Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.07.2009, 21:25   #1
Shook
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Frage

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Hallo liebe Trojaner-Board-Helfer!

Vor eininigen Monaten habe ich mittels des Programms currports von nirsoft festgestellt, dass der Windows Explorer eine TCP-Verbindung zu turboamy.planet-school.de aufgebaut hatte. Ich habe diese Website daraufhin in der Datei C:\Windows\system32\drivers\etc\hosts der IP-Adresse 127.0.0.1 zugeordnet. Eine Suche im Internet ergab damals keine Hinweise auf dieses Verhalten und die Suche mit Avira Antivir und GMER ergab keine Auffälligkeiten.

Am Montag dieser Woche stellte ich überrascht fest, dass der Windows Explorer jetzt eine Verbindung zu turbolrrr.planet-school.de aufgebaut hatte. Wieder ergaben die Suche mit den ebend genannten Programmen keine Auffälligkeiten. Beim Scan des Windows Explorer bei Virus Total war nur McAfee-GW-Edition der Meinung folgende Malware erkannt zu haben: Heuristic.Lookslike.Trojan.Crypt.K
Alle anderen Scanner hatten an der Datei nichts auszusetzen. Meine erneute Suche im Internet brachte jetzt folgenden Board-Beitrag als einzigen Treffer: h**p://www.trojaner-board.de/73272-trojaner-der-explorer-exe.html
Leider konnte (oder wollte) ihm keiner helfen.

Ich vermute jedoch, dass irgendein Rootkit meinen Rechner zur Drohne gemacht hat und bitte deshalb um eure Hilfe. Bin gerne bereit weitere Tools zur Suche einzusetzen und auch einige Zeit zu investieren.

Malwarebytes Anti-Malware liefert folgendes Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2403
Windows 5.1.2600 Service Pack 3

10.07.2009 21:10:14
mbam-log-2009-07-10 (21-10-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 128460
Laufzeit: 54 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Hijack This liefert folgendes Ergebnis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:17, on 10.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\Program Files\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
c:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
C:\WINDOWS\system32\mgabg.exe
C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\Secunia\PSI\psi.exe
D:\User-Daten\02_Shook\Desktop\Current Ports\cports.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\User-Daten\02_Shook\Desktop\Current Ports\IPNetInfo.exe
C:\WINDOWS\system32\NOTEPAD.EXE
L:\PortableApps\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WD Drive Manager] C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [HotSync] "C:\Program Files\PalmSource\Desktop\HotSync.exe" -AllUsers
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246887020955
O17 - HKLM\System\CCS\Services\Tcpip\..\{343E79A9-6A83-4C03-8C14-F8DEC143BDAC}: NameServer = 213.191.74.11,213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{56FD2CEA-997F-478D-90D9-6DE134B93B1C}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - c:\Program Files\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
O23 - Service: Matrox.Pdesk.ServicesHost - Matrox Graphics Inc - c:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 5651 bytes
         
