Trojaner-Board - C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf (https://www.trojaner-board.de/75090-c-windows-explorer-exe-nimmt-verbindung-turbo-planet-school-de.html)

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf

Hallo liebe Trojaner-Board-Helfer!

Vor eininigen Monaten habe ich mittels des Programms currports von nirsoft festgestellt, dass der Windows Explorer eine TCP-Verbindung zu turboamy.planet-school.de aufgebaut hatte. Ich habe diese Website daraufhin in der Datei C:\Windows\system32\drivers\etc\hosts der IP-Adresse 127.0.0.1 zugeordnet. Eine Suche im Internet ergab damals keine Hinweise auf dieses Verhalten und die Suche mit Avira Antivir und Gmer ergab keine Auffälligkeiten.

Am Montag dieser Woche stellte ich überrascht fest, dass der Windows Explorer jetzt eine Verbindung zu turbolrrr.planet-school.de aufgebaut hatte. Wieder ergaben die Suche mit den ebend genannten Programmen keine Auffälligkeiten. Beim Scan des Windows Explorer bei Virus Total war nur McAfee-GW-Edition der Meinung folgende Malware erkannt zu haben: Heuristic.Lookslike.Trojan.Crypt.K
Alle anderen Scanner hatten an der Datei nichts auszusetzen. Meine erneute Suche im Internet brachte jetzt folgenden Board-Beitrag als einzigen Treffer: h**p://www.trojaner-board.de/73272-trojaner-der-explorer-exe.html
Leider konnte (oder wollte) ihm keiner helfen.

Ich vermute jedoch, dass irgendein Rootkit meinen Rechner zur Drohne gemacht hat und bitte deshalb um eure Hilfe. Bin gerne bereit weitere Tools zur Suche einzusetzen und auch einige Zeit zu investieren.

Malwarebytes Anti-Malware liefert folgendes Log:

Code:

Malwarebytes' Anti-Malware 1.38

Datenbank Version: 2403

Windows 5.1.2600 Service Pack 3
 

10.07.2009 21:10:14

mbam-log-2009-07-10 (21-10-14).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 128460

Laufzeit: 54 minute(s), 46 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hijack This liefert folgendes Ergebnis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:16:17, on 10.07.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

c:\Program Files\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe

c:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe

C:\WINDOWS\system32\mgabg.exe

C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Logitech\iTouch\iTouch.exe

C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Palm\Hotsync.exe

C:\Program Files\Secunia\PSI\psi.exe

D:\User-Daten\02_Shook\Desktop\Current Ports\cports.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\User-Daten\02_Shook\Desktop\Current Ports\IPNetInfo.exe

C:\WINDOWS\system32\NOTEPAD.EXE

L:\PortableApps\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WD Drive Manager] C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [HotSync] "C:\Program Files\PalmSource\Desktop\HotSync.exe" -AllUsers

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246887020955

O17 - HKLM\System\CCS\Services\Tcpip\..\{343E79A9-6A83-4C03-8C14-F8DEC143BDAC}: NameServer = 213.191.74.11,213.191.92.82

O17 - HKLM\System\CCS\Services\Tcpip\..\{56FD2CEA-997F-478D-90D9-6DE134B93B1C}: NameServer = 213.191.74.11 213.191.92.82

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - c:\Program Files\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe

O23 - Service: Matrox.Pdesk.ServicesHost - Matrox Graphics Inc - c:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
 

--

End of file - 5651 bytes

Und dass ist die Liste der installierten Software (aus Hijack This):

Code:

Adobe AIR

Adobe AIR

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

AudibleManager

Avira AntiVir Personal - Free Antivirus

Compatibility Pack for the 2007 Office system

Copy Handler 1.31beta-svn152

Critical Update for Windows Media Player 11 (KB959772)

Endless Mahjong

HashTab 3.0.0

HijackThis 2.0.2

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix for Windows Media Player 11 (KB939683)

Hotfix for Windows XP (KB952287)

Hotfix for Windows XP (KB961118)

Java(TM) 6 Update 13

Logitech iTouch-Software

Malwarebytes' Anti-Malware

Matrox Graphics Software (remove only)

Matrox PowerDesk-SE

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft .NET Framework 3.5 SP1

Microsoft Base Smart Card Cryptographic Service Provider Package

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office 2000 SR-1 Premium

Microsoft Office Converter Pack

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Microsoft Word 2000 SR-1

Mozilla Firefox (3.5)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

NetSpeedMonitor 2.4.2.0 x86

Palm Desktop by ACCESS

PDFCreator

Samsung ML-2010 Series

Secunia PSI

Security Update for Windows Media Player (KB952069)

Security Update for Windows Media Player 11 (KB936782)

Security Update for Windows Media Player 11 (KB954154)

Security Update for Windows XP (KB923561)

Security Update for Windows XP (KB923789)

Security Update for Windows XP (KB938464)

Security Update for Windows XP (KB938464-v2)

Security Update for Windows XP (KB941569)

Security Update for Windows XP (KB946648)

Security Update for Windows XP (KB950759)

Security Update for Windows XP (KB950760)

Security Update for Windows XP (KB950762)

Security Update for Windows XP (KB950974)

Security Update for Windows XP (KB951066)

Security Update for Windows XP (KB951376)

Security Update for Windows XP (KB951376-v2)

Security Update for Windows XP (KB951698)

Security Update for Windows XP (KB951748)

Security Update for Windows XP (KB952004)

Security Update for Windows XP (KB952954)

Security Update for Windows XP (KB953838)

Security Update for Windows XP (KB953839)

Security Update for Windows XP (KB954211)

Security Update for Windows XP (KB954459)

Security Update for Windows XP (KB954600)

Security Update for Windows XP (KB955069)

Security Update for Windows XP (KB956390)

Security Update for Windows XP (KB956391)

Security Update for Windows XP (KB956572)

Security Update for Windows XP (KB956802)

Security Update for Windows XP (KB956803)

Security Update for Windows XP (KB956841)

Security Update for Windows XP (KB957095)

Security Update for Windows XP (KB957097)

Security Update for Windows XP (KB958215)

Security Update for Windows XP (KB958644)

Security Update for Windows XP (KB958687)

Security Update for Windows XP (KB958690)

Security Update for Windows XP (KB959426)

Security Update for Windows XP (KB960225)

Security Update for Windows XP (KB960714)

Security Update for Windows XP (KB960715)

Security Update for Windows XP (KB960803)

Security Update for Windows XP (KB961373)

Security Update for Windows XP (KB961501)

Security Update for Windows XP (KB963027)

Security Update for Windows XP (KB968537)

Security Update for Windows XP (KB969897)

Security Update for Windows XP (KB969898)

Security Update for Windows XP (KB970238)

TeamViewer 4

TreeSize Free V2.3.3

Unlocker 1.8.7

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

Update for Windows XP (KB942763)

Update for Windows XP (KB943729)

Update for Windows XP (KB951072-v2)

Update for Windows XP (KB951978)

Update for Windows XP (KB955839)

Update for Windows XP (KB967715)

WD Diagnostics

WD Drive Manager (x86)

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Windows Media Player 11

Windows PowerShell(TM) 1.0

Windows PowerShell(TM) 1.0 MUI pack

Windows XP Service Pack 3

ZoneAlarm

Hallo Trojaner-Board-Helfer,

nachdem die Zieladresse auf turboliesel.planet-school.de "umgesprungen" ist, habe ich weitere Recherchen unternommen.
Alle Websites (turbo*.planet-school.de) verweisen auf die IP-Adresse 194.116.187.25. Eine Google-Suche mit dieser IP-Adresse als einzigen Suchbegriff ergab 150 Treffer, von denen mir 43 angezeigt wurden. In etlichen Treffern rühmten sich Leute in (Hacker-)Foren damit diverse Websites mit dieser IP-Adresse gehackt zu haben (Foren u.a. arabic-m.com, zone-h.net, zone-h.com).
Sind das weitere Hinweise auf einen Trojaner?

*******
Anmerkung

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2403

Du hast dein Malwarebytes nicht Aktualliesiert vor dem Scan
Es gibt bereits Version 1.39

Ende
*******

Ich hab den Hoster damals angeschrieben aber die wollten mich nicht auf dem
laufenden halten. Die dachten ja auch noch das es war bringen würde um einen
Trojaner zu entfernen einen Virenscanner zu installieren der jedoch auch bei
der vermutlichen Infektion schon bestand.

Ich habe derartige Verbindungen nicht mehr. Eventuell hat der Trojanerersteller alle Clients entfernt oder ich habe es damals manuelle irgendwie geschafft das Ding los zu werden. IP ist in meiner Hostdatei ebenfalls auf 127.0.0.1 umgeroutet.

Zitat:

Zitat von Adler-Wolf (Beitrag 450113)

*******
Anmerkung

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2403

Du hast dein Malwarebytes nicht Aktualliesiert vor dem Scan
Es gibt bereits Version 1.39

Ende
*******

Danke für den Hinweis, dass Malewarebytes _nach_ meinem Scan (man beachte das Datum) seine SW aktualisiert hat. Auch die neue Version hat nichts gefunden:

Code:

Malwarebytes' Anti-Malware 1.39

Datenbank Version: 2421

Windows 5.1.2600 Service Pack 3
 

23.07.2009 16:49:49

mbam-log-2009-07-23 (16-49-49).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|K:\|)

Durchsuchte Objekte: 149095

Laufzeit: 2 hour(s), 10 minute(s), 26 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Welche Maßnahmen kann ich noch ergreifen?

Hast du die Verbindung immer oder nur manchmal?

Kann man vielleicht mit einem Sniffer checken was da versendet wird?

Hallo,

hab mich extra hier angemeldet weil ich glaube die "Ursache" dafür gefunden zu haben. Nachdem mir das heute mittag selbst zum ersten mal aufgefallen ist und ich dann natürlich alles mögliche ausprobiert habe konnte ich es tatsächlich wieder reproduzieren und zwar so:

Ich benutze schon seit längerem das Programm NetSpeedMonitor ( w*w.floriangilles.com/software/ ), lässt man dieses nun nach Updates suchen und schaut sich dann die TCP-View Einträge an erscheint genau der oben beschriebene Eintrag (explorer.exe TCP turbolrrr.planet-school.de:http CLOSE_WAIT)

Und genau das gleiche Programm haben wir beide auch - nur ist es normal, dass man dann auch in der explorer.exe die Verbindung sieht?

Hm, da bin ich leider überfragt, beschäftige mich normal nicht mit sowas. Aber ich denke mal einer von den Experten hier müsste dazu was sagen können ?

Sollte das wirklich kein normales Verhalten sein könnte man mal beim Autor des Programms nachfragen, aber ich denke nicht dass es irgendwie schädlich/böse ist.

Hallo Herr xxxxxx,

Folgenden Kommentar können Sie im Forum posten:

Bei NetSpeedMonitor handelt es sich um eine Toolbar (nsm.dll), welche abgeschirmt innerhalb des explorer.exe Hostprozesses läuft. Der Hostprozess selber ist dabei für die Verwaltung und dessen Darstellung in der Taskleiste verantwortlich (siehe Konzept der dynamischen Bibliotheken in Windows). NetSpeedMonitor fragt in regelmäßigen Abständen die URL http://www.floriangilles.com/v/netspeedmonitor (Webhoster: planet-school.de / ps-webhosting.de) ab, ob eine neue Version des Programms verfügbar ist. Die automatische Updateüberprüfung kann in den Einstellungen problemlos deaktiviert werden. Ich kann ihnen hiermit versichern, dass NetSpeedMonitor keinen Trojaner oder ähnliche Methoden enthält, um Nutzerinformationen auszuspähen.

Viele Grüsse,
Florian

Zitat:

Zitat von xonic (Beitrag 450746)

Bei NetSpeedMonitor handelt es sich um eine Toolbar (nsm.dll), welche abgeschirmt innerhalb des explorer.exe Hostprozesses läuft. Der Hostprozess selber ist dabei für die Verwaltung und dessen Darstellung in der Taskleiste verantwortlich (siehe Konzept der dynamischen Bibliotheken in Windows). NetSpeedMonitor fragt in regelmäßigen Abständen die URL http://www.floriangilles.com/v/netspeedmonitor (Webhoster: planet-school.de / ps-webhosting.de) ab, ob eine neue Version des Programms verfügbar ist. Die automatische Updateüberprüfung kann in den Einstellungen problemlos deaktiviert werden. Ich kann ihnen hiermit versichern, dass NetSpeedMonitor keinen Trojaner oder ähnliche Methoden enthält, um Nutzerinformationen auszuspähen.

Dieses Verhalten von NetSpeedMonitor habe ich auch festgestellt, jedoch taucht dieser Zugriff bei meiner Firewall Zonealarm ausgehend vom Modul winlogon.exe auf und will auch auf die Website floriangilles.com zugreifen (nicht jedoch auf turbo*.planet-school.de). Beide Sites werden jedoch unter der selben IP-Adresse gehosted (194.116.187.25). Habe nun seit Tagen keinen weiteren Zugriffsversuch auf turbo*.planet-school.de verzeichnen können. Musste dafür aber feststellen, dass jeder Aufruf der Adresse www.floriangilles.de im Firefox (3.5.1) einen entsprechenden Sperreintrag (habe in Zonealarm die o.g. IP-Adresse als gesperrte Seite eingetragen) produziert, aber immer mit dem Verweis auf den Verursacher winlogon.exe (und nicht wie ich erwartet habe mit dem Verursacher firefox.exe).
Da die IP-Adresse von www.planet-school.de auch 194.116.187.11 lautet vermute ich eher, dass die IP-Adresse 194.116.187.25 wirklich gehackt wurde und dort entsprechende Schad-SW hinterlassen wurde, die durch den Verbindungsversuch von NetSpeedMonitor durch die Firewall auf mein System gelangt ist und sich immer noch geschickt verbergen kann. Werde deshalb nächstes Wochenende den Rechner neu aufsetzen.

Kannst ihn ja diesbezüglich nochmal anschreiben.

@Shook

Habs auch mal getestet.
Also bei mir erscheint im Firewall-Log eigentlich alles normal (soweit ich das beurteilen kann).
Bei Aufruf über den Browser landet firefox.exe im Log und bei Update-Versuch über das Programm ist es explorer.exe

Von winlogon keine Spur, die wollte auch noch nie Zugriff zum Internet :confused:

Zitat:

Zitat von Bundyfreak (Beitrag 451448)

Hats du Zonealarm Free genutzt dann würde ich es auch mal versuchen?

Danke für eure Antworten.

Zitat:

Zitat von Bundyfreak (Beitrag 451448)

Also bei mir erscheint im Firewall-Log eigentlich alles normal (soweit ich das beurteilen kann).
Bei Aufruf über den Browser landet firefox.exe im Log und bei Update-Versuch über das Programm ist es explorer.exe

Von winlogon keine Spur, die wollte auch noch nie Zugriff zum Internet :confused:

Also bei mir versucht z.Zt. nur noch winlogon.exe Verbindung zu floriangilles.com aufzunehmen.

Zitat:

Zitat von xonic (Beitrag 451440)

Kannst ihn ja diesbezüglich nochmal anschreiben.

Werde ich morgen tun.

So, weil ich heute viel Zeit hab dachte ich mir teste mal mit ein paar Scannern, so siehts aus:

Avast (offline): nichts gefunden :)
Spybot (offline): nichts gefunden :)
Eset (online): nichts gefunden :)
Kaspersky (online): nichts gefunden :)
Trend Micro (online): nichts gefunden :)

a-squared (offline): beschwert sich über 2 Dateien die zum Videoload-Manager von T-Online gehören den ich seit letzter Woche hab :rolleyes:

Code:

a-squared Free - Version 4.5

Letztes Update: 28.07.2009 17:37:46
 

Scan Einstellungen:
 

Scan Methode: Eigener Scan

Objekte: Speicher, Traces, C:\Programme\Videoload Manager, C:\Dokumente und Einstellungen\All Users

Archiv Scan: An

Heuristik: Aus

ADS Scan: An
 

Scan Beginn:        28.07.2009 18:06:10
 

C:\Programme\Videoload Manager\XEB\XCTFolder.dll         gefunden: Trojan.Generic!IK

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mpDRM\mpDRMHelper3.dll         gefunden: Adware.Win32.Agent.kkj!A2
 

Gescannt
 

Dateien:         3913

Traces:         552420

Cookies:         0

Prozesse:         23
 

Gefunden
 

Dateien:         2

Traces:         0

Cookies:         0

Prozesse:         0

Registry Keys:         0
 

Scan Ende:        28.07.2009 18:11:18

Scan Zeit:        0:05:08

Wenn ihr wollt poste ich auch noch ein HJT-Log, oder müsste ich dann extra einen neuen Thread eröffnen ?