Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unbekannter Upload im Hintergrund (https://www.trojaner-board.de/103202-unbekannter-upload-hintergrund.html)

Mukuh 06.09.2011 16:10
Unbekannter Upload im Hintergrund
 
Hey, hey, ich versuche mich kurz und präzise zu fassen:

Mein System:
- Windows 7 64bit
- Firewall: Standard Windows Firewall
- Antivirus: Avira

Mein Problem:
Mein Computer uploaded irgendetwas im Hintergrund. Da das Netzwerk hier über eine Mac-Adresse funktioniert und beim Herausziehen des Lankabels die Symptome verschwinden, bin ich mir ziemlich sicher, dass dieser Computer (und kein anderer) im Hintergrund am Hochladen ist.

Die genauen Symptome: Ping bei Spielen zeitweise zu hoch (100-200 statt 20-30). Gesamtupload zu hoch (4fache des normalen Wertes + plötzliche Sprünge).

Ich wäre wirklich dankbar, wenn mir jemand helfen würde =$

cosinus 07.09.2011 12:43
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Mukuh 12.09.2011 17:08
Danke für Deine Begrüßung und Deinen Willen zu helfen, cosinus.

Hier der Log:

Code:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7698

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

12.09.2011 14:59:44
mbam-log-2011-09-12 (14-59-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 434252
Laufzeit: 54 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 12.09.2011 20:52
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Mukuh 13.09.2011 00:40
Jawohl, Sire! Ich habe die Testversion von Malewarebytes mehr oder weniger aus Versehen aktiviert. Hoffe, es kommt jetzt nicht zu überflüssigen Logs:

protection-log-2011-09-12
Code:
14:05:20        Akos        MESSAGE        Protection started successfully
14:05:24        Akos        MESSAGE        IP Protection started successfully
15:08:19        Akos        ERROR        Scheduled update failed:  No address found failed with error code 11004
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 9000, Process: svchost.exe)
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 8088, Process: svchost.exe)
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 2479, Process: svchost.exe)
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 9090, Process: svchost.exe)
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 8008, Process: svchost.exe)
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 73, Process: svchost.exe)
19:00:31        Akos        IP-BLOCK        IP1 (Type: incoming, Port: 3246, Process: svchost.exe)
20:00:43        Akos        IP-BLOCK        IP2 (Type: incoming, Port: 80, Process: skype.exe)
20:13:48        Akos        IP-BLOCK        IP1  (Type: incoming, Port: 80, Process: skype.exe)
21:44:58        Akos        IP-BLOCK        IP2 (Type: incoming, Port: 80, Process: skype.exe)
23:54:18        Akos        IP-BLOCK        IP1  (Type: incoming, Port: 80, Process: skype.exe
protection-loh-2011-09-13
Code:
00:32:02        Akos        MESSAGE        IP Protection stopped

cosinus 13.09.2011 13:07
Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Mukuh 13.09.2011 15:18
ESET

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=df2497dadcc9e8458ba376be00b2dbdf
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-13 02:10:11
# local_time=2011-09-13 04:10:11 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 11561 52454089 81063 0
# compatibility_mode=5893 16776573 100 94 11320 67547118 0 0
# compatibility_mode=8192 67108863 100 0 65 65 0 0
# scanned=259071
# found=0
# cleaned=0
# scan_time=5743

cosinus 13.09.2011 17:57
Zitat:
Da das Netzwerk hier über eine Mac-Adresse funktioniert und beim Herausziehen des Lankabels die Symptome verschwinden,
Da ist eine etwas gewöhnungsbedürftige Beschreibung. KEIN LAN funktioniert so wirklich ohne die MAC-Adresse. Falls du einen MAC-Filter meinst, kannst du das auch schreiben. Wahrscheinlich über WLAN?

Zitat:
FF - prefs.js..keyword.URL: "http://search.hotspotshield.com/g/results.php?c=s&q="
FF - prefs.js..network.proxy.backup.ftp: "209.190.53.137"
FF - prefs.js..network.proxy.backup.ftp_port: 9000
FF - prefs.js..network.proxy.backup.socks: "209.190.53.137"
FF - prefs.js..network.proxy.backup.socks_port: 9000
FF - prefs.js..network.proxy.backup.ssl: "209.190.53.137"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "174.129.9.79"
Was sind das für Proxies? Was genau machst du über VPN mit dem Hotspotshield?

Mukuh 13.09.2011 18:26
Zitat:
Zitat von cosinus
Da ist eine etwas gewöhnungsbedürftige Beschreibung. KEIN LAN funktioniert so wirklich ohne die MAC-Adresse. Falls du einen MAC-Filter meinst, kannst du das auch schreiben. Wahrscheinlich über WLAN?
Nein, kein WLAN, soweit ich weiß. Ich bin hier in einem Studentenwohnheim in der jede Wohnung einen eigenen LAN-Anschluss hat. Wie genau das funktioniert, weiß ich nicht. Aber um Internetzugang zu kriegen musste ich ein Lankabel da reinstöpseln, zum Netzwerkadmin hier gehen, der hat dann irgendwas von MAC-Adresse erklärt und seitdem läuft das hier.

Soweit ich das verstanden habe, können nur solche PCs ins Internet, die eine gültige MAC-Adresse haben, die der Admin also freigegeben hat. Nennt sich das MAC-Filter?

Zusatz: Ich habe zwei Computer, mit denen ich hier surfen kann, wobei ich den einen momentan nicht benutze (Der hat ebenfalls ein Uploadproblem, sogar ein größeres - Da waren mal an nem Tag 25gb Upload).

Zitat:
Was sind das für Proxies? Was genau machst du über VPN mit dem Hotspotshield?
Was genau das für Proxies sind, weiß ich nicht. Ich nehme an, die hat Hotspotshield eingerichtet, mehr kann ich dazu nicht sagen. Ich surfe damit auf pandora.com.

cosinus 13.09.2011 19:06
Zitat:
der hat dann irgendwas von MAC-Adresse erklärt und seitdem läuft das hier.
Achso, das, ja das kenn ich. Damit wird verhindert, dass unkontrolliert jedes Gerät ins LAN kommt. Nur bkannte und demnach auf der Whitelist stehende Geräte sind dann im Netz. Und ja, das ist eigentlich ein MAC-Filter.


Zitat:
Da waren mal an nem Tag 25gb Upload)
Tatsächlich Upload? Irgendwelche Fielsharingtools? hab ich jetzt nicht im Log gesehen.
Hast du Freigaben auf deinen Rechnern eingerichtet für "jedermann"?

Mukuh 13.09.2011 19:26
Kurze Klarstellung:
- Zwei Rechner:
- Ab jetzt bezeichne ich den einen als "Laptop" und den anderen als "Compi"
- Logs beziehen sich alle auf den Compi
- 25gb Upload trat auf dem Laptop auf
- mein primäres Problem ist der Compi

Zitat:
Zitat von cosinus
Tatsächlich Upload? Irgendwelche Fielsharingtools? hab ich jetzt nicht im Log gesehen.
Hast du Freigaben auf deinen Rechnern eingerichtet für "jedermann"?
Ja, habe nen 30gb Limit und Up- und Download werden protokolliert. Es waren 25gb up in etwa 7 Stunden. Frostwire ist und war auf dem Laptop installiert, aber zu dem Zeitpunkt nicht an. Dieser Compi besitzt keine Filesharingprogramme.

Auf dem Compi sind keine Daten freigegeben. Das Netzwerk ist als "öffentlich" deklariert. Demzufolge steht unter "Netzwerk" (Windows 7):
"Netzwerkerkennung und Dateifreigabe sind deaktiviert. Netzwerkgeräte und -computer sind nicht sichtbar."

cosinus 14.09.2011 09:23
Zitat:
Frostwire ist und war auf dem Laptop installiert, aber zu dem Zeitpunkt nicht an.
Wäre aber die plausibelste Erklärng für den Upload.

Zitat:
AW: Unbekannter Upload im Hintergrund
Versteh ich dan nicht ganz, warum du dann die Logs vom Rechner hier reinstellst, wo soch der Notebook den Upload verursacht hat.
Oder verursacht der Compi auch Upload? Sry es ist immer wieder verwirrend wenn zwei Rechner in einem Strang behandelt werdne.

Mukuh 15.09.2011 11:25
Zitat:
Wäre aber die plausibelste Erklärng für den Upload.
Laptop: Ja, wäre es. Es war aber definitiv aus. Ich habe sogar den Task-Manager auf mir unbekannte Prozesse gecheckt und verscuht möglichst viel zu deaktivieren.

Zitat:
Versteh ich dan nicht ganz, warum du dann die Logs vom Rechner hier reinstellst, wo soch der Notebook den Upload verursacht hat.
Oder verursacht der Compi auch Upload? Sry es ist immer wieder verwirrend wenn zwei Rechner in einem Strang behandelt werdne.
Ja, tut mir Leid für die Verwirrung, ich wusste nur nicht, ob das mit dem Laptop relevante Information darstellt oder nicht. Auf beiden Systemen besteht ein ähnliches Problem, auf dem Laptop in einem wesentlich größeren Ausmaß.

Mukuh 15.09.2011 11:31
Der Upload beim Laptop stört mich nicht soo, den benutze ich nicht oft. Der Upload beim Compi ist mir dagegen ein echtes Dorn im Auge, deswegen die Logs vom Compi.

cosinus 15.09.2011 12:07
Schau doch hiermit nach => NetLimiter 2 Monitor - Freeware - DE - Download.CHIP.eu

Welcher Prozess den Traffic verursacht


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131