Und dass ist die Liste der installierten Software (aus Hijack This):
Code:
ATTFilter
Adobe AIR
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
AudibleManager
Avira AntiVir Personal - Free Antivirus
Compatibility Pack for the 2007 Office system
Copy Handler 1.31beta-svn152
Critical Update for Windows Media Player 11 (KB959772)
Endless Mahjong
HashTab 3.0.0
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 11 (KB939683)
Hotfix for Windows XP (KB952287)
Hotfix for Windows XP (KB961118)
Java(TM) 6 Update 13
Logitech iTouch-Software
Malwarebytes' Anti-Malware
Matrox Graphics Software (remove only)
Matrox PowerDesk-SE
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Base Smart Card Cryptographic Service Provider Package
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office 2000 SR-1 Premium
Microsoft Office Converter Pack
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Word 2000 SR-1
Mozilla Firefox (3.5)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
NetSpeedMonitor 2.4.2.0 x86
Palm Desktop by ACCESS
PDFCreator
Samsung ML-2010 Series
Secunia PSI
Security Update for Windows Media Player (KB952069)
Security Update for Windows Media Player 11 (KB936782)
Security Update for Windows Media Player 11 (KB954154)
Security Update for Windows XP (KB923561)
Security Update for Windows XP (KB923789)
Security Update for Windows XP (KB938464)
Security Update for Windows XP (KB938464-v2)
Security Update for Windows XP (KB941569)
Security Update for Windows XP (KB946648)
Security Update for Windows XP (KB950759)
Security Update for Windows XP (KB950760)
Security Update for Windows XP (KB950762)
Security Update for Windows XP (KB950974)
Security Update for Windows XP (KB951066)
Security Update for Windows XP (KB951376)
Security Update for Windows XP (KB951376-v2)
Security Update for Windows XP (KB951698)
Security Update for Windows XP (KB951748)
Security Update for Windows XP (KB952004)
Security Update for Windows XP (KB952954)
Security Update for Windows XP (KB953838)
Security Update for Windows XP (KB953839)
Security Update for Windows XP (KB954211)
Security Update for Windows XP (KB954459)
Security Update for Windows XP (KB954600)
Security Update for Windows XP (KB955069)
Security Update for Windows XP (KB956390)
Security Update for Windows XP (KB956391)
Security Update for Windows XP (KB956572)
Security Update for Windows XP (KB956802)
Security Update for Windows XP (KB956803)
Security Update for Windows XP (KB956841)
Security Update for Windows XP (KB957095)
Security Update for Windows XP (KB957097)
Security Update for Windows XP (KB958215)
Security Update for Windows XP (KB958644)
Security Update for Windows XP (KB958687)
Security Update for Windows XP (KB958690)
Security Update for Windows XP (KB959426)
Security Update for Windows XP (KB960225)
Security Update for Windows XP (KB960714)
Security Update for Windows XP (KB960715)
Security Update for Windows XP (KB960803)
Security Update for Windows XP (KB961373)
Security Update for Windows XP (KB961501)
Security Update for Windows XP (KB963027)
Security Update for Windows XP (KB968537)
Security Update for Windows XP (KB969897)
Security Update for Windows XP (KB969898)
Security Update for Windows XP (KB970238)
TeamViewer 4
TreeSize Free V2.3.3
Unlocker 1.8.7
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Windows XP (KB942763)
Update for Windows XP (KB943729)
Update for Windows XP (KB951072-v2)
Update for Windows XP (KB951978)
Update for Windows XP (KB955839)
Update for Windows XP (KB967715)
WD Diagnostics
WD Drive Manager (x86)
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows PowerShell(TM) 1.0
Windows PowerShell(TM) 1.0 MUI pack
Windows XP Service Pack 3
ZoneAlarm
         
__________________
live long and prosper!

Alt 21.07.2009, 23:33   #2
Shook
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Hallo Trojaner-Board-Helfer,

nachdem die Zieladresse auf turboliesel.planet-school.de "umgesprungen" ist, habe ich weitere Recherchen unternommen.
Alle Websites (turbo*.planet-school.de) verweisen auf die IP-Adresse 194.116.187.25. Eine Google-Suche mit dieser IP-Adresse als einzigen Suchbegriff ergab 150 Treffer, von denen mir 43 angezeigt wurden. In etlichen Treffern rühmten sich Leute in (Hacker-)Foren damit diverse Websites mit dieser IP-Adresse gehackt zu haben (Foren u.a. arabic-m.com, zone-h.net, zone-h.com).
Sind das weitere Hinweise auf einen Trojaner?
__________________

__________________

Alt 22.07.2009, 00:06   #3
Adler-Wolf
 

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



*******
Anmerkung

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2403


Du hast dein Malwarebytes nicht Aktualliesiert vor dem Scan
Es gibt bereits Version 1.39

Ende
*******
__________________

Alt 23.07.2009, 06:35   #4
xonic
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Ich hab den Hoster damals angeschrieben aber die wollten mich nicht auf dem
laufenden halten. Die dachten ja auch noch das es war bringen würde um einen
Trojaner zu entfernen einen Virenscanner zu installieren der jedoch auch bei
der vermutlichen Infektion schon bestand.

Ich habe derartige Verbindungen nicht mehr. Eventuell hat der Trojanerersteller alle Clients entfernt oder ich habe es damals manuelle irgendwie geschafft das Ding los zu werden. IP ist in meiner Hostdatei ebenfalls auf 127.0.0.1 umgeroutet.

Alt 23.07.2009, 15:54   #5
Shook
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Zitat:
Zitat von Adler-Wolf Beitrag anzeigen
*******
Anmerkung

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2403


Du hast dein Malwarebytes nicht Aktualliesiert vor dem Scan
Es gibt bereits Version 1.39

Ende
*******
Danke für den Hinweis, dass Malewarebytes _nach_ meinem Scan (man beachte das Datum) seine SW aktualisiert hat. Auch die neue Version hat nichts gefunden:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

23.07.2009 16:49:49
mbam-log-2009-07-23 (16-49-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|K:\|)
Durchsuchte Objekte: 149095
Laufzeit: 2 hour(s), 10 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Welche Maßnahmen kann ich noch ergreifen?

__________________
live long and prosper!

Alt 23.07.2009, 16:06   #6
xonic
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Hast du die Verbindung immer oder nur manchmal?

