Ungewöhnlicher Traffic/E:\WINNT\system32\tcpconfig.exe

Dieses Thema Ungewöhnlicher Traffic/E:\WINNT\system32\tcpconfig.exe im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von udo3, 5. Feb. 2005.

Thema: Ungewöhnlicher Traffic/E:\WINNT\system32\tcpconfig.exe Hallo, war gestern mit einem enorm hohen Traffic konfrontiert. Verhältnis gesendete Daten zu empfangenen Daten ca....

  1. Hallo,

    war gestern mit einem enorm hohen Traffic konfrontiert. Verhältnis gesendete Daten zu empfangenen Daten ca. 1:1 in 20 min ca.2 MB. Normal ist bei mir ein Verhältnis von 1:4 bis 1:10
    Antivir hat Eingang von Sdbot. gemeldet. Hab mehrere Checks mit Antivir, Ad Aware und Spybot gemacht ohne das Problem mit dem hohen Traffic lösen zu können.
    Ein Durchlauf mit Hijack this brachte dann erst mal Abhilfe.
    Heute dann das selbe Problem. Meldung über Sdbot. Hab dann die folgenden Einträge mit Hijack this gefixt und im Moment scheint alles in Ordnung zu sein.

    O4 - HKLM\..\RunServices: [Configuration Loader]tcpconfig.ex e
    O4 - HKCU\..\Run: [Configuration Loader] tcpconfig.exe

    Kennt jemand von Euch tcpconfig.exe ? Hab mich schon mal umgesehen, aber nix weiter gefunden.

    Bin mit W 2000 und Mozilla Firefox 1.0 unterwegs.

    Gruß Udo

    Nachtrag: Während ich den Beitrag geposted hab ging das Spiel von vorne los; Meldung Antivir Sdbot und hoher Traffic. Nachstehend das Hijack this Log. Die markierten Einträge wurden mit Hijack this gefixt und es schein erstmal wieder zu funktionieren.
    Hat irgendjemand ne Idee, was da abgeht?

    Logfile of HijackThis v1.99.0
    Scan saved at 19:24:30, on 05.02.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 (5.00.2920.0000)

    Running processes:
    E:\WINNT\System32\smss.exe
    E:\WINNT\system32\winlogon.exe
    E:\WINNT\system32\services.exe
    E:\WINNT\system32\lsass.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\system32\spoolsv.exe
    E:\WINNT\System32\msdtc.exe
    E:\Programme\AVPersonal\AVGUARD.EXE
    E:\Programme\AVPersonal\AVWUPSRV.EXE
    E:\WINNT\System32\CTSvcCDA.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\MSTask.exe
    E:\WINNT\System32\WBEM\WinMgmt.exe
    E:\WINNT\System32\mspmspsv.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\System32\locator.exe
    E:\WINNT\Explorer.EXE
    E:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    E:\Programme\ScanSoft\OmniPageSE\opware32.exe
    E:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
    E:\Programme\AVPersonal\AVSched32.EXE
    E:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    E:\Programme\Creative\ShareDLL\CtNotify.exe
    E:\WINNT\system32\starter.exe
    E:\Programme\AVPersonal\AVGNT.EXE
    E:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
    E:\Programme\FinePixViewer\QuickDCF.exe
    E:\Programme\Creative\ShareDLL\MediaDet.Exe
    E:\Programme\Microsoft Office\Office\FINDFAST.EXE
    E:\Programme\Microsoft Office\Office\OSA.EXE
    E:\WINNT\system32\taskmgr.exe
    E:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
    E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    E:\Programme\Outlook Express\msimn.exe
    E:\Programme\MSN Messenger\msnmsgr.exe
    >>>>>E:\WINNT\system32\al.exe
    >>>>>E:\WINNT\system32\al.exe
    >>>>>E:\WINNT\system32\tcpconfig.exe
    E:\PROGRA~1\WINZIP\winzip32.exe
    E:\temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AdaptecDirectCD] E:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [Omnipage] E:\Programme\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [LVCOMS] E:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] E:\Programme\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] E:\Programme\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [AVSCHED32] E:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [REGSHAVE] E:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [Disc Detector] E:\Programme\Creative\ShareDLL\CtNotify.exe
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
    >>>>>O4 - HKLM\..\Run: [Microsoft Synchronization Manager] al.exe
    >>>>>O4 - HKLM\..\Run: [Configuration Loader] tcpconfig.exe
    >>>>>O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] al.exe
    >>>>>O4 - HKLM\..\RunServices: [Configuration Loader] tcpconfig.exe
    O4 - HKCU\..\Run: [UIWatcher] E:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
    O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Exif Launcher.lnk = E:\Programme\FinePixViewer\QuickDCF.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - E:\Program Files\Net2Phone\Net2fone.exe
    O9 - Extra->Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - E:\Program Files\Net2Phone\Net2fone.exe
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
    O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://E:\Programme\AutoCAD 2002 Deu\InstFred.ocx
    O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs5.chat.sc5.yahoo.com/v43/yacscom.cab
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://E:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
    O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://E:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
    >>>>>>O17 - HKLM\System\CCS\Services\Tcpip\..\{626461A3-FD9E-4FC1-8069-79C00EFB916D}: NameServer = 195.71.143.67 193.189.244.205
    O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINNT\System32\CTSvcCDA.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
     
  2. IE5 wird doch gar nicht mehr supportet von MS, oder? Daher würde ich zusätzlich ein IE-Update empfehlen, wenn der Schädling beseitigt ist.
     
