Home » Spyware & Browser Hijacker Support Forum » Unerklärlicher Datenstrom » Themenansicht

Unerklärlicher Datenstrom
#0
14.08.2004, 22:04
Saionji
...neu hier

Beiträge: 3
#1 Tja immer wenn ich mich auch nur ins Internet einlogge, bekomme ich Datentransfer...nicht unbedingt sehr hohen...aber ich glaub nicht das es normal ist. Ich hatte schon die letzten 24 Stunden allerlei an Viren entfernt etc. Davon einiges Hartnäckiges wie zum beispiel eine msnmsg.exe (oder so ähnlich) die immer wiederkehrte.
Nunja als Beispiel..nach 2:19 ohne was zu machen(kein Surfen..kein icq.. nichts halts) ungefähr 25k gesendete bytes und 55k empfangene. Bilde ich mir da jetzt nur was ein oder ist es tatsächlich bedenklich? (Weiterer Zwischenstand: 5min 40kb gesendet 100kb empfangen..
naja aufjedenfall hier mal mein LOG:Logfile of HijackThis v1.98.2
Scan saved at 21:44:06, on 14.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\Programme\a2\a2guard.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
C:\FIREFO~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\Saionji\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C67A22F-4363-4704-B0DD-003913811A0B}: NameServer = 217.237.149.161 194.25.2.129

Danke im Vorraus :)

EDIT: Ich hoffe ich bin im richtigen Forum.. und verzeiht meinen verpeilten Schreibstil momentan. Ich bin bissl nervlich fertig weil ich schon seid einem Tag am PC fummel um dies und das wegzubekommen XD
Dieser Beitrag wurde am 14.08.2004 um 22:08 Uhr von Saionji editiert.
Seitenanfang Seitenende
14.08.2004, 22:16
unbenannt
Member

Beiträge: 28
#2 sieht doch gut aus, kannst du hier auch mal selbst nachsehen,
http://www.hijackthis.de/index.php

kannst ja auch mal Ad-Aware 6.0 http://www.vollversion.de/download/ad_aware_60_1519.html

Spybot Search & Destroy 1.2
http://www.vollversion.de/downloads/1398.html Immunisieren nicht vergessen.
und
CWS Shredder
http://www.xp-tipps-tricks.de/Downloads-index-req-viewdownloaddetails-lid-186-ttitle-CWS_Shredder.html
.
runter laden
dann noch sehen ob ein update vorhanden ist
und es durch laufen lassen, am besten im abgesicherten Modus.
hast du eigentlich schon eine firewall? da sollte man auch mal drüber nachdenken.


gruß
Dieser Beitrag wurde am 14.08.2004 um 22:19 Uhr von unbenannt editiert.
Seitenanfang Seitenende
14.08.2004, 22:26
Saionji
...neu hier

Themenstarter

Beiträge: 3
#3 okay dann gehe ich mal davon aus das bei mir nun alles normal ist... zumal ich jedes Programm (a², Spybot S&D, Ad Aware, Spy hunter, Security Manager, HijackThis,CWS Shredder und NAV) nun hab durchlaufen lassen.

Wobei mir ein Eintrag noch sorgen macht - und zwar dieser:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

Wird bei der Automatischen Auswertung meines Logs auch als fraglich makiert.
Seitenanfang Seitenende
14.08.2004, 22:32
unbenannt
Member

Beiträge: 28
#4 dann schaue mal hier nach und entscheide selbst,

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html


ps: weg damit, mußt du aber selbst wissen.
pss: mit einer firewall kannst du den datenstrom auch sehr gut kontrollieren.
Dieser Beitrag wurde am 14.08.2004 um 22:42 Uhr von unbenannt editiert.
Seitenanfang Seitenende
15.08.2004, 00:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@Saionji ;)

Fixe bitte den
O4 - HKLM\..\Run: [SpyHunter] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
neustarten

The following programs are not recommended because they install spyware themselves, just aren't any good at fixing spyware, or somewhere in between.
SpyHunter (enigmasoftwaregroup.com\spywareremove.com\spybot-spyware.com\

Dann deinstalliere das Tool und entferne alle Eintraege mit der Suchfunktion von Windows und in der Registry.

