Trojaner-Board - Mein Pc telefoniert von allein mit dem Internet

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mein Pc telefoniert von allein mit dem Internet (https://www.trojaner-board.de/86695-pc-telefoniert-allein-internet.html)

Mein Pc telefoniert von allein mit dem Internet

Hallo erstmal.

Mein Problem: alle Auto-Updates sind deaktiviert, kein Programm gestartet außer Firewall & Antivir.
Trotzdem zeigt ZoneAlarm fast durchgehend einigen Netzwerktraffic an!?

Hier die Infos:
Ich benutze den CC-Cleaner und Firefox.
Intelligenter Hintergrundübertragungsdienst ist deaktiviert
msinfo32:

Code:

Betriebssystemname        Microsoft Windows XP Professional

Version        5.1.2600 Service Pack 3 Build 2600

Betriebssystemhersteller        Microsoft Corporation

Systemname        ***

Systemhersteller        BIOSTAR Group

Systemmodell        GF8100 M2+ TE

Systemtyp        X86-basierter PC

Prozessor        x86 Family 16 Model 6 Stepping 2 AuthenticAMD ~2999 Mhz

BIOS-Version/-Datum        American Megatrends Inc. 080015, 05.05.2009

SMBIOS-Version        2.5

Windows-Verzeichnis        C:\WINDOWS

Systemverzeichnis        C:\WINDOWS\system32

Startgerät        \Device\HarddiskVolume1

Gebietsschema        Deutschland

Hardwareabstraktionsebene        Version = "5.1.2600.5512 (xpsp.080413-2111)"

Benutzername        ***\***

Zeitzone        Westeuropäische Sommerzeit

Gesamter realer Speicher        2.048,00 MB

Verfügbarer realer Speicher        1,30 GB

Gesamter virtueller Speicher        2,00 GB

Verfügbarer virtueller Speicher        1,96 GB

Größe der Auslagerungsdatei        3,60 GB

Auslagerungsdatei        C:\pagefile.sys

hjt-log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:38:03, on 02.06.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\mmc.exe

D:\Download\Programme\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://media.warrock.net/inGameAds/index.html

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F***} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC4***} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC463***} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba***} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba***} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C***} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07**} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830***} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 4566 bytes

Kann mir bitte jemand sagen, ob ich mir was eingefangen hab?

Grüße aus Hamburg

Hallo Hamburg :hallo:

Deine Log Dateien sind unauffällig. Ich würde ja mal das Paranoia verursachende Zonelabs runter schmeißen. Die Windowseigene Firewall reicht völlig aus. Kannst du dir vorstellen, dass den Traffic deine Firewall verursacht? Denn diese wollen auch ständig nach Hause telefonieren.
Mach aber mal noch einen Scan mit Malwarebytes-Anti-Malware und stelle das Log ein.

Hallo.

Danke erstmal, daß Du dich meiner "Paranoia" ;-) annimmst..

Also: Die Firewall kann ich mit ziemlicher Warscheinlichkeit ausschliessen, die fragt mich auch, wenn sie selbst in's Netz will.

mbam quick:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4168
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

04.06.2010 11:29:19

mbam-log-2010-06-04 (11-29-19).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 118399

Laufzeit: 2 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 3

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

mbam vollständig:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4168
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

04.06.2010 12:54:08

mbam-log-2010-06-04 (12-54-08).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)

Durchsuchte Objekte: 203407

Laufzeit: 25 Minute(n), 27 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 3

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

D:\System Volume Information\_restore{18D04EFE-F37A-48B2-A2DF-7119D50ADE3F}\RP187\A0037096.exe (Malware.Packer.Gen) -> No action taken.

Mmmh.. das ist seltsam, hab den Rechner erst vor kurzem neu aufgesetzt. Da sollte die Systemwiederherstellung
doch sauber sein...

Hallo Hamburg
warum hast du eigentlich die gefundenen Sachen nicht löschen lassen von Malwarebytes?
Mach dann noch einen Scan mit Superantispyware nach der Anleitung.
Öffne dann mal den Task Manager und sage mir, was die Auslastung verursacht.

Zitat:

Also: Die Firewall kann ich mit ziemlicher Warscheinlichkeit ausschliessen, die fragt mich auch, wenn sie selbst in's Netz will.

Soso, dabei wars ZoneAlarm selbst mal, das heimlich nach Hause telefoniert hat :lach:
Schmeiß ZA vom Rechner, das Teil macht nichts sicherer und Du betreibst damit nur irrsinnige Augenwischerei.

Hallo.

Entschuldigung erstmal das ich so lang' gebraucht hab!

Also

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 06/20/2010 at 03:10 PM
 

Application Version : 4.39.1002
 

Core Rules Database Version : 5093

Trace Rules Database Version: 2905
 

Scan type       : Complete Scan

Total Scan Time : 02:44:32
 

Memory items scanned      : 404

Memory threats detected   : 0

Registry items scanned    : 4418

Registry threats detected : 3

File items scanned        : 123769

File threats detected     : 0
 

Disabled.SecurityCenterOption

        HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY

        HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY

        HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY

Den Fund hatte ich noch nicht gelöscht, um keine eventuellen Spuren oder ähnliches zu verwischen..bin halt ned so bewandert. Ist jetzt nachgeholt.
ZoneAlarm wird auch bald entfernt, nervt mich ja selbst.

War das jetzt alles in allem also nur Paranoia und ich kann mich entspannen?

Grüße aus der Hansestadt

PS: die Anweisung mit dem Taskmanager hab ich nicht wirklich verstanden.
Meinst Du die Prozessorauslastung? Denn über die Herkunft von Traffic sagt mir der Taskmanager
ja nichts. Prozessorauslastung war aber auch n bischen seltsam (möglicherweise auch nur für mich).
Der Leerlaufprozess gab über 90% an, aber der Graph vom zweiten Kern war fast am Anschlag.

So dann machen wir weiter. Als erstes mal den ZA entfernen und die windowseigene Firewall aktivieren.
Dann lass mal den CCleaner nach Anleitung über den Rechner gehen. Die Registrie bitte mehrmals scannen lassen, bis es keine Funde mehr gibt.
Im Taskmanager kannst du sehen, welche Programme für die Auslastungen verantwortlich sind.
Dass der Leerlaufprozess 90% hat, ist normal.
Dann muss auch noch der Internetexplorer auf den neuesten Stand gebracht werden. Auch wenn du mit einen anderen ins Internet gehst.

ZA weg.
Win FW an.
In der Reg. nur noch der Antivir-Key.
IE is up-to-date.

Und was hat der CCleaner gebracht? Wie verhält sich jetzt dein Rechner? Mach noch ein Vollscan mit Malwarebytes und lasse alles gefundene löschen.

also...
1. der ccleaner hat einige reg-probleme behoben
2.naja, das einzige "problem" war ja traffic unbekannter herkunft. ohne die fw würd ich den nu eh nicht mehr sehen.
3 den vollscan hab ich gemacht, hat aber nichts gefunden (ausser den win-security-center einträgen)

Falls der Herr Doctor mich nu aus der Behandlung entlässt :dankeschoen: ;
wirklich vielen Dank für deine Mühe und Zeit!

Zitat:

Zitat von -Hamburg- (Beitrag 536135)

3 den vollscan hab ich gemacht, hat aber nichts gefunden (ausser den win-security-center einträgen)

Und hast du diese Einträge gelöscht?

Nein. Das sind doch bloß die drei entfernten Häkchen in den Warneinstellungen. Die würden doch eh gleich wiederkommen, sobald ich die wieder entfern' (weil mich die Warnungen nerven), oder hab ich da was falsch verstanden?

Lösche die Einträge.
Dann noch ein Log mit Superantispyware machen und hier reinstellen.
Dann werden wir weiter sehen.

Et voila:

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 06/24/2010 bei 04:17 PM

Version der Applikation : 4.39.1002

Version der Kern-Datenbank : 5113
Version der Spur-Datenbank : 2925

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:44:30

Gescannte Speicherelemente : 423
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4427
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 125228
Erfasste Datei-Elemente : 0