Kann man vielleicht mit einem Sniffer checken was da versendet wird?

Alt 23.07.2009, 21:09   #7
Bundyfreak
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Hallo,

hab mich extra hier angemeldet weil ich glaube die "Ursache" dafür gefunden zu haben. Nachdem mir das heute mittag selbst zum ersten mal aufgefallen ist und ich dann natürlich alles mögliche ausprobiert habe konnte ich es tatsächlich wieder reproduzieren und zwar so:

Ich benutze schon seit längerem das Programm NetSpeedMonitor ( w*w.floriangilles.com/software/ ), lässt man dieses nun nach Updates suchen und schaut sich dann die TCP-View Einträge an erscheint genau der oben beschriebene Eintrag (explorer.exe TCP turbolrrr.planet-school.de:http CLOSE_WAIT)

Alt 23.07.2009, 22:12   #8
xonic
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Und genau das gleiche Programm haben wir beide auch - nur ist es normal, dass man dann auch in der explorer.exe die Verbindung sieht?

Alt 23.07.2009, 22:34   #9
Bundyfreak
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Hm, da bin ich leider überfragt, beschäftige mich normal nicht mit sowas. Aber ich denke mal einer von den Experten hier müsste dazu was sagen können ?

Sollte das wirklich kein normales Verhalten sein könnte man mal beim Autor des Programms nachfragen, aber ich denke nicht dass es irgendwie schädlich/böse ist.

Alt 24.07.2009, 11:29   #10
xonic
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Hallo Herr xxxxxx,

Folgenden Kommentar können Sie im Forum posten:

Bei NetSpeedMonitor handelt es sich um eine Toolbar (nsm.dll), welche abgeschirmt innerhalb des explorer.exe Hostprozesses läuft. Der Hostprozess selber ist dabei für die Verwaltung und dessen Darstellung in der Taskleiste verantwortlich (siehe Konzept der dynamischen Bibliotheken in Windows). NetSpeedMonitor fragt in regelmäßigen Abständen die URL http://www.floriangilles.com/v/netspeedmonitor (Webhoster: planet-school.de / ps-webhosting.de) ab, ob eine neue Version des Programms verfügbar ist. Die automatische Updateüberprüfung kann in den Einstellungen problemlos deaktiviert werden. Ich kann ihnen hiermit versichern, dass NetSpeedMonitor keinen Trojaner oder ähnliche Methoden enthält, um Nutzerinformationen auszuspähen.

Viele Grüsse,
Florian

Alt 26.07.2009, 18:09   #11
Shook
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Zitat:
Zitat von xonic Beitrag anzeigen
Bei NetSpeedMonitor handelt es sich um eine Toolbar (nsm.dll), welche abgeschirmt innerhalb des explorer.exe Hostprozesses läuft. Der Hostprozess selber ist dabei für die Verwaltung und dessen Darstellung in der Taskleiste verantwortlich (siehe Konzept der dynamischen Bibliotheken in Windows). NetSpeedMonitor fragt in regelmäßigen Abständen die URL http://www.floriangilles.com/v/netspeedmonitor (Webhoster: planet-school.de / ps-webhosting.de) ab, ob eine neue Version des Programms verfügbar ist. Die automatische Updateüberprüfung kann in den Einstellungen problemlos deaktiviert werden. Ich kann ihnen hiermit versichern, dass NetSpeedMonitor keinen Trojaner oder ähnliche Methoden enthält, um Nutzerinformationen auszuspähen.
Dieses Verhalten von NetSpeedMonitor habe ich auch festgestellt, jedoch taucht dieser Zugriff bei meiner Firewall Zonealarm ausgehend vom Modul winlogon.exe auf und will auch auf die Website floriangilles.com zugreifen (nicht jedoch auf turbo*.planet-school.de). Beide Sites werden jedoch unter der selben IP-Adresse gehosted (194.116.187.25). Habe nun seit Tagen keinen weiteren Zugriffsversuch auf turbo*.planet-school.de verzeichnen können. Musste dafür aber feststellen, dass jeder Aufruf der Adresse www.floriangilles.de im Firefox (3.5.1) einen entsprechenden Sperreintrag (habe in Zonealarm die o.g. IP-Adresse als gesperrte Seite eingetragen) produziert, aber immer mit dem Verweis auf den Verursacher winlogon.exe (und nicht wie ich erwartet habe mit dem Verursacher firefox.exe).
Da die IP-Adresse von www.planet-school.de auch 194.116.187.11 lautet vermute ich eher, dass die IP-Adresse 194.116.187.25 wirklich gehackt wurde und dort entsprechende Schad-SW hinterlassen wurde, die durch den Verbindungsversuch von NetSpeedMonitor durch die Firewall auf mein System gelangt ist und sich immer noch geschickt verbergen kann. Werde deshalb nächstes Wochenende den Rechner neu aufsetzen.
__________________
live long and prosper!