#Falls du keinen Router oder Firewall hast, lade Sygate
http://smb.sygate.com/products/spf_standard.htm
fuehre dann alle Tests hier durch:
http://scan.sygatetech.com/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.08.2004 um 00:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.08.2004, 01:01
unbenannt
Member

Beiträge: 28
#6 die erklärungen zu den 04 einträgen findest du hier
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html#o4

und alles andere ist dann hier beschrieben
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
wenn du den eintrag anklickst.
Seitenanfang Seitenende
15.08.2004, 01:53
Saionji
...neu hier

Themenstarter

Beiträge: 3
#7 Habsch gemacht. Log sieht jetzt so aus:
Logfile of HijackThis v1.98.2
Scan saved at 01:53:12, on 15.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\Programme\a2\a2guard.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\Outlook Express\msimn.exe
D:\WINDOWS\System32\cmd.exe
C:\FIREFO~1\FIREFOX.EXE
D:\eMule\emule.exe
D:\Dokumente und Einstellungen\Saionji\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C67A22F-4363-4704-B0DD-003913811A0B}: NameServer = 217.237.149.161 194.25.2.129

dürfte nix mehr sein ;) Ich hoffe mein PC ist jetzt sicher.
Seitenanfang Seitenende
15.08.2004, 02:01
unbenannt
Member

Beiträge: 28
#8 na das ist doch bestens,
und was macht die firewall?
Seitenanfang Seitenende
18.08.2004, 20:16
Kito0815
Member

Beiträge: 26
#9 Hallo Leute

Auch bei mir flackert im 5 Secundentakt die Datentransfer LED,habe meinen Rechner vor einem Monat neu aufgesetzt.Anschließend Xp pro,sp1 und Updates aufgespielt und war bis aufs erste Mal nur mit Firefox im Netz. Am Anfang war die LED nur beim Seitenwechseln oder Downloaden in Betrieb,aber mittlerweile leider nicht mehr.Die Datenmengen für Down und Upload sind zwar minimal,aber die Frage ist,wohin gehen die Bytes oder wer besucht mich?
Ich habe NIS2004 installiert und Trojancheck6,prüfe regelmäßig mit Kaspersky,Spybot und AdAware,
alle Programme sind auf dem neusten Stand und finden nichts.
Mein HiJack Log habe ich versucht,so gut wie möglich zu analysieren,habe aber irgendwie nichts wirklich verdächtiges gefunden und auch die automatische Auswertung ergab nichts.
Könnte wohl mal einer von euch mein Log checken?
Kennt einer Programme,mit denen man diesen Datentransfer unterbindet oder das mir anzeigt wohin die Bytes verschwinden?

Logfile of HijackThis v1.98.2
Scan saved at 21:07:00, on 16.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\frnDSL\frnDSL.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Downloads\HijackThis1.98.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{19EBEA8C-0EA2-48BC-BE84-FDBF3D83C4DC}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{19EBEA8C-0EA2-48BC-BE84-FDBF3D83C4DC}: NameServer = 194.97.173.124 194.97.173.125


Danke schon mal im voraus

Gruß kito
Seitenanfang Seitenende
18.08.2004, 22:50
Cidre
Member

Beiträge: 441
#10 @ Kito

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach Virus Log Information.

Zitat

Kennt einer Programme,mit denen man diesen Datentransfer unterbindet oder das mir anzeigt wohin die Bytes verschwinden?
TCPView zeigt während einer aktiven Online-Sitzung alle Verbindungen ins Internet an, die über das TCP/UDP-Protokoll laufen.
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
19.08.2004, 20:57
Kito0815
Member

Beiträge: 26
#11 Hallo Cidre

Habe mich gleich drangesetzt und Deine Antwort in die Tat umgesetzt,das Protokoll sieht folgendermaßen aus:

File C:\Downloads\HijackThis1.981\log.alexander\hijackthis.log infected by"Exploit.HMTL.Mht"Virus.Action Taken: File Renamed
File C.\Downloads\netpumper\netpumper\-1.20.1-setup.exe infected by"not-a-Virus:AdvWare.SaveNow.v"Virus.Action Taken: File Renamed

Zu dem ersten Eintrag muß ich sagen,daß es ein log ist,das ich von einem Arbeitskolgen via E-Mail zum Checken bekommen habe.

Meinst Du,daß es an den Einträgen liegen könnte?
TcpView habe ich mir runtergeladen und installiert,danke für den link,werde mich jetzt mal genauer damit beschäftigen.

Bin schon gespannt auf Deine Antwort
Gruß kito
Seitenanfang Seitenende
19.08.2004, 21:08
Cidre
Member

Beiträge: 441
#12

Zitat

Meinst Du,daß es an den Einträgen liegen könnte?
Nein, daran liegt es nicht.

Welche Seiten hast du eigentlich geöffnet, bezüglich

Zitat

Auch bei mir flackert im 5 Secundentakt die Datentransfer LED
Möglicherweise wird alle 5 Sekunden ein Refresh der Seite durchgeführt.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
19.08.2004, 21:13
Kito0815
Member

Beiträge: 26
#13 Hallo

Im Moment habe ich nur die Seite offen.
TcpView in rot immer wieder mal folgendes an:
[System Process]:0 TCP ass-fpsomt8yczl:1028 localhost:1177 TIME_WAIT
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1