hallo!
ich habe gestern zwecks neupartitionierung und aufspielen von linux als zweit- und übungsspielzeug mein system neu aufgesetzt! nach einigen stunden vorm rechner inkl. aller konfigurationen wie dienste, eingeschränktes konto, etc. läuft zumindest windows wieder fast so stabil wie vorher!
vorhin dann sehe ich auf meinem monitor für netzwerkaktivitäten einen download von 50KB/s obwohl weder irgendei browser geöffnet noch irgendwelche automatischen updates im gange waren! ich schaue im webprotect meiner fritzboxsoftwarefirewall nach den programmeinstellungen und finde einen mir unbekannten und auch von mir nicht manuell zugelassenen programmeintrag mit zugriffsrecht aufs internet! das eigenartige ist, daß unter dem angegebenen pfad der anwendung selbige gar nicht zu finden ist (alle dateien werden angezeigt!). auch nach verweigerung des zugriffsrechts und löschen des eintrags im webprotect tauch die anwendung nach einiger zeit von selbst wieder dort auf, allerdings ohne zugriffsrechte! bei google habe ich unter der bezeichnung gar nichts gefunden! hat jemand eine idee?

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\is-EN6EA.tmp\is-I5PJ9.tmp

habe auch schon mit clearprog und regseeker gesäubert!
torsten

ich hab mal ein hjt log erstellt!


Logfile of HijackThis v1.99.1
Scan saved at 22:32:05, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\AveDesk12\AveDesk.exe
C:\Programme\Rainmeter-0.14-32bit\Rainmeter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Opera\Opera.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKCU\..\Run: [AVEDESK] "C:\Programme\AveDesk12\AveDesk.exe"
O4 - HKCU\..\Run: [Rainmeter] C:\Programme\Rainmeter-0.14-32bit\Rainmeter.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe


da ist mir allerdings nichts dran aufgefallen und die automatische auswertung ergibt auch nichts!
torsten

Die 50KB/s sind die an Deinem Rechner oder am Router angefallen?

die 50 KB/s waren an meinem rechner! habe gerade mal versucht, den angegebenen pfad mit dem volkowcommander zu finden, allerdings ohne erfolg! ausserdem müsste laut pfadangabe is-I5PJ9.tmp im ordner von is-EN6EA.tmp sein! aber eine .tmp datei als ordner?

Was Du mal versuchen könntest (Zeitaufwand circa 5 Minuten):

Boote mal in den abgesicherten Modus:


Lösche dort den Ordner C:\Dokumente und Einstellungen\***\Temp

Ansonsten lass mal eScan laufen

habe jetzt im abges. modus den temp ordner gelöscht und auch vorher den pfad bei webprotect beseitigt! nach einem neustart war der eintrag allerdings wieder da! ich denke den escan kann ich mir sparen, da ich bereits mit kaspersky einen komplettscan gemacht habe und beide die selben antivirendatenbanken benutzen! oder liege ich da falsch? kaspersky hat kein ergebnis gebracht ebenso wenig wie spybot! was kann denn das nur sein?
torsten

Gute Frage, was das sein könnte. eScan kannst Du Dir wohl wirklich sparen. Bliebe noch ein en Blick mit Rootkitrevealer und Blacklight zu riskieren. TCPView könnte Aufschluss geben, wohin die Reise geht.

Ansonsten müsste man mit Filemon schauen, welcher Prozess die Dateien im Tempordner erstellt.

so! ich habe mal mit rootkitrevealer gescant und ein logfile erstellt! kopiere allerdings nur die vielleicht relevanten einträge hier herein, da ich denke daß die ´HIDDEN BY WINDOWS API´ einträge von den versteckten metadaten auf meinen ntfs-platte stammen! zu den anderen einträgen habe ich auf der revealer-site keine beschreibung gefunden!

HKLM\SOFTWARE\Microsoft\Ole 01.05.2006 23:45 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\AppCompat 01.05.2006 19:51 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList 01.05.2006 19:51 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc 01.05.2006 23:46 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\Internet 01.05.2006 19:51 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\NameService 01.05.2006 19:51 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\NetBios 01.05.2006 19:51 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\SecurityService 01.05.2006 19:51 0 bytes Security mismatch.

Ich werd nicht schlau draus. Lasse mal Silentrunners laufen und poste das Log. Und bitte noch TCPView.

hier das log von silentrunners! ist ganz schön lang!

