Permanenter Upload...

  • #1
M

Mothe

Aktives Mitglied
Themenersteller
Dabei seit
15.05.2002
Beiträge
42
Reaktionspunkte
0
Ort
Villach
hi,

ich habe hier ein großes Problem :-[

ein Paar minuten nachdem ich meine Internetverbindung aktiviert habe,
wird ständig irgendetwas upgeloaded, nur weiß ich nicht welches programm dafür verantwortlich sein soll (habe schon alles geschlossen - ohne erfolg)

habe firewall und AntiVirus drauf, aber von denen hat bisher noch keiner alarm geschlagen....

hat jemand eine idee woran das liegen kann?
oder gibt es ein programm das den internettraffic der programme anzeigen kann?

ich hoffe mir kann jemand weiter helfen...

gruß,
Mothe
 
  • #2
moin,

welche firewall hast du? [zonealarm eventuell]

da du antivir erwähntest, gebe ich dir die info, sofern du diese nicht im forum von antivir schon gelesen hast, daß der guard und das kontrollprogramm mittels tcp/ip miteinander kommunizieren.

dies passiert ausschließlich intern! dazu wird der port 18350 genutzt. ein sogenannter loopback wird mit deinem localhost [127.0.0.1] erzeugt. ;)

welche version von avpe [kostenlos] oder antivir [kostenpflichtig] hast du?
 
  • #3
mav1976 schrieb:
moin,

welche firewall hast du? [zonealarm eventuell]

da du antivir erwähntest, gebe ich dir die info, sofern du diese nicht im forum von antivir schon gelesen hast, daß der guard und das kontrollprogramm mittels tcp/ip miteinander kommunizieren.

dies passiert ausschließlich intern! dazu wird der port 18350 genutzt. ein sogenannter loopback wird mit deinem localhost [127.0.0.1] erzeugt. ;)

welche version von avpe [kostenlos] oder antivir [kostenpflichtig] hast du?
Zum Vergrößern anklicken....

hi, ich benutze die Tiny Personal Firewall, und die Personal Edition von AntiVir, habe in der changelog bereits gelesen:

1. Umstellung auf TCP/IP

Mit der neuen Version 6.26 haben wir aus technischen Gründen die
Kommunikation zwischen dem sog. Kontrollprogramm (rotes Schirmchen)
und dem Guard Dienst unter Windows NT, 2000 und XP auf eine TCP/IP
Verbindung umgestellt. Das Kontrollprogramm kommuniziert hierbei
nur mit dem lokalen Computer unter 127.0.0.1 (localhost); es findet
keine Kommunikation mit dem Internet statt.

-----

aber es werden definitiv daten ins internet gesendet (DialUp PPP Connection)
habe das schon kontrolliert, da in kurzester Zeit 300 MB upgeloadet wurden,
hab das im kontrollcenter meines providers gesehen :-[

hmm... ich weiß zwar nicht ob es da einen zusammenhang gibt, aber das problem
ist zu dem zeitpunkt aufgetreten, als ich das directX 9 SDK installiert habe.
und auch meine firewall blockte (wahrscheinlich ;)) einen zugriff auf:
c:\winnt\system32\directx\dinput\explorer.exe

weiß jemand ob da eine sicherheitslücke seitens microsoft gemeldet wurde?
 
  • #4
Mothe schrieb:
aber es werden definitiv daten ins internet gesendet (DialUp PPP Connection)

hmm... ich weiß zwar nicht ob es da einen zusammenhang gibt,
Zum Vergrößern anklicken....

glaube ich nicht.

aber das problem
ist zu dem zeitpunkt aufgetreten, als ich das directX 9 SDK installiert habe.
Zum Vergrößern anklicken....

dann haben wir schonx einen ansatzpunkt. von wo hast du directx9 installiert? microsoft bot x einen patch auf die version 9 an! ;)

c:\winnt\system32\directx\dinput\explorer.exe
Zum Vergrößern anklicken....

eine explorer.exe in diesem pfad??? ???
normalerweise dürfte die sich bei dir nur unter winnt befinden.

ich nehme x an, du hast win2k?

eventuell kann uns ein hijackthis.log helfen. bitte poste uns x ein log hierrein.

http://www.merijn.org/files/hijackthis.zip <--- direktdownload.
 
