PC will zum start ins Internet

#0
08.02.2006, 17:01
...neu hier

Beiträge: 4
#1 Hallo zusammen,
ich habe seit einigen Tagen folgendes Problem:
Nach dem ich einen Trojaner von der Festplatte gelöscht habe, versucht immer noch irgendein Programm direkt beim Start ins Internet zu gehen. Die Autostart-Einträge habe ich alle kontrolliert und teilweise deaktiviert, aber keine Besserung. Mehrere Viren/Trojaner/Malware-Scanner (Antivir, Sophos, escan, spybot, adaware, stinger ...) haben nichts gefunden. Meine Frage: Was steckt dahinter? Ist da immer noch ein Trojaner am Werk?
Hijack schicke ich mal mit; eine Auto-Auswertung bei hijackthis.de ergab aber nix Verdächtiges.
Für alle Antworten vielen Dank.

Logfile of HijackThis v1.99.1
Scan saved at 08:57:32, on 07.02.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\RWTH AACHEN\CISCO VPN CLIENT\CVPND.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SOPHOS\SOPHOS ANTI-VIRUS\ICSUPP95.EXE
C:\PROGRAM FILES\UMSD TOOLS\UMSD.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\FPDISP5A.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\PROGRAMME\SOPHOS\AUTOUPDATE\ALSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\EUMEX 404PC\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SOPHOS\AUTOUPDATE\ALMON.EXE
C:\PROGRAMME\APACHE GROUP\APACHE2\BIN\APACHEMONITOR.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\DESKTOP\SYS TOOLS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd tools\umsd.exe sys_auto_run C:\PROGRAM FILES\UMSD TOOLS
O4 - HKLM\..\Run: [SiSAudio] C:\WINDOWS\system\MP_S3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Sunkist] C:\Programme\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [Sophos AutoUpdate] C:\Programme\Sophos\AutoUpdate\alsvc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos\Sophos Anti-Virus\ICLOAD95.EXE
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe" start
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\Capictrl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: autoupdate monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Startup: monitor apache servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\PROGRAMME\TRUEDOWNLOADER\TrueDownloader.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: concept/design's onlineTV - {538DBFBE-6FC0-4473-BF2B-450AFCF6011F} - C:\PROGRAMME\ONLINETV\ONLINETV.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/2726bb7f6fe2f0a0a705/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
Seitenanfang Seitenende
08.02.2006, 17:20
Member

Beiträge: 1132
#2 Kannst Du identifizieren, welcher Prozess das ist?
Könnte es sein, dass es sich um den Auto-Updater von Sophos-Antivir handelt?

Lade Dir mal TCPView herunter und schaue nach, welche Programme mit dem Inet Verbindung aufnehmen wenn Du online gehst.
http://www.sysinternals.com/Utilities/TcpView.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
08.02.2006, 19:44
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Heron,
sieht bei mir wohl leider wie ein Trojaner aus. Zone Alarm sperrt jetzt öfters den Internetzugriff (Port-Scans?) auf meinen Rechner.
Wieso nur schafft es die Antivirensoftware nicht den Schädling ausfindig zu machen? Und: Eigentlich müsste doch neuer Schadcode aus dem Netz geladen werden, aber hiervon keine Spur?
Neuaufsetzen oder kämpfen???

TCPVIEW meldet:

TCP off:1097 off:0 LISTENING
TCP off:1125 off:0 LISTENING
TCP off:5000 off:0 LISTENING
TCP off:1096 off:0 LISTENING
TCP off:1096 localhost:1097 ESTABLISHED
TCP off:1097 localhost:1096 ESTABLISHED
TCP off:62514 off:0 LISTENING
TCP dialin-212-144-061-208.pools.arcor-ip.net:nbsession off:0 LISTENING
TCP dialin-212-144-061-208.pools.arcor-ip.net:1125 66-193-254-46.gen.twtelecom.net:80 ESTABLISHED
TCP dialin-212-144-061-208.pools.arcor-ip.net:1132 dd3012.kasserver.com:80 TIME_WAIT
UDP off:62514 *:*
UDP dialin-212-144-061-208.pools.arcor-ip.net:nbname *:*
UDP dialin-212-144-061-208.pools.arcor-ip.net:nbdatagram *:*
UDP dialin-212-144-061-208.pools.arcor-ip.net:1900 *:*
Seitenanfang Seitenende
08.02.2006, 19:59
Member

Beiträge: 1132
#4 Du hast leider die Prozesse nicht mitgepostet. Öffne TCPView nochmal und speichere (=> File => Save as) das Log als txt-Datei und poste dann den kompletten Inhalt dieses Files.

Die "Angriffe" von außen auf Deinen Rechner finden statt mit und ohne vorheriger Trojaner-Infektion.

Kannst Du nicht im Zone-Alarm-Log sehen, welcher Prozess da ins Inet will? Falls noch nicht geschehen, dann stelle die Firewall auf Lernmodus ein, so kannst Du eventuell dadurch den fraglichen Prozess aufspüren.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
08.02.2006, 21:58
...neu hier

Themenstarter

Beiträge: 4
#5 Also irgendwie verliere ich die Übersicht:
Also direkt am Start sagt Zonealarm, dass der Internet Explorer ins Netz gehen möchte (Ziel-IP: 239.255.255.250: Port 1900).
Bei TcpView werden bei mir die Prozesse nicht angezeigt. Mit einem anderen Tool von der gleichen Seite (TDImon) bekomme ich folgende Ausgabe:

0.00000000 Firefox C172FEF0 TDI_EVENT_DISCONNECT TCP:0.0.0.0:1064 208.185.174.44:80 SUCCESS RELEASE

und

48.62490720 Explorer C173D1B0 TDI_CLOSE_ADDRESS UDP:212.144.32.31:1079 SUCCESS

und

510.98503200 Vsmon D76C5EB0 TDI_SET_EVENT UDP:0.0.0.0:1097 SUCCESS Datagram Receive Event

"Vsmon": sagt Dir das was?

