Frage zu alg.exe bei TCPview

#1 hallo,

ich hatte letztens bei meinem TCPview geguckt und da war folgender eintrag bei der alg.exe

alg.exe:2308 TCP sprengguertel:2249 pc-52-8-47-190.cm.vtr.net:ftp ESTABLISHED


sprengguertel ist mein pc name, aber was hat dieser eintrag zu sagen?
habe ich etwas zu befürcheten oder ist das normal da, es ja die firewall ist.

danke


Achja hier hab ich vergessen mein Hijackthis log:


Logfile of HijackThis v1.99.1
Scan saved at 20:11:51, on 07.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Winamp\winampa.exe
F:\Program Files\WinPatrol\winpatrol.exe
C:\Program Files\DAEMON Tools\daemon.exe
D:\Programme\utorrent\utorrent.exe
F:\Program Files\QIP\qip.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\boOz\Desktop\Toolz\TCP view\Tcpview.exe
C:\Documents and Settings\boOz\Desktop\Toolz\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [WinPatrol] F:\Program Files\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [QIP2005] F:\Program Files\QIP\qip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

#2 Hinter der alg.exe steckt ein Windows-Service. Du solltest aber auf jeden Fall mal den Pfad zur alg.exe überprüfen. Ein Doppelklick auf die alg.exe inm tcpvie-Fenster gibt Aufschluss...
Sie muss im Windows/system32-Ordner liegen.
Ggf. die Datei mal bei virustotal.com scannen
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Also alg.exe ist glaub ich die Windows Firewall, die hab ich auch an.
die datei liegt in C:\WINDOWS\System32\alg.exe also so wie es sein soll.

Hier der Virustotal Report: (Haben die jetzt nen neues design?)

Datei alg.exe empfangen 2007.08.07 20:35:46 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.07 -
Authentium 4.93.8 2007.08.07 -
Avast 4.7.1029.0 2007.08.07 -
AVG 7.5.0.476 2007.08.07 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.07 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5040 2007.08.07 -
Ewido 4.0 2007.08.07 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.07 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.12 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5092 2007.08.07 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2442 2007.08.07 -
Norman 5.80.02 2007.08.06 -
Panda 9.0.0.4 2007.08.07 -
Prevx1 V2 2007.08.07 -
Rising 19.35.12.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.07 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
Webwasher-Gateway 6.0.1 2007.08.07 -
weitere Informationen
File size: 44544 bytes
MD5: f1958fbf86d5c004cf19a5951a9514b7
SHA1: ed44c251c53a9f0cce20b30e50067f2a89222858


Gut also so wies aussieht hatter nix geunden aber trotzdem merkwürdig das in TCPview das dauernd auftaucht und wieder verschwindet.

#4 mit bischen googeln wärest Du zu diesem Ergebnis gekommen:
http://www.neuber.com/taskmanager/deutsch/prozess/alg.exe.html

Felix
__________
Keine Anfragen per E-Mail und PN!

#5 ja das timmt schon felix1 aber ich finde es komisch das die firewall sich verbinden will. an diese komische ip die ich oben erwähnt habe.

es kann ja sein das da ne dll injektion gemacht wurde oder nicht?

#6 In der Tat ist die Verbindung zu 190.47.8.52 (FTP/ in Chile) bemerkenswert. Deswegen auch mein Hinweis auf eine Überprüfung der alg.exe.

Sieh mal zu, dass Du keinerlei Internetaktivität veranlasst, beende die Verbindung mal über TCP-View, lass den Rechner ruhen und beobachte mal, ob sie wieder hergestellt wird.

Sollte dies geschehen, dann mach eine AV-Scan bei http://www.kaspersky.com/virusscanner .

Zusätzlich kannst Du mit Ethersnoop oder SmartSniff (beide unter snapfiles.com erhältlich) den Netzwerkverkehr sniffen, sobald Du die Verbindung bemerkst oder am besten gleich mitsniffen, sobald der Rechner online ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 so also ich habe die alg.exe nun bei antivir auch nochmal hochgeladen zum überprüfen, die finden auch nix.

Und im TCPview erscheint nun auch nichts mehr.


Ich habe mir allerdings nun ma smartsniff gesaugt.
könntest du mir vllt noch sagen bei welchen sachen ich bei smartsniff besonders achten muss?

danke

#8 Unter Options > Advanced Options bei "Retrieve process information...." und "Live-Mode-List...." den Haken setzen. Ansonsten alles belassen. Unter "Display Protocols" sollte auf jeden Fall TCP aktiviert sein.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 OK also hab bei "Display Protocols" nur TCP und ICMP aktiviert weil sonst die liste extrem schnell groß und unübersichtlich wird, wenn UDP noch aktiviert wird.

#10 Ich denke einfach mal, da das HJT-Log unauffällig ist:
The winner is
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
Prüfe das mal ab

Felix
__________
Keine Anfragen per E-Mail und PN!

#11

Zitat

felix1 postete
Ich denke einfach mal, da das HJT-Log unauffällig ist:
The winner is
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
Prüfe das mal ab

Felix

Hallo felix,

was meinst du denn mit skype? das ist doch in ordnung oder nicht?
das ist doch dieses inettelefonie programm.

#12 Ich habe nie behauptet, dass Skype schädlich ist. Es könnte aber für den erhöhten Netztraffic verantwortlich sein
Prüfe mal nach:
http://www.zdnet.de/downloads/prg/1/x/de011X-wc.html

Felix
__________
Keine Anfragen per E-Mail und PN!

#13 Also was den upload und diownload betrifft scheint alles in ordnung zu sein.
hab vorsichtshalber aber ma den eintrag im hjt gefixed.

achja im tcpview erscheint nichts mehr mit alg.exe.
hatte vllt auch etwa sdamit zu tun das ich mein ftp programm offen hatte.