Mein Rechner wurde zum Zombie

Windows XP: Mein Rechner wurde zum Zombie

Alle Fragen zu Windows XP gehören hier hinein.

Erstellt von Gerd-Wilhelm  |  Antworten: 15

  1. Mein Rechner wurde zum Zombie  |  Beitrag #1
    Gerd-Wilhelm


    Mein Rechner wurde zum Zombie - Standard Mein Rechner wurde zum Zombie
    Hallo,
    mein Computer macht mir Kummer, ich befürchte, daß er ein Zombie geworden ist, weil ein Trojaner oder sonst etwas tätig ist.

    Seit eingen Tagen erzeugt der Rechner jede Menge Verkehr mit dem Internet, was ich an der Statusanzeige der Verbindung erkennen kann.
    Zudem bekomme ich mehrere Emails unter meiner Adresse ohne Bezug oder Inhalt.

    Nach einiger Zeit meldet Adobe Acrobat immer, daß am System etwas geändert worden ist und ich neu aktivieren muß. Wenn ich dann neu boote, ist alles wieder in Ordnung.

    Ich habe den Virenscanner stets aktiv und auch einen kompletten Systemcheck gemacht, ohne Ergebnis.
    Search & Detroy hat auch nichts gefunden.
    Ad-Aware ebenfalls, auch HiJackThis lieferte keinen Verdacht.

    Können Sie mir einen Tipp geben, wie ich den Buhmann loswerden kann ? Ich habe nicht die Zeit, den Rechner komplett neu zu installieren, da sind zuviel Programme drauf.

    Grüße, Gerd-Wilhelm

  2. Mein Rechner wurde zum Zombie  |  Beitrag #2
    Walter Buergin


    Ich habe den Virenscanner stets aktiv
    Was hast Du für ein Virenschutzprogramm und wie gehst Du ins Internet z.b. über einen Router oder über ein Modem etc. ?

    Walter

    ???


  3. Mein Rechner wurde zum Zombie  |  Beitrag #3
    Gerd-Wilhelm


    Hallo, Walter,

    mein Virenschutzprogramm ist Avira AntiVir Premium. Ich gehe über einen Router ins Internet. Daran hängen auch noch drei weitere Rechner mit gleicher Ausstattung, welche allerdings sauber zu sein scheinen.

    Grüße, Gerd-Wilhelm

  4. Mein Rechner wurde zum Zombie  |  Beitrag #4
    Walter Buergin


    Seit eingen Tagen erzeugt der Rechner jede Menge Verkehr mit dem Internet, was ich an der Statusanzeige der Verbindung erkennen kann.
    Du hast ja sicher alle automatischen Update testweise schon deaktiviert den es gibt jede Menge, z.b. WINXP, Java, Zeit, Adobe, Virenschutz auch würde ich die Remote unter Systemsteuerung so oder so deaktivieren. Der Firewall vom WINXP ist sicher auch eingeschaltet ?

    Walter

    ???

  5. Mein Rechner wurde zum Zombie  |  Beitrag #5
    Gerd-Wilhelm


    Die automatischen Updates habe ich noch nicht deaktiviert, das werde ich aber wenigstens für JAVA und Adobe nachholen. Was ein Update für Zeit bedeutet, weiss ich nicht. Remote ist nicht installiert, wenn Du damit die Fernsteuerung unter WWW-Dienste meinst.

    Der Firewall von XP ist eingeschaltet.

    Dabei ist allerdings zu bemerken, daß gelegentlich Warnmeldungen kommen, es sei kein Firewall aktiv. Dann aktiviere ich das wieder.

    Wenn ich unter Windows-Firewall nachschaue, sind einige Ausnahmen geschaltet:

    Altova License Metering Port (TCP)
    Altova License Meeting Port (UDP)
    LivePublish Personal Edition HTTP Server
    Netzwerkdiagnose für Windows XP
    Total Commander 32bit

    Sollte ich die ersten drei eventuell besser abschalten ?

    Der Schalter Benachrichtigen, wenn Programm geblockt wird ist eingeschaltet.

    Gerd-Wilhelm

  6. Mein Rechner wurde zum Zombie  |  Beitrag #6
    SchUFT_Pinky


    Zitat Zitat von Gerd-Wilhelm
    Was ein Update für Zeit bedeutet, weiss ich nicht.
    Damit meint Walter wohl die autom. Zeitsynchronisation von XP.

    Hast Du schon mal eine Hijackthis-Logfileauswertung gemacht?

    http://www.hijackthis.de

  7. Mein Rechner wurde zum Zombie  |  Beitrag #7
    Steinhund


    Hallo Gerd-Wilhelm,

    versuch bitte mal herauszufinden, welche Anwendungen denn genau den Verkehr verursachen. Wie Walter bereits schrieb, kann es auch durchaus normal sein, wenn sich bestimmte installierte Programme mit Updates versorgen, daß der Verkehr dann steigt.

    Hier zwei Hilfen:

    http://www.wintotal.de/Software/?rb=1051&id=1885

    http://www.wintotal.de/Software/?rb=1051&id=263

    Vielleicht findest Du ja so heraus, wer den Verkehr verursacht.