  3. Unter Win2K schon, da im letzten SP enthalten. Ausgelaufen ist der Support für IE 5.5 (bis auf Müllenium). Siehe auch http://support.microsoft.com/gp/lifesupsps

    Bye,
    FreuWas nicht wirklich gegen das Upgraden auf IE/OE 6 SP1 zzgl. Patches sprichtdi
     
  4. IE sollte eigentlich nicht das Problem sein, da ich schon seit ewigen Zeiten mit Netscape und Mozilla online bin, und darum auch keinen großen Wert auf IE Updates gelegt habe. Aktuell Firefox 1.0
    Hab jetzt die Registry gesäubert und nach nem Neustart war die al.exe wieder da. Der Prozess ließ sich nicht stoppen- Zugriff verweigert.
    War bisher mit W2k service Pack 2 unterwegs und hab bisher keine größeren Probleme zu beklagen gehabt.
    Vor 2 Wochen ist W2K bei einem Optimierungsversuch komplett abgeschossen worden und letztes WE mit sämtlichen Service Packs und Sicherheitspatches neu aufgesetzt worden. Seither bin ich nur noch am Neustarten und Trojaner haschen.
    Ein weiteres Problem scheint zu sein, das Antivir die Probleme zwar erkennt und im Scan auch findet, aber das Eindringen ins System nicht verhindert.(Letztes Update gestern). Hab das Problem schon öfter beobachtet und auch schon vor längerer Zeitan den Hersteller gemeldet, aber auch keine Rückmeldung erhalten. Antivir meldet das Eindringen, bzw den Versuch. > meine Antwort: Datei löschen.

    Ergebnis im nachfolgenden Scan:

    E:\WINNT\system32
    bot.exe
    [FUND!] Enthält Signatur des Wurmes Worm/Sdbot.66560
    WURDE GELÖSCHT!
    buhb.exe
    ArchiveType: RAR SFX (self extracting)
    --> 39.exe
    [FUND!] Ist das Trojanische Pferd TR/DCom.AU1
    --> a.exe
    [FUND!] Enthält Signatur des PMS/HideWindow.A-Programmes
    --> buhb2.exe
    HINWEIS! Die Checksumme des Dateiheaders im Archiv ist fehlerhaft
    gososijo.exe
    ArchiveType: RAR SFX (self extracting)
    --> vutigipi.exe
    [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.BU.1
    --> kamikifif.exe

    Lustigerweise haben sich die Kameraden in lediglich 15 min eingestellt, die Zeit die ich gebraucht hab, um meinen 1. Beitrag um den Nachtrag zu ergänzen.

    Ein Teil dieser Funde sind Archiv-dateien und werden nicht automatisch gelöscht. Allerdings hab ich Sie auch bei einer manuellen Suche nicht gefunden.

    Bin ich jetzt zu blöd mit dem Antivir umzugehen, oder taugt das nix?

    Danke für Eure Hilfe.

    Gruß Udo
     
  5. Ich hatte auch diesen Bot virus. Du must mal gucken welches Programm die meiste CPU-Belastung macht (Taskmanager). Das ist dann höchstwahrscheinlich der Virus. Bei mir war es msliveupdate.ex
    Ansonsten must du die Einträge des Virus aus der Run Section in der Registry entfernen.

    H.M.
     
  6. Nach dem bisherigen Erkenntnissand ist die al.exe bereits zu einem früheren Zeitpunkt eingedrungen und hat sich in Dokumente/Einstellungen/Admin installiert. Von dort aus installiert al.exe die gososijo.exe in Tasks.
    al.exe + gososijo.exe = sdbot.38400
    Antivir Guard hat zwar eine Meldung gemacht, aber das Eindringen nicht verhindert. Im Scan wurden beide Positionen auch nicht erkannt. Bin da per manueller Suche drüber gestolpert.
    Hab bei dem Hersteller nachgefragt- bereits zum 2. Mal woran das liegt, aber leider halten die mich einer Antwort für unwürdig.

    Hab die beiden Einträge erstmal drin gelassen und mir Norton Antivirus gezogen um zu testen ob die das finden.
    Hab allerdings nun das Problem, daß während des Scans der Rechner eingefroren ist und der Neustart mit der Meldung inaccesible_boot_divce quittiert wird.
    Arbeite mit einem Dual Bios W 98/ W2K Alle Versuche W2K zu reparieren sind bisher fehlgeschlagen- boot from Disk. Es werden zwar sämtliche Dateien von der Disk geladen allerdings startet Windows nicht.
    HDD ist soweit ok
    Arbeitsspeicher ist ok
    W2K Disk ist auch ok

    Nachtrag: W 98 arbeitet normal.

    Nachfrage bei dem Kollegen der das System installiert hat löst im Moment auch Ratlosigkeit aus.
    Jemand ne Idee? Welche Informationen werden benötigt um das Problem besser beurteilen zu können? Welche Part im Forum ist für diese Frage der Richtige?

    Danke Udo
     
  7. Das dein Windows nicht mehr startet liegt wohl daran, dass Du jetzt zwei aktive On-Access-Scanner hast.

    Kannst Du im abgesicherten Modus starten?
     
  8. Nee hab ich schon versucht- inaccessible_boot_device

    Udo
     
  9. Das sieht nicht gut aus :(

    Vielleicht hat ja noch jemand anderes eine Tip für dich, ausser einer Neuinstalltion. Hoffe das wenigstens deine Daten gesichert sind.

    Und für die Zukunft, vielleicht mal für Online-Aktivitäten bzw. den allgemeinen arbeiten am PC einen Benutzer anlegen der keine Admin-Rechte hat. Vorausgesetzt das Dateisystem ist NTFS.
     
Die Seite wird geladen...

Ungewöhnlicher Traffic/E:\WINNT\system32\tcpconfig.exe - Ähnliche Themen

Forum Datum
Ungewöhnlicher Datentransfer Viren, Trojaner, Spyware etc. 4. Feb. 2013