe nichts über diese Datei gefunden.

Schönen Gruß
Drongo


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131