Nachtrag:

Hier ist noch ein Überblick über meinen Autostart-Ordner:
RegCleaner 4.3 by Jouni Vuorio
These programs are run everytime you start your computer. Try to keep this list as short as possible
[syntax: Program, Filename, Loaded from ]

*StateMgr, C:\WINDOWS\System\Restore\StateMgr.exe, HKEY_LM\RunServices
Autoupdate Monitor, N/A, Start Menu
BDMCon, C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe, HKEY_LM\Run
BDNewsAgent, C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe, HKEY_LM\Run
BitDefender Communicator, C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe, HKEY_LM\RunServices
BitDefender Live! Init, C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe, HKEY_LM\RunServices
BitDefender Scan Server, C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe, HKEY_LM\RunServices
CAPI Control, N/A, Start Menu
Cvpnd, "C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe" Start, HKEY_LM\RunServices
FinePrint Dispatcher V5, C:\WINDOWS\SYSTEM\fpdisp5a.exe, HKEY_LM\Run
HPDJ Taskbar Utility, C:\WINDOWS\SYSTEM\hpztsb05.exe, HKEY_LM\Run
Kb891711, C:\windows\system\kb891711\kb891711.exe, HKEY_LM\RunServices
LoadPowerProfile, Rundll32.exe Powrprof.dll,LoadCurrentPwrScheme, HKEY_LM\Run
LoadPowerProfile, Rundll32.exe Powrprof.dll,LoadCurrentPwrScheme, HKEY_LM\RunServices
Microsoft Office, N/A, Start Menu
Monitor Apache Servers, N/A, Start Menu
NvCplDaemon, RUNDLL32.EXE NvQTwk,NvCplDaemon Initialize, HKEY_LM\Run
Nwiz, Nwiz.exe /install, HKEY_LM\Run
PCHealth, C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s, HKEY_LM\Run
PLoader, C:\program Files\umsd Tools\umsd.exe Sys_auto_run C:\PROGRAM FILES\UMSD TOOLS, HKEY_LM\Run
ScanRegistry, C:\WINDOWS\scanregw.exe /autorun, HKEY_LM\Run
SchedulingAgent, Mstask.exe, HKEY_LM\RunServices
SiSAudio, C:\WINDOWS\system\MP_S3.exe, HKEY_LM\Run
Sophos AutoUpdate, C:\Programme\Sophos\AutoUpdate\alsvc.exe, HKEY_LM\Run
Ssdpsrv, C:\WINDOWS\SYSTEM\ssdpsrv.exe, HKEY_LM\RunServices
StillImageMonitor, C:\windows\system\stimon.exe, HKEY_LM\RunServices
Sunkist, C:\Programme\Multimedia Card Reader\shwicon98.exe, HKEY_LM\Run
Sweep95, C:\Programme\Sophos\Sophos Anti-Virus\ICLOAD95.EXE, HKEY_LM\RunServices
SystemTray, SysTray.Exe, HKEY_LM\Run
TaskMonitor, C:\WINDOWS\taskmon.exe, HKEY_LM\Run
TkBellExe, "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot, HKEY_LM\Run
TrueVector, C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service, HKEY_LM\RunServices
WinampAgent, "C:\PROGRAMME\WINAMP\WINAMPa.exe", HKEY_LM\Run
Zone Labs Client, C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe, HKEY_LM\Run

Gruss Götz
Dieser Beitrag wurde am 08.02.2006 um 22:04 Uhr von aachen2006 editiert.
Seitenanfang Seitenende
09.02.2006, 00:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 "vsmon.exe" gehört zur ZoneAlarm Personal Firewall
Der will wahrscheinlich gleich beim Hochfahren ins net ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2006, 07:56
Member

Beiträge: 1132
#7 Es ist so, wie Sabina schreibt.
Kenne mich leider mit Zone Alarm nicht aus. Es könnte aber sein, dass ZA beim Hochfahren eine DNS-Abfrage starten oder nach Updates im Net suchen will. Wenn Du das nicht willst, dann blocke vsmon.exe ganz einfach komplett und der Spuk sollte beendet sein.
Ansonsten vsmon.exe einfach den Zugriff erlauben.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 09.02.2006 um 08:32 Uhr von Heron editiert.
Seitenanfang Seitenende
09.02.2006, 10:43
...neu hier

Themenstarter

Beiträge: 4
#8 Hallo,
jetzt hat sich das Problem verflüchtigt. Neben Zonealarm wollte auch der Real-Player ins Netz gehen (Auto-Update-Funktion).
Für Eure Hilfe bedanke ich mich ganz herzlich.
Beste Grüsse
Götz
Seitenanfang Seitenende
10.02.2006, 17:45
...neu hier

Beiträge: 2
#9 probiere mal ewido,das ist ein trojaner checker und ist eine testversion.lg:scrubs
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: