Trojaner-Board - Ständig mehr Upload als Download

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ständig mehr Upload als Download (https://www.trojaner-board.de/25702-staendig-mehr-upload-download.html)

Ständig mehr Upload als Download

Hallo zusammen

Habe seid einiger Zeit das Problem, dass das Uploadvolumen immer mehr ist als das Downloadvolumen. (gesendete und empfangene Packete im Fenster "Status von LAN-Verbindung") Die Anzahl der gesendeten Packete steigt aber nicht ständig, sondern nur wenn ein Download statffindet z.B. wenn eine Seite aufgebaut wird. (Frage nebenbei wie kann man die Anzeige von Packete auf Bytes umstellen?)

Hatte auch vor kurzen einen Angriff einiger Trojaner (die Namen weiss ich leider nicht mehr), habe diese aber mit AntiVir entfernen können.

Habe bereits mein Sytem im abgesicherten Modus mit folgenden Programmen gescannt
- AntiVir Personal Edition Classic
- Ad-Aware se
- Spybot Search & Destroy
- a-squared
aber keine Funde.

Hier noch das HijackThis Logfile von meinem Pc

Logfile of HijackThis v1.99.1
Scan saved at 22:24:18, on 11.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\XXX-CD-XXX\Anti Trojan Programme\HijackThis 1.99.1\HijackThis1991.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/v [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/c [...] /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DBDF389-4608-4921-98DA-B
66F7DDEC4FB}: NameServer = 213.174.244.1,80.120.18.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MEls - Unknown owner - C:\PROGRA~1\CoCreate\MEls\MEls.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mein System:
Windows XP (Service Pack 2)
Mozilla Firefox (vor kurzen noch IE 6.0)

Kann mir wer helfen herauszufinden wo dieses hohe Uploadvolumen herkommt? Möchte ungern deswegen mein System neu aufsetzen.
Wie hoch sollte eigentlich das Verhältniss von Download- zu Uploadvolumen beim normalen Surfen sein? Gibt es da eine Fausregel?

Hallo Leo,
dein Log sieht sauber aus.Da ist nix von verdacht drin.Die O4-Einträge bezeichnen deinen Autostart,also die Programme,die immer mit hochgefahren werden.Einige dieser Programme(dein Drucker bsw.)suchen beim Start nach Updates,daher vermutlich dein Trafic.Es ist Geschmackssache was alles im Autostart steht,in der Theorie ist eigentlich nur dein Antivirenproggi und die Firewall nötig.Alles andere kommt bei Bedarf auf "Klick".
Irrlicht

Hallo Irrlicht

Danke für den Tipp mit den Autostarteinträgen
Habe mal zusammengeräumt, hier mein neues Log-File

Logfile of HijackThis v1.99.1
Scan saved at 00:43:45, on 14.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HijackThis 1.99.1\HijackThis1991.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DBDF389-4608-4921-98DA-B66F7DDEC4FB}: NameServer = 213.174.244.1,80.120.18.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Leider ohne Erfolg.

Ausserdem, wenn das ganze ein Suchen von Updates ist müsste das ja nach aktivieren der Internetverbindung geschehen und danach Ruhe sein?

Bei mir ist es ja so, dass ich nach dem aktivieren der Verbindung kaum traffic habe. Wenn ich dann warte, dass kein Up- und Download mehr stattfindet und ich gehe auf eine Internetseite (z.B Google) findet mehr Upload als Download statt. Wenn die Seite dann fertig geladen wurde habe ich auch keinen traffic mehr.

leo28

Hallo Leo,
sehr schönes Log,reines Surferlog würde ich mal sagen.Sieht aber aus wie aus dem "abgesicherten Modus",kann das sein ?
Du mußt dir keine Sorgen machen um dein Up,- und Download.Das ist völlig normal.Wenn du eine Anfrage nach einer Seite stellst,muß dein Browser diese Anfrage in computertaugliches umsetzen.Dies geschieht in Bytes,verpackt als Pakete.Dein Browser fragt also den nächsten Server nach der von dir gewollten Seite.Jetzt weiß der Server die Seite nicht und gibt deswegen deine Anfrage an den nächsten großen Bruderserver weiter,solange bis einer weiß wo die Seite liegt die dich intressiert.
Irrlicht

Hallo Irrlicht

Dieses Log stammt nicht aus dem abgesicherten Modus sondern aus dem ganz normalen Betrieb. Muss gestehen ich weiss nicht ob noch jedes Programm einwandfrei funktioniert.

Frage:
Ich kann doch die beiden BHO's ohne bedenken fixen, wenn ich den Internetexplorer nicht mehr verwende? Oder habe ich die Funktion von den BHO's falsch verstanden.

Zu meinen Traffic.
Habe mir ein Freeware Prog heruntergeladen das den Datenverkehr der Netzwerkkarte dokumentiert. Hier sieht alles normal aus betreffent Verhältniss Upload zu Download.
Kann vielleicht sein, dass die Anzeige von Windows nicht stimmt, oder entspricht ein Packet etwa gar nicht einer bestimmten Anzahl von Bytes.
Kann man das eigentlich irgendwie umstellen. Habe nämlich auf dem PC nach der Installation die Anzahl der Pakete angezeigt bekommen, hingegen auf meinem Laptop Bytes
Das ständig etwas Verkehr ist, vor allem Download ist ja wenn mich nicht alles täuscht doch normal?

gruss leo28