Alt 26.07.2009, 19:15   #12
xonic
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Kannst ihn ja diesbezüglich nochmal anschreiben.

Alt 26.07.2009, 19:28   #13
Bundyfreak
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



@Shook

Habs auch mal getestet.
Also bei mir erscheint im Firewall-Log eigentlich alles normal (soweit ich das beurteilen kann).
Bei Aufruf über den Browser landet firefox.exe im Log und bei Update-Versuch über das Programm ist es explorer.exe

Von winlogon keine Spur, die wollte auch noch nie Zugriff zum Internet

Alt 26.07.2009, 19:30   #14
xonic
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Zitat:
Zitat von Bundyfreak Beitrag anzeigen
@Shook

Habs auch mal getestet.
Also bei mir erscheint im Firewall-Log eigentlich alles normal (soweit ich das beurteilen kann).
Bei Aufruf über den Browser landet firefox.exe im Log und bei Update-Versuch über das Programm ist es explorer.exe

Von winlogon keine Spur, die wollte auch noch nie Zugriff zum Internet
Hats du Zonealarm Free genutzt dann würde ich es auch mal versuchen?

Alt 26.07.2009, 19:35   #15
Bundyfreak
 
C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Standard

C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf



Nein, hab Comodo

Antwort

Themen zu C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf
adobe, antivir, antivir guard, avira, bereit, bho, converter, desktop, firefox, flash player, format, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, ip-adresse, locker, logfile, malware, monitor, mozilla, registrierungsschlüssel, rootkit, scan, secunia, software, system, virus, virus total, windows, windows xp



Ähnliche Themen: C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf


  1. Trojaner bei Fishing Planet?
    Plagegeister aller Art und deren Bekämpfung - 21.08.2015 (5)
  2. Windows 8: Adware nimmt Überhand
    Log-Analyse und Auswertung - 11.08.2014 (7)
  3. Windows 7, Firofox & Internet Explorer: Datenübertragung unterbrochen, Gesicherte Verbindung fehlgeschlagen, Werbeseiten poppen auf
    Log-Analyse und Auswertung - 20.07.2014 (9)
  4. Windows 7: Firefox fehlermeldung : Proxy-Server verweigert die Verbindung, Internet Explorer falsche Startseite, viel werbung
    Log-Analyse und Auswertung - 22.04.2014 (23)
  5. Turbo-Lister blockiert Webbrowser
    Log-Analyse und Auswertung - 20.12.2013 (27)
  6. Zeit Online nimmt Windows-8-Warnung vom Netz
    Nachrichten - 28.08.2013 (0)
  7. Driver Turbo
    Alles rund um Windows - 17.01.2013 (1)
  8. Driver Turbo #2
    Mülltonne - 17.01.2013 (0)
  9. Chrome-Exploit für Windows nimmt alle Sicherheitshürden
    Nachrichten - 10.05.2011 (0)
  10. Windows nimmt keine Verbindungen an
    Alles rund um Windows - 21.04.2011 (5)
  11. Wie nimmt ein Trojaner Verbindung zum client auf?
    Plagegeister aller Art und deren Bekämpfung - 10.11.2008 (1)
  12. Windows-Explorer will Verbindung zu Goolge aufbauen
    Überwachung, Datenschutz und Spam - 15.02.2008 (2)
  13. MS Explorer nimmt keine Startseite von mir mehr an
    Log-Analyse und Auswertung - 23.05.2006 (8)
  14. Kennt jemand ip503c06cb.speed.planet.nl
    Plagegeister aller Art und deren Bekämpfung - 05.03.2005 (35)
  15. Windows Explorer "will" Verbindung herstellen
    Antiviren-, Firewall- und andere Schutzprogramme - 07.01.2004 (20)
  16. LM für Windows ME nimmt nur 14 Stellige Passwörter an
    Alles rund um Windows - 10.03.2003 (0)

Zum Thema C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf - Hallo liebe Trojaner-Board-Helfer! Vor eininigen Monaten habe ich mittels des Programms currports von nirsoft festgestellt, dass der Windows Explorer eine TCP-Verbindung zu turboamy.planet-school.de aufgebaut hatte. Ich habe diese Website daraufhin - C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf...
Archiv
Du betrachtest: C:\Windows\explorer.exe nimmt Verbindung mit turbo*.planet-school.de auf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.