  • #5
hier einmal die HiJack-Log :)

Logfile of HijackThis v1.98.0
Scan saved at 22:11:48, on 11.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\AVPersonal\AVGUARD.EXE
d:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
D:\cvsnt\cvsservice.exe
D:\cvsnt\cvslock.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
d:\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\dslagent.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
c:\Winnt\System32\Directx\Dinput\Videodriver.exe
c:\Winnt\System32\Directx\Dinput\Explorer.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
D:\ICQ\Icq.exe
D:\Nero\Nero\nero.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mothe1\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\Mothe1\ANWEND~1\IESERV~1\IEService.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\STARDO~1\SDIEInt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] d:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] d:\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Explorer.exe] c:\Winnt\System32\Directx\Dinput\dxuninstall.exe c:\Winnt\System32\Directx\Dinput\Explorer.exe -b c:\Winnt\System32\Directx\Dinput\cfxr.dll
O4 - HKLM\..\Run: [srchost] c:\Winnt\System32\Directx\Dinput\dxuninstall.exe c:\Winnt\System32\Directx\Dinput\Videodriver.exe
O4 - HKLM\..\Run: [QuickTime Task] D:\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Mothe1\ANWEND~1\IESERV~1\IEService.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://secure.comodo.net/cab/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5727031C-F056-4084-8015-09745AAF36E5}: NameServer = 195.70.224.45 213.90.38.3
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
Zum Vergrößern anklicken....

da sind ein paar zeilen dabei, die mir irgendwie seltsam vorkommen :-\
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Mothe1\ANWEND~1\IESERV~1\IEService.exe

um einige zu nennen *g*

----

ich habe mir von der MS-Seite die Volle DX9 SDK runtergeladen, da ich vorher nie eine SDK drauf hatte, und erst jetzt damit angefangen habe :)

und jap, ich benutze W2k Pro

gruß,
Mothe
 
  • #6
Hallo!!

Wenn der Upload erfolgt, einfach mal die Eingabeaufforderung aufmachen und
netstat -ano
eingeben. Da kannst Du sehen, welche TCP- /und UDP-)Verbingen hergestellt sind. Die IP-Adressen, zu denen eine Verbindung existiert, kannst Du dann über nslookup in Host-Namen auflösen. Noch interessanter dürfte aber die PID sein, damit kannst im Taskmanager unter Prozessen den entsprechenden Prozess ausfindig machen. Falls die PID bei den Prozessen nicht angezeigt wird, unter Ansicht --> Spalten auswählen und dann PID mit Häkchen versehen.

Habe gerade gesehen, dass Du Win2k benutzt, da gibt es glaube ich, den Schalter o noch nicht, wodurch die PID angezeigt wird.
 
  • #7
alex2791 schrieb:
Hallo!!

Wenn der Upload erfolgt, einfach mal die Eingabeaufforderung aufmachen und
netstat -ano
eingeben. Da kannst Du sehen, welche TCP- /und UDP-)Verbingen hergestellt sind. Die IP-Adressen, zu denen eine Verbindung existiert, kannst Du dann über nslookup in Host-Namen auflösen. Noch interessanter dürfte aber die PID sein, damit kannst im Taskmanager unter Prozessen den entsprechenden Prozess ausfindig machen. Falls die PID bei den Prozessen nicht angezeigt wird, unter Ansicht --> Spalten auswählen und dann PID mit Häkchen versehen.

Habe gerade gesehen, dass Du Win2k benutzt, da gibt es glaube ich, den Schalter o noch nicht, wodurch die PID angezeigt wird.
Zum Vergrößern anklicken....

vielen vielen dank, genau soetwas habe ich gesucht!
nun heißt es warten bis er wieder anfängt (war jetzt komischerweise schon 20 min. ruhe ;))

gruß,
Mothe
 
  • #8
hi mothe,

bitte folgende prozesse x beenden und folgendes fixen [fix checked]:

c:\Winnt\System32\Directx\Dinput\Videodriver.exe
c:\Winnt\System32\Directx\Dinput\Explorer.exe