    Thema email: Wie genau stellt sich das Problem denn dar. Erhälst Du diese Emails nur auf Deinem Rechner? Oder passiert das auch, wenn Du online auf Dein Konto zufreifst (so Du das kannst). Welchen Email-Client benutz Du?

    Thema Router: Was für einen Router benutz Du?

    So, daß reicht erstmal, warte dann mal auf die Antworten.

    MfG

    Nick

    Nachtrag: Poste mal Dein hijack-log hier. Nur weil sich bisher kein Verdacht auf Malware ergeben hat, kann es doch hilfreich sein.

  8. Mein Rechner wurde zum Zombie  |  Beitrag #8
    Metzger

    Mit dem Tool

    http://www.wintotal.de/Software/?id=263

    kannst du feststellen, welche Anwendung sich wohin ins Internet verbunden hat.

  9. Mein Rechner wurde zum Zombie  |  Beitrag #9
    Walter Buergin


    Dabei ist allerdings zu bemerken, daß gelegentlich Warnmeldungen kommen, es sei kein Firewall aktiv. Dann aktiviere ich das wieder.
    Diese Meldung sollte nicht erscheinen und wie meinst Du das dann aktiviere ich das wieder heisst dass der Firewall wurde richtig deaktiviert und Du musst diesen wieder aktivieren. Hat Dein Router auch noch einen Firewall NAT ?

    Walter

    ???

  10. Mein Rechner wurde zum Zombie  |  Beitrag #10
    Gerd-Wilhelm


    Hallo Steinhund,

    1. TCPView werde ich gleich installieren.
    2. Emailclient : TheBat 4.0.14
    3. Router : Netgear
    4. HiJack-log siehe unten:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:19:27, on 23.05.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\Commsvr.exe
    C:\Programme\Folder Shield\FSService.exe
    C:\Programme\Gemeinsame Dateien\Acronis\TrueImageHome\TrueImageHomeNotify. exe
    C:\Programme\Folder Shield\fsp.exe
    C:\WINDOWS\system32\NMSAccessU.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PDFCreatorMessages.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
    C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    C:\Programme\Gemeinsame Dateien\Acronis\TrueImageHome\TrueImageHomeService .exe
    C:\WINDOWS\system32\mqsvc.exe
    D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    D:\Programme\Jaws PDF Creator\PDFClient.exe
    D:\Programme\ScanSoft\OmniPageSE\opware32.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
    D:\Programme\Winamp\winampa.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
    C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
    C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    D:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Logitech\SetPoint\KEM.exe
    D:\Daten\Notizen\note.exe
    C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PUPXPTWK.EXE /TWEAK
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PDFCreatorClient] d:\Programme\Jaws PDF Creator\PDFClient.exe
    O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
    O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
    O4 - HKLM\..\Run: [fspr] C:\Programme\Folder Shield\FolderShield.exe CR
    O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe /min
    O4 - HKLM\..\Run: [CallBridgeReg.exe] wfxsnt40.exe
    O4 - HKLM\..\Run: [trueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
    O4 - HKLM\..\Run: [vspdfprsrv.exe] D:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O4 - Startup: A Smaller Note 99.lnk = D:\Daten\Notizen\note.exe
    O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programme\OpenOffice.org 2.0\program\quickstart.exe
    O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD LT 2002\InstFred.ocx
    O16 - DPF: {6B301A37-3F40-11D3-A1AD-00E018982FCA} (O2C-ePlot (mb Software AG)) - http://www.o2c.de/download/HpglView.cab
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://D:\Programme\AutoCAD LT 2002\AcDcToday.ocx
    O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD LT 2002\InstBanr.ocx
    O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
    O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/o2cplayer.cab
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD LT 2002\AcPreview.ocx
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: CommServer - Unknown owner - C:\WINDOWS\system32\Commsvr.exe
    O23 - Service: FSService - Unknown owner - C:\Programme\Folder Shield\FSService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
    O23 - Service: NMSAccessU - Unknown owner - C:\WINDOWS\system32\NMSAccessU.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe

    --
    End of file - 11228 bytes

    Wer den Buhmann findet, darf ihn behalten. Grüße, Gerd-Wilhelm


Du bist noch kein Mitglied? Mitglieder sehen keine Werbung und können alle Funktionen des Forums nutzen.
Du kannst hier jedoch auch anonym, als Gast (keine Registrierung notwendig) schreiben. Klicke dazu einfach auf den Button "Neues Thema erstellen" und formuliere Deine Frage oder auf "Antworten", wenn Du die Antwort auf die Frage weißt.

Jetzt kostenlos registrieren
Ähnliche Themen zu Mein Rechner wurde zum Zombie
  1. Antworten: 8
  2. Antworten: 6
  3. Mein rechner spricht zu mir!
    Von SonyDaHeadhog im Forum Hardware
    Antworten: 8
  4. Zombie PC
    Von nixkapiert im Forum Windows XP
    Antworten: 1
  5. Antworten: 5
Sie betrachten gerade Mein Rechner wurde zum Zombie