Permanenter Upload...

Dieses Thema Permanenter Upload... im Forum "Sonstiges rund ums Internet" wurde erstellt von Mothe, 11. Juli 2004.

Thema: Permanenter Upload... hi, ich habe hier ein großes Problem :-[ ein Paar minuten nachdem ich meine Internetverbindung aktiviert habe,...

  1. hi,

    ich habe hier ein großes Problem :-[

    ein Paar minuten nachdem ich meine Internetverbindung aktiviert habe,
    wird ständig irgendetwas upgeloaded, nur weiß ich nicht welches programm dafür verantwortlich sein soll (habe schon alles geschlossen - ohne erfolg)

    habe firewall und AntiVirus drauf, aber von denen hat bisher noch keiner alarm geschlagen....

    hat jemand eine idee woran das liegen kann?
    oder gibt es ein programm das den internettraffic der programme anzeigen kann?

    ich hoffe mir kann jemand weiter helfen...

    gruß,
    Mothe
     
  2. moin,

    welche firewall hast du? [zonealarm eventuell]

    da du antivir erwähntest, gebe ich dir die info, sofern du diese nicht im forum von antivir schon gelesen hast, daß der guard und das kontrollprogramm mittels tcp/ip miteinander kommunizieren.

    dies passiert ausschließlich intern! dazu wird der port 18350 genutzt. ein sogenannter loopback wird mit deinem localhost [127.0.0.1] erzeugt. ;)

    welche version von avpe [kostenlos] oder antivir [kostenpflichtig] hast du?
     
  3. hi, ich benutze die Tiny Personal Firewall, und die Personal Edition von AntiVir, habe in der changelog bereits gelesen:

    1. Umstellung auf TCP/IP

    Mit der neuen Version 6.26 haben wir aus technischen Gründen die
    Kommunikation zwischen dem sog. Kontrollprogramm (rotes Schirmchen)
    und dem Guard Dienst unter Windows NT, 2000 und XP auf eine TCP/IP
    Verbindung umgestellt. Das Kontrollprogramm kommuniziert hierbei
    nur mit dem lokalen Computer unter 127.0.0.1 (localhost); es findet
    keine Kommunikation mit dem Internet statt.

    -----

    aber es werden definitiv daten ins internet gesendet (DialUp PPP Connection)
    habe das schon kontrolliert, da in kurzester Zeit 300 MB upgeloadet wurden,
    hab das im kontrollcenter meines providers gesehen :-[

    hmm... ich weiß zwar nicht ob es da einen zusammenhang gibt, aber das problem
    ist zu dem zeitpunkt aufgetreten, als ich das directX 9 SDK installiert habe.
    und auch meine firewall blockte (wahrscheinlich ;)) einen zugriff auf:
    c:\winnt\system32\directx\dinput\explorer.exe

    weiß jemand ob da eine sicherheitslücke seitens microsoft gemeldet wurde?
     
  4. glaube ich nicht.

    dann haben wir schonx einen ansatzpunkt. von wo hast du directx9 installiert? microsoft bot x einen patch auf die version 9 an! ;)

    eine explorer.exe in diesem pfad??? ???
    normalerweise dürfte die sich bei dir nur unter winnt befinden.

    ich nehme x an, du hast win2k?

    eventuell kann uns ein hijackthis.log helfen. bitte poste uns x ein log hierrein.

    http://www.merijn.org/files/hijackthis.zip <--- direktdownload.
     
  5. hier einmal die HiJack-Log :)

    da sind ein paar zeilen dabei, die mir irgendwie seltsam vorkommen :-\
    O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Mothe1\ANWEND~1\IESERV~1\IEService.exe

    um einige zu nennen *g*

    ----

    ich habe mir von der MS-Seite die Volle DX9 SDK runtergeladen, da ich vorher nie eine SDK drauf hatte, und erst jetzt damit angefangen habe :)

    und jap, ich benutze W2k Pro

    gruß,
    Mothe
     
  6. Hallo!!

    Wenn der Upload erfolgt, einfach mal die Eingabeaufforderung aufmachen und
    netstat -ano
    eingeben. Da kannst Du sehen, welche TCP- /und UDP-)Verbingen hergestellt sind. Die IP-Adressen, zu denen eine Verbindung existiert, kannst Du dann über nslookup in Host-Namen auflösen. Noch interessanter dürfte aber die PID sein, damit kannst im Taskmanager unter Prozessen den entsprechenden Prozess ausfindig machen. Falls die PID bei den Prozessen nicht angezeigt wird, unter Ansicht --> Spalten auswählen und dann PID mit Häkchen versehen.

    Habe gerade gesehen, dass Du Win2k benutzt, da gibt es glaube ich, den Schalter o noch nicht, wodurch die PID angezeigt wird.
     
  7. vielen vielen dank, genau soetwas habe ich gesucht!
    nun heißt es warten bis er wieder anfängt (war jetzt komischerweise schon 20 min. ruhe ;))

    gruß,
    Mothe
     
  8. hi mothe,

    bitte folgende prozesse x beenden und folgendes fixen [fix checked]:

    dies ist für mich äußerst verdächtig! während des scan´s mit dem hijacker müssen alle browserfenster geschlossen sein!!

    diese sachen würde ich x bei kaspersky oder rav onlinescannen lassen. eventuell zur analyse zu deinem av-hersteller schicken, falls es sich um neue varianten handelt.

    ich glaube nicht so recht daran, daß das die originale directX9 version ist. diese würde nicht automatisch im autostart stehen und auch nicht solche prozeßnamen als autostart wählen. ;)

    ich gehe hier von einem klaren infekt aus. nicht x mehr von einem normalen hijacker. deshalb würde ich dich bitten, die dateien eventuell auch paßwortgeschützt an folgende e-mailadresse zu senden. bitte in der mail das paßwort mit angeben. virus@free-av.de & heuristik@antivir.de

    bis zur vollständigen klärung, würde ich diese dateien ersteinx isolieren. ;)
     
  9. hi,

    es ist nicht das normale directx9, sondern wie schon gesagt, die SDK ;)

    mein problem besteht leider weiterhin :(

    habe herausgefunden, das die datei svhost.exe (im task-manager erscheint sie 2 mal) schuld daran ist...
    sobald ich diese beende, funktioniert alles einwandfrei.... :(

    habe meinen pc schon mit spybot, ad-aware und einem virenscanner durchsuchen lassen, hat auch einiges gefunden (spybot und ad-aware zumindest *g*) nur gab es keine besserung bisher...

    gruß,
    Mothe

    Zitat korrigiert
     
  10. Dein System braucht dringendst ein Update. Es fehlen SP4 und alle Patches danach! Aber die C:\WINNT\system32\wuauclt.exe läuft, also müsste dich seit über einem halben Jahr eine Weltkugel in der Taskleiste anschauen.

    Die taucht aber nicht im HijackThis-Log auf. Eine svhost.exe wäre ein potentieller Schädling.
     
Die Seite wird geladen...

Permanenter Upload... - Ähnliche Themen

Forum Datum
permanenter Neustart beim Bootvorgang von Festplatte oder CD Hardware 28. Aug. 2013
Permanenter Internettrafik normal? Sonstiges rund ums Internet 3. Apr. 2012
Permanenter schwerwiegender Systemfehler Windows XP Forum 30. Aug. 2006
Permanenter Link auf ein Gerät Linux & Andere 13. Juni 2005
Permanenter Schreibschutz Windows XP Forum 23. Aug. 2004