PC will zum start ins Internet |
||
---|---|---|
#0
| ||
08.02.2006, 17:01
...neu hier
Beiträge: 4 |
||
|
||
08.02.2006, 17:20
Member
Beiträge: 1132 |
#2
Kannst Du identifizieren, welcher Prozess das ist?
Könnte es sein, dass es sich um den Auto-Updater von Sophos-Antivir handelt? Lade Dir mal TCPView herunter und schaue nach, welche Programme mit dem Inet Verbindung aufnehmen wenn Du online gehst. http://www.sysinternals.com/Utilities/TcpView.html Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
08.02.2006, 19:44
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Heron,
sieht bei mir wohl leider wie ein Trojaner aus. Zone Alarm sperrt jetzt öfters den Internetzugriff (Port-Scans?) auf meinen Rechner. Wieso nur schafft es die Antivirensoftware nicht den Schädling ausfindig zu machen? Und: Eigentlich müsste doch neuer Schadcode aus dem Netz geladen werden, aber hiervon keine Spur? Neuaufsetzen oder kämpfen??? TCPVIEW meldet: TCP off:1097 off:0 LISTENING TCP off:1125 off:0 LISTENING TCP off:5000 off:0 LISTENING TCP off:1096 off:0 LISTENING TCP off:1096 localhost:1097 ESTABLISHED TCP off:1097 localhost:1096 ESTABLISHED TCP off:62514 off:0 LISTENING TCP dialin-212-144-061-208.pools.arcor-ip.net:nbsession off:0 LISTENING TCP dialin-212-144-061-208.pools.arcor-ip.net:1125 66-193-254-46.gen.twtelecom.net:80 ESTABLISHED TCP dialin-212-144-061-208.pools.arcor-ip.net:1132 dd3012.kasserver.com:80 TIME_WAIT UDP off:62514 *:* UDP dialin-212-144-061-208.pools.arcor-ip.net:nbname *:* UDP dialin-212-144-061-208.pools.arcor-ip.net:nbdatagram *:* UDP dialin-212-144-061-208.pools.arcor-ip.net:1900 *:* |
|
|
||
08.02.2006, 19:59
Member
Beiträge: 1132 |
#4
Du hast leider die Prozesse nicht mitgepostet. Öffne TCPView nochmal und speichere (=> File => Save as) das Log als txt-Datei und poste dann den kompletten Inhalt dieses Files.
Die "Angriffe" von außen auf Deinen Rechner finden statt mit und ohne vorheriger Trojaner-Infektion. Kannst Du nicht im Zone-Alarm-Log sehen, welcher Prozess da ins Inet will? Falls noch nicht geschehen, dann stelle die Firewall auf Lernmodus ein, so kannst Du eventuell dadurch den fraglichen Prozess aufspüren. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
08.02.2006, 21:58
...neu hier
Themenstarter Beiträge: 4 |
#5
Also irgendwie verliere ich die Übersicht:
Also direkt am Start sagt Zonealarm, dass der Internet Explorer ins Netz gehen möchte (Ziel-IP: 239.255.255.250: Port 1900). Bei TcpView werden bei mir die Prozesse nicht angezeigt. Mit einem anderen Tool von der gleichen Seite (TDImon) bekomme ich folgende Ausgabe: 0.00000000 Firefox C172FEF0 TDI_EVENT_DISCONNECT TCP:0.0.0.0:1064 208.185.174.44:80 SUCCESS RELEASE und 48.62490720 Explorer C173D1B0 TDI_CLOSE_ADDRESS UDP:212.144.32.31:1079 SUCCESS und 510.98503200 Vsmon D76C5EB0 TDI_SET_EVENT UDP:0.0.0.0:1097 SUCCESS Datagram Receive Event "Vsmon": sagt Dir das was? Nachtrag: Hier ist noch ein Überblick über meinen Autostart-Ordner: RegCleaner 4.3 by Jouni Vuorio These programs are run everytime you start your computer. Try to keep this list as short as possible [syntax: Program, Filename, Loaded from ] *StateMgr, C:\WINDOWS\System\Restore\StateMgr.exe, HKEY_LM\RunServices Autoupdate Monitor, N/A, Start Menu BDMCon, C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe, HKEY_LM\Run BDNewsAgent, C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe, HKEY_LM\Run BitDefender Communicator, C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe, HKEY_LM\RunServices BitDefender Live! Init, C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe, HKEY_LM\RunServices BitDefender Scan Server, C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe, HKEY_LM\RunServices CAPI Control, N/A, Start Menu Cvpnd, "C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe" Start, HKEY_LM\RunServices FinePrint Dispatcher V5, C:\WINDOWS\SYSTEM\fpdisp5a.exe, HKEY_LM\Run HPDJ Taskbar Utility, C:\WINDOWS\SYSTEM\hpztsb05.exe, HKEY_LM\Run Kb891711, C:\windows\system\kb891711\kb891711.exe, HKEY_LM\RunServices LoadPowerProfile, Rundll32.exe Powrprof.dll,LoadCurrentPwrScheme, HKEY_LM\Run LoadPowerProfile, Rundll32.exe Powrprof.dll,LoadCurrentPwrScheme, HKEY_LM\RunServices Microsoft Office, N/A, Start Menu Monitor Apache Servers, N/A, Start Menu NvCplDaemon, RUNDLL32.EXE NvQTwk,NvCplDaemon Initialize, HKEY_LM\Run Nwiz, Nwiz.exe /install, HKEY_LM\Run PCHealth, C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s, HKEY_LM\Run PLoader, C:\program Files\umsd Tools\umsd.exe Sys_auto_run C:\PROGRAM FILES\UMSD TOOLS, HKEY_LM\Run ScanRegistry, C:\WINDOWS\scanregw.exe /autorun, HKEY_LM\Run SchedulingAgent, Mstask.exe, HKEY_LM\RunServices SiSAudio, C:\WINDOWS\system\MP_S3.exe, HKEY_LM\Run Sophos AutoUpdate, C:\Programme\Sophos\AutoUpdate\alsvc.exe, HKEY_LM\Run Ssdpsrv, C:\WINDOWS\SYSTEM\ssdpsrv.exe, HKEY_LM\RunServices StillImageMonitor, C:\windows\system\stimon.exe, HKEY_LM\RunServices Sunkist, C:\Programme\Multimedia Card Reader\shwicon98.exe, HKEY_LM\Run Sweep95, C:\Programme\Sophos\Sophos Anti-Virus\ICLOAD95.EXE, HKEY_LM\RunServices SystemTray, SysTray.Exe, HKEY_LM\Run TaskMonitor, C:\WINDOWS\taskmon.exe, HKEY_LM\Run TkBellExe, "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot, HKEY_LM\Run TrueVector, C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service, HKEY_LM\RunServices WinampAgent, "C:\PROGRAMME\WINAMP\WINAMPa.exe", HKEY_LM\Run Zone Labs Client, C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe, HKEY_LM\Run Gruss Götz Dieser Beitrag wurde am 08.02.2006 um 22:04 Uhr von aachen2006 editiert.
|
|
|
||
09.02.2006, 00:46
Ehrenmitglied
Beiträge: 29434 |
#6
"vsmon.exe" gehört zur ZoneAlarm Personal Firewall
Der will wahrscheinlich gleich beim Hochfahren ins net __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2006, 07:56
Member
Beiträge: 1132 |
#7
Es ist so, wie Sabina schreibt.
Kenne mich leider mit Zone Alarm nicht aus. Es könnte aber sein, dass ZA beim Hochfahren eine DNS-Abfrage starten oder nach Updates im Net suchen will. Wenn Du das nicht willst, dann blocke vsmon.exe ganz einfach komplett und der Spuk sollte beendet sein. Ansonsten vsmon.exe einfach den Zugriff erlauben. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 09.02.2006 um 08:32 Uhr von Heron editiert.
|
|
|
||
09.02.2006, 10:43
...neu hier
Themenstarter Beiträge: 4 |
#8
Hallo,
jetzt hat sich das Problem verflüchtigt. Neben Zonealarm wollte auch der Real-Player ins Netz gehen (Auto-Update-Funktion). Für Eure Hilfe bedanke ich mich ganz herzlich. Beste Grüsse Götz |
|
|
||
10.02.2006, 17:45
...neu hier
Beiträge: 2 |
#9
probiere mal ewido,das ist ein trojaner checker und ist eine testversion.lg:scrubs
|
|
|
||
ich habe seit einigen Tagen folgendes Problem:
Nach dem ich einen Trojaner von der Festplatte gelöscht habe, versucht immer noch irgendein Programm direkt beim Start ins Internet zu gehen. Die Autostart-Einträge habe ich alle kontrolliert und teilweise deaktiviert, aber keine Besserung. Mehrere Viren/Trojaner/Malware-Scanner (Antivir, Sophos, escan, spybot, adaware, stinger ...) haben nichts gefunden. Meine Frage: Was steckt dahinter? Ist da immer noch ein Trojaner am Werk?
Hijack schicke ich mal mit; eine Auto-Auswertung bei hijackthis.de ergab aber nix Verdächtiges.
Für alle Antworten vielen Dank.
Logfile of HijackThis v1.99.1
Scan saved at 08:57:32, on 07.02.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\RWTH AACHEN\CISCO VPN CLIENT\CVPND.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SOPHOS\SOPHOS ANTI-VIRUS\ICSUPP95.EXE
C:\PROGRAM FILES\UMSD TOOLS\UMSD.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\FPDISP5A.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\PROGRAMME\SOPHOS\AUTOUPDATE\ALSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\EUMEX 404PC\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SOPHOS\AUTOUPDATE\ALMON.EXE
C:\PROGRAMME\APACHE GROUP\APACHE2\BIN\APACHEMONITOR.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\DESKTOP\SYS TOOLS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd tools\umsd.exe sys_auto_run C:\PROGRAM FILES\UMSD TOOLS
O4 - HKLM\..\Run: [SiSAudio] C:\WINDOWS\system\MP_S3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Sunkist] C:\Programme\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [Sophos AutoUpdate] C:\Programme\Sophos\AutoUpdate\alsvc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos\Sophos Anti-Virus\ICLOAD95.EXE
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe" start
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\Capictrl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: autoupdate monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Startup: monitor apache servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\PROGRAMME\TRUEDOWNLOADER\TrueDownloader.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: concept/design's onlineTV - {538DBFBE-6FC0-4473-BF2B-450AFCF6011F} - C:\PROGRAMME\ONLINETV\ONLINETV.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/2726bb7f6fe2f0a0a705/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab