Wie erkenne ich ob mein PC einen Virus oder Trojaner hat?

#0
09.09.2004, 21:42
...neu hier

Beiträge: 3
#1 Hallo !

Meine Norton Firewall sagt mir das TFTP.exe und alg.exe auf das Internet zugreifen wollen !

Denke ich hab mir was eingefangen.

Erklärung:

Habe gestern meine Firewall für 2 Minuten ausgeschaltet,weil ein Download nicht funktionierte.Habe sie dann wieder aktiviert und bekam sofort die Meldung das tftp.exe eine Vierbunding ins Internet aufbauen will.

Habe diese geblockt und bin dann auf die Arbeit.

Gestern Abend versucht etwas herauszubekommen, aber nicht wirklich schlauer geworden.

Im system32 Ordner eine Datei gesucht die zu dieser Uhrzeit geändert wurde und auch eine gefunden und gelöscht.Weiss leider nicht mehr den Namen.

Dann mit der suche nach tftp gesucht und eine Datei mit tftp und ein paar nummern im Prefetch ordner gefunden und gelöscht.

Das prog tftp.exe aus der Programmerkennung gelöscht und bis heute keine Meldung von NIS bekommen.(wegen neuem versuch zu verbinden)

binn dann nach langem suchen in diesem Board gelandet und habe ein wenig nachgelesen.Plötzlich kam eine Meldung das alg.exe auf das Internet zugreifen will.habe dies geblockt.

Im Prefetch eine datei alg und wieder ein paar nummern gefunden und gelöscht.

Habe zwischendürch natürlich immer mal neu gestartet !

Habe im Taskmanager jetzt immer nach Neustart alg.exe laufen.beende es dann sofort!

Bin mir sicher das alg.exe und tftp.exe vorher nie im TM waren und auch nicht ins Internet wollten.

Bitte euch dringend um HILFE ! Muss unbedingt Geld überweisen und habe jetzt ein wenig angst das da was auf meinem Rechner ist was da nicht hingehört !

Habe Win Xp Prof., Norten Internet security 2004, ad-aware, spy-bot !

Alles auf höchste Sicherheitsstufe, finde aber trotzdem nichts auf meinem Rechner !

Mein Netzwerk funtioniert auch nicht mehr !

Habe keine Lust mehr zu Formatieren und den ganzen Mist wieder zu insallieren!

Habe das in den letzten 2-3 Wochen ca. 10 Mal gemacht bei 2 Rechnern.

Hatte erst 2 Plattenschäden innerhalb von 10 Min. und dabei ca. 160 GB. an
Bildern,Texten,Spielen,Filmen und Musik verloren. 2 Tage später ging meine 300 Euro teure Grafikkarte kaputt.
Hab dann vor lauter Verzweiflung meinen 1100 Ahtlon wieder zusammengebaut, um nur noch diesen fürs Internet zu nutzen.

Hab dann 2 Neue 160 GB. Platten und ne neue Grafikkarte gekauft und meinen Athlon 2200 XP wieder fit gemacht alles neu Installiert.Eine 160 GB. Platte in meinen 1100er gebaut und dann wieder einige Tage und Nächte an diesem verbracht.Etliche mal Formatiert,Installiert,Windows defekt wieder alles von vorne,dann lies sich nichts mehr formatieren oder installieren dann mal wieder und nach dem ersten Neustart fuhr der Rechner nicht mehr hoch............usw. Das alles einige mal.Hab dann meine PS2 Festplatte in den Rechner gebaut,formatiert,alles installiert und eingestellt und war dann nach 2-3 Wochen Ärger glücklich, das beide Rechner wieder voll fit waren.

Fazit: Die eine Nagelneue Festplatte hat ne Macke !!!

Wollte dann ne DVD schauen und hab dann festgestellt das mein Regioncode vom Brenner auf USA umgestellt war und auch nicht mehr zu ändern ging.

Hab dann eine Firmware gefunden, die es mir erlaubt den Code so oft ich will zu ändern.Wollte diese dann Runterladen, doch bekam immer eine Fehlermeldung.Hab dann Die Firewall für knapp 2 Min. ausgeschaltet und die Firmware gezogen, Firewall wieder an und dann hatte ich den ganzen Mist, den ich euch oben beschrieben hab. ;) ;)

Wollte gestern Abend ne Sicherung vom System machen, aber so nicht !!

Hätte ich die doch blos vorher gemacht ;)

Meine Freundinn ist auch schon voll sauer, weil ich seit 3 Wochen fasst jeden Tag vor dem Rechner hänge !!

Brauche dringend eure Hilfe!!!

Schon mal vielen Dank im vorraus !
Seitenanfang Seitenende
09.09.2004, 22:52
Member

Beiträge: 38
#2 Hallo,

alg.exe und tftp.exe sind Teile des Betriebssystems und erstmal keine schädlichen Programme. Es ist daher keine gute Idee, die Prozesse einfach mit dem Task-Manager abzuschießen. tftp.exe kam mal ins Gerede, weil verschiedene Würmer diesen prozess ausnutzten, z.B. Lovsan, Welchia und andere. Was du so schreibst, läßt einen Schluß auf eine Infektion mit diesen Würmern nicht zu. Auch die zersemmelte Hardware nicht. Ich tippe daher zur Zeit darauf, dass andere Probleme vorliegen und dich NIS nur kirre macht.

Um sicher zu gehen, solltest du ein HijackThis-Logfile machen und hier posten. Wie's geht steht hier:

http://hjt.klaffke.de/

Achte darauf, dass du evtl. persönliche Daten z.B. Namen in "eigene Dateien" etc. vor dem Posten unkenntlich machst.
Seitenanfang Seitenende
09.09.2004, 23:08
Member
Avatar Ajax

Beiträge: 890
#3 > tftp.exe firmware update program
Desweiteren bitte hier weiterlesen.
> alg.exe

Zitat

Application Layer Gateway service. Unterstützung für Internetverbindung für jede Art von Programmen (auch dem Betriebssystem). Internet Connection Sharing/Internet Connection Firewall. Sollte nicht beendet werden, ansonsten werden alle Internetverbindungen gekappt (bis zum nächsten Neustart oder Login).

Wichtig: Die Datei "alg.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei alg.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager
Gruß
Ajax
Seitenanfang Seitenende
09.09.2004, 23:27
Member

Beiträge: 38
#4 Hmm, Blaster & Co. zerbröseln normalerweise keine Festplatten oder Grafikkarten. Von den typischen Symptomen habe ich nichts gelesen.

Zitat

Die Datei "alg.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei alg.exe um einen Virus, Spyware, Trojaner oder Worm!
Deshalb HJT.
Seitenanfang Seitenende
10.09.2004, 00:02
Member
Avatar Ajax

Beiträge: 890
#5

Zitat

Hmm, Blaster & Co. zerbröseln normalerweise keine Festplatten oder Grafikkarten.
Hat auch niemand behauptet.
Es sollte ein Hinweis dafür sein daß dieser Dienst auch ausgenutzt werden kann.
Seitenanfang Seitenende
10.09.2004, 00:04
...neu hier

Themenstarter

Beiträge: 3
#6 Hallo !

Erstmal Danke für eure Antworten!!!

Nein, nein.Das mit den Hardwareschäden war vor dem ganzen passiert!!

Habe damit nur erleutern wollen, das ich seit einiger Zeit arge Probleme mit meinen beiden Rechnern hatte.

War froh, das ich dies wieder in den Griff bekommen habe.

Doch dann kam so was !

@MobyDuck

Habe den Rechner 4 Tage lang laufen lassen und mir sind diese beiden Dateien
nicht aufgefallen!

Erst nach der Fehlermeldung war alg.exe im Taskmanager zu finden!

Hab Norton zwar ziemlich scharf eingestellt, doch wollte vorher noch nie eines der beiden Progs mit dem Internet verbinden.

@Ajax

Was in deinem Zitat steht, trifft bei mir nicht zu!

Bin mit T-Online im Netz habe dann alg.exe beendet und es ist rein garnichts passiert. Sogar mein e-Mule zieht lustig weiter und das besser wie die letzten Tage.Komisch ;)

Hier ein Log von gestern.

Logfile of HijackThis v1.98.2
Scan saved at 23:25:15, on 08.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Kopier-Tools\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Internet\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Internet\T-DSL SpeedManager\tsmsvc.exe
C:\Internet\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Internet\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Internet\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Internet\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Internet\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Internet\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Internet\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Kopier-Tools\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Internet\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Internet\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [CloneCDTray] "C:\Kopier-Tools\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Internet\Spybot - Search & Destroy\TeaTimer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0FF408F-2085-4A6A-AA2A-A99675032538}: NameServer = 217.237.150.33 194.25.2.129


Wenn ich ein Neues Log mache, dann am besten nach einem Neustart, oder ?

Soll ich den Rechner normal starten oder agesichert ?

Danke !




Hallo !

Weiss denn sonst keiner was dazu? ;)

Hat alg.exe vielleicht was mit meinem Netzwerk zu tun?

Danke
Dieser Beitrag wurde am 10.09.2004 um 12:20 Uhr von alijolko editiert.
Seitenanfang Seitenende
10.09.2004, 13:36
Member

Beiträge: 38
#7 Hallo,

in den laufenden Prozessen sehe ich nichts auffälliges.
Du könntest allenfalls mal ein wenig dein Log aufräumen,
Anleitung: http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Alg.exe:

Zitat

Application Layer Gateway Service Description: Part of Internet Connection Sharing application and Internet Connection Firewall for Windows XP. This service provides support for third party protocol plug-ins for the Internet Connection Sharing application and Internet Connection Firewall.
Seitenanfang Seitenende
10.09.2004, 19:55
Member

Beiträge: 441
#8 @ alijolko

Mir fällt auf, daß dein System nicht gepacht ist!

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
10.09.2004, 23:30
...neu hier

Themenstarter

Beiträge: 3
#9 Hallo !

Hab eben ein neues log erstellt, kann da nochmal jemand durchschauen und mir sagen was OK ist oder was ich ändern muss !

Könnt ihr mal schauen ob bei euch im Taskmanager alg.exe auch mitläuft wenn ihr im Netz seid?

Vielen Dank für die Bemühungen !!! ;)
Seitenanfang Seitenende
11.09.2004, 00:10
Member

Beiträge: 38
#10 Hallo alijolko,
sorry, aber du liest nicht sorgfältig.

Zitat

Könnt ihr mal schauen ob bei euch im Taskmanager alg.exe auch mitläuft wenn ihr im Netz seid
Natürlich, siehe oben.

Wäre es nicht eine Idee, auch mal die Updates zu installieren, s. Beitrag von Cidre.
Seitenanfang Seitenende
11.09.2004, 12:31
Member

Beiträge: 69
#11 @ alijolko,

http://www.google.de/search?hl=de&ie=UTF-8&q=alg.exe&btnG=Google-Suche&meta=

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Seitenanfang Seitenende
19.11.2004, 13:51
...neu hier

Beiträge: 2
#12 Die “alg.exe” ( Application Layer Gateway Service) stammt von Microsoft.
Zum einen ist sie Teil der Internet Connection Sharing (ICS).
Im Klartext:
Die “alg.exe” wirkt mit, wenn mehrere Computer eine einzelne Internetverbindung nutzen.
Zum Anderen ist Sie Teil der Internetverbindungsfirewall (ICF) .
Im Zusammenhang mit der Alg.exe, stelle ich hier einen Link zu einer englischsprachigen “msdn - Seite” zur Verfügung. Auf dieser Seite ist eine Tabelle zu finden, in der Windows XP Internet Connection Security Components zu finden sind:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/xpehelp/html/xetbsinternetconnectionsecuritycomponents.asp

Also zu meiner Kite kann ich nur sagen, daß es mitläuft und das schon seit anfang an! also: Take a breathe on this Systemfile!

Hoffe es hift zur Beruhigung - bleiben aber immer noch die fehlenden Patches (s.cidre)

bye
__________
In UNIXland:In silent nights you can hear Windows shutting up&down all the time! ;-)
Seitenanfang Seitenende