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVEDESK" = ""C:\Programme\AveDesk12\AveDesk.exe"" [" Andreas Verhoeven"]
"Rainmeter" = "C:\Programme\Rainmeter-0.14-32bit\Rainmeter.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"(Default)" = (empty string)
"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKCU...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]
"{2F5AC606-70CF-461C-BFE1-734234536262}" = "WindowBlinds CPL Extension"
-> {HKLM...CLSID} = "DisplayCplExt Class"
\InProcServer32\(Default) = "C:\Programme\Stardock\Object Desktop\WindowBlinds\wbui.dll" ["Stardock.Net, Inc"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"0aMCPClient" = "{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
-> {HKLM...CLSID} = "MCPShellInstantiator Class"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\Stardock\MCPCore.dll" ["Stardock"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! IntelWireless\DLLName = "C:\Programme\Intel\Wireless\Bin\LgNotify.dll" ["Intel Corporation"]
INFECTION WARNING! MCPClient\DLLName = "C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll" ["Stardock"]
INFECTION WARNING! WBSrv\DLLName = "C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll" ["Stardock"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{448f4a40-2602-11d1-b4c0-080000051171}\(Default) = "MP3Ext Column Handler"
-> {HKLM...CLSID} = "MP3Ext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\MP3ext.dll" ["Michael Mutschler"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
MyPhoneExplorer\(Default) = "{C63D6E57-FE9E-43D7-B7ED-900DEB695D3E}"
-> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"
\InProcServer32\(Default) = "C:\Programme\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\tosta\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "tosta" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\tosta\Startmenü\Programme\Autostart
"FRITZ!DSL Protect" -> shortcut to: "C:\Programme\FRITZ!DSL\FwebProt.exe" ["AVM Berlin"]
"FRITZ!DSL Startcenter" -> shortcut to: "C:\Programme\FRITZ!DSL\StCenter.exe" ["AVM Berlin"]
"Stardock ObjectDock" -> shortcut to: "C:\Programme\Stardock\ObjectDock\ObjectDock.exe" ["Stardock"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
EvtEng, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]
kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
RegSrvc, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]
Spectrum24 Event Monitor, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WLANKEEPER, WLANKEEPER, "C:\Programme\Intel\Wireless\Bin\WLKeeper.exe" ["Intel® Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 36 seconds, including 12 seconds for message boxes)

und von tcpview auch noch eins!
sagen mir beide gar nichts, da ich die programme noch nie benutzt habe!

[System Process]:0 TCP tostamistica:1881 66.249.85.99:http TIME_WAIT
[System Process]:0 TCP tostamistica:1882 66.249.85.99:http TIME_WAIT
[System Process]:0 TCP tostamistica:1885 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1886 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1887 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1888 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1889 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1890 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1891 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1914 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1915 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1916 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1917 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1918 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1925 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1926 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1927 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1928 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1930 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1931 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1932 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1933 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1934 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1937 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1948 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1950 62.67.41.130:http TIME_WAIT
[System Process]:0 TCP tostamistica:1988 62.67.41.130:http TIME_WAIT
IGDCTRL.EXE:2012 TCP tostamistica:49001 tostamistica:0 LISTENING
IGDCTRL.EXE:2012 UDP tostamistica:1025 *:*
IGDCTRL.EXE:2012 UDP tostamistica:1900 *:*
kavsvc.exe:2040 TCP tostamistica:1026 tostamistica:0 LISTENING
Opera.exe:2104 TCP tostamistica:1879 216.239.57.104:http ESTABLISHED
Opera.exe:2104 TCP tostamistica:1883 66.249.85.99:http ESTABLISHED
Opera.exe:2104 TCP tostamistica:2002 62.67.41.130:http LAST_ACK
Opera.exe:2104 TCP tostamistica:2003 62.67.41.130:http LAST_ACK
Opera.exe:2104 TCP tostamistica:2011 62.67.41.130:http LAST_ACK
Opera.exe:2104 TCP tostamistica:2017 62.67.41.130:http LAST_ACK
Opera.exe:2104 TCP tostamistica:2039 212.162.62.34:http LAST_ACK
System:4 TCP tostamistica:microsoft-ds tostamistica:0 LISTENING
System:4 UDP tostamistica:microsoft-ds *:*

Beim Silentrunner muss ich nochmal schauen. TCPView liefert meiner Menung nach keine Anhaltspunkte..chip-online, google...alles http.

Versuche das mal zu beobachten. Sollte wieder ein unerwarteter Download stattfinden, versuche das ganze mit TCPView zu erfassen.


BZW versuche mal mit Filemon herauszufinden welcher Prozess in den Tempordner reinschreibt. Und Blacklight wäre auch nicht schlecht.

werd ich machen! morgen werde ich erstmal lesen, was genau mir tcpview alles sagt und was ich daraus ersehen kann!
danke dir! gute nacht!
torsten

guten morgen!
ich habe vorhin mit filemon mal eine zeitlang beobachtet, welches programm irgendetwas mit dem temp ordner anstellt! da ist nur dieses webprotect von fritz!dsl aufgetaucht! danach habe ich nochmal den temp ordner im abges. modus gelöscht, die fritz!software deinstalliert, alle einstellungen für diese gelöscht, neu installiert und bis hierhin ist dieser ominöse eintrag auch nicht wieder zum vorschein gekommen! ich hoffe mal, das bleibt so! habe jetzt auch eine etwas ältere version von fritz!protect installiert, die ich noch auf einer cd rumliegen hatte! vielleicht lags ja an der neueren version! ist an den silentrunners noch irgendetwas ungewöhnliches zu sehen?
torsten

Zitat:

Zitat von tostamistica

ist an den silentrunners noch irgendetwas ungewöhnliches zu sehen?

Um das sagen zu können, müsste Wildone mal reinschauen. Ich bin der Meinung, dass das Log sauber ist, aber Silentrunner ist nicht mein bevorzugtes Analysetool (könnte an dem unübersichtlichen Output liegen - vllt mal ne Batch schreiben).

Behalte das mal im Auge. Normalerweise sollten Einträge in Temp-Ordner von Prozessen erstellt werden, da Temp.-Ordner ja nur temporär als Ablage zur Verfügung stehen. Alo entweder hat Dich die FritzSW gefoppt oder , tja...keine Ahnung...schaun me mal