O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\Mothe1\ANWEND~1\IESERV~1\IEService.dll
O4 - HKLM\..\Run: [Explorer.exe] c:\Winnt\System32\Directx\Dinput\dxuninstall.exe c:\Winnt\System32\Directx\Dinput\Explorer.exe -b c:\Winnt\System32\Directx\Dinput\cfxr.dll
O4 - HKLM\..\Run: [srchost] c:\Winnt\System32\Directx\Dinput\dxuninstall.exe c:\Winnt\System32\Directx\Dinput\Videodriver.exe
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Mothe1\ANWEND~1\IESERV~1\IEService.exe
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://secure.comodo.net/cab/xenroll.cab
Zum Vergrößern anklicken....

dies ist für mich äußerst verdächtig! während des scan´s mit dem hijacker müssen alle browserfenster geschlossen sein!!

diese sachen würde ich x bei kaspersky oder rav onlinescannen lassen. eventuell zur analyse zu deinem av-hersteller schicken, falls es sich um neue varianten handelt.

ich glaube nicht so recht daran, daß das die originale directX9 version ist. diese würde nicht automatisch im autostart stehen und auch nicht solche prozeßnamen als autostart wählen. ;)

ich gehe hier von einem klaren infekt aus. nicht x mehr von einem normalen hijacker. deshalb würde ich dich bitten, die dateien eventuell auch paßwortgeschützt an folgende e-mailadresse zu senden. bitte in der mail das paßwort mit angeben. [email protected] & [email protected]

bis zur vollständigen klärung, würde ich diese dateien ersteinx isolieren. ;)
 
  • #9
hi,

mav1976 schrieb:
ich glaube nicht so recht daran, daß das die originale directX9 version ist. diese würde nicht automatisch im autostart stehen und auch nicht solche prozeßnamen als autostart wählen. ;)
Zum Vergrößern anklicken....

es ist nicht das normale directx9, sondern wie schon gesagt, die SDK ;)

mein problem besteht leider weiterhin :(

habe herausgefunden, das die datei svhost.exe (im task-manager erscheint sie 2 mal) schuld daran ist...
sobald ich diese beende, funktioniert alles einwandfrei.... :(

habe meinen pc schon mit spybot, ad-aware und einem virenscanner durchsuchen lassen, hat auch einiges gefunden (spybot und ad-aware zumindest *g*) nur gab es keine besserung bisher...

gruß,
Mothe

Zitat korrigiert
 
  • #10
Dein System braucht dringendst ein Update. Es fehlen SP4 und alle Patches danach! Aber die C:\WINNT\system32\wuauclt.exe läuft, also müsste dich seit über einem halben Jahr eine Weltkugel in der Taskleiste anschauen.

habe herausgefunden, das die datei svhost.exe (im task-manager erscheint sie 2 mal) schuld daran ist...
Zum Vergrößern anklicken....

Die taucht aber nicht im HijackThis-Log auf. Eine svhost.exe wäre ein potentieller Schädling.
 
  • #11
PCDSmartie schrieb:
Dein System braucht dringendst ein Update. Es fehlen SP4 und alle Patches danach! Aber die C:\WINNT\system32\wuauclt.exe läuft, also müsste dich seit über einem halben Jahr eine Weltkugel in der Taskleiste anschauen.

habe herausgefunden, das die datei svhost.exe (im task-manager erscheint sie 2 mal) schuld daran ist...
Zum Vergrößern anklicken....

Die taucht aber nicht im HijackThis-Log auf. Eine svhost.exe wäre ein potentieller Schädling.
Zum Vergrößern anklicken....

das mit SP4 ist da so eine sache... :-/
habe es schon ein paar mal versucht zu installieren, dannach lief das system aber nicht mehr... :(

habe mittlerweile rausgefunden, das ich einen Virus draufhatte (Bloodhount W32/irgendwas - AntiVir hat ihn gar nicht gefunden!?)

nun passt alles wieder, die svhost.exe ist verschwunden :) hatte sie zuerst immer mit der svChost verwechselt *g*

gruß,
Mothe
 
Thema:

Permanenter Upload...

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.959
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben