Zurück   Trojaner-Board > Malware entfernen > Überwachung, Datenschutz und Spam

Überwachung, Datenschutz und Spam: Wireshark, seltsame IGMP & Browser Protokolle.

Windows 7 Fragen zu Verschlüsselung, Spam, Datenschutz & co. sind hier erwünscht. Hier geht es um Abwehr von Keyloggern oder aderen Spionagesoftware wie Spyware und Adware. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 05.04.2010, 10:45   #1
Dogz
 
Wireshark, seltsame IGMP & Browser Protokolle. - Standard

Wireshark, seltsame IGMP & Browser Protokolle.



Halli Hallo,
Ich habe mal eine Frage zu Wireshark.
Da ich in letzter Zeit immer wieder irgendwelche Fakeeinladungen via. Icq von irgendwelchen Russen bekomme, wollte ich mal die Pakete die von meinem Pc aus geschickt werden, näher anschauen.
So das seltsame ist nun, wenn ich kein Browser offen habe Mozilla Firefox zB. ,dann tauchen bei Wireshark immer seltsame IGMP Protokolle auf, desweiteren kam eben noch ein Browserprotokoll dazu, was mich sehr wundert.

Screen:


Die eigentliche Frage sollte nun sein ob mir jemand behilflich sein kann, zuklären was diese Protokolle bedeuten, war ja ziemlich unschön wenn ich jetzt schon einen Rootkit auf dem Pc hätte ;/. (Vor einer Woche neu gemacht)

Edit: Ich hänge mal den Hijackthislog mit drann :P
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:55, on 05.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Wireshark\wireshark.exe
C:\Programme\Wireshark\dumpcap.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com?o=14597&l=dis
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 2643 bytes
Da ist mir aufgefallen das
Zitat:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
2 mal offen ist, warum weiss ich nicht und die Einträge:
Zitat:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
[NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
1. Sieht sehr komisch aus grade die Datei : SKYPE4~1.DLL, was ist das?
2. Ebenfalls sehr seltsam, da die ctfmon.exe schon läuft und nochmal als lokaler Dienst ausgeführt wird.
3. Da macht mich das
Zitat:
[NvCplDaemon] RUNDLL32.EXE
sehr stuzig, sieht irgendwie nicht nach einer Datei aus die zum System gehört ;/.

Ich bedanke mich schonmal im Vorraus für die Hilfe.
Mfg Dogz

Geändert von Dogz (05.04.2010 um 10:58 Uhr)

Alt 05.04.2010, 11:02   #2
counter
Gesperrt
 
Wireshark, seltsame IGMP & Browser Protokolle. - Standard

Wireshark, seltsame IGMP & Browser Protokolle.



Lass erst mal ein Antirootkit laufen und poste dann den bericht
__________________


Alt 05.04.2010, 14:46   #3
Dogz
 
Wireshark, seltsame IGMP & Browser Protokolle. - Standard

Wireshark, seltsame IGMP & Browser Protokolle.



Gmer:
Zitat:
GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2010-04-05 14:44:07
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB015EC56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB015EB12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB015F0C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB015EFF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB015E6E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB015EBEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB015E628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB015E68C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB015ED0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB015F194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB015ECCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB015EE4C]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB016B4FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB016B322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB016B45C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2CE0 8050457C 4 Bytes CALL 17005B67
.text ntkrnlpa.exe!ObfDereferenceObject 8052669A 7 Bytes [B8, 44, 98, 32, B8, FF, E0] {MOV EAX, 0xb8329844; JMP EAX}
PAGE ntkrnlpa.exe!ZwLoadDriver 8058413A 7 Bytes JMP B016B460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805AB3AC 7 Bytes JMP B016B326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!MmMapViewOfSection 805B1DC0 7 Bytes [B8, D0, 92, 32, B8, FF, E0] {MOV EAX, 0xb83292d0; JMP EAX}
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805BC520 5 Bytes JMP B01674BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObCreateObject 805C137E 7 Bytes [B8, 12, 92, 32, B8, FF, E0] {MOV EAX, 0xb8329212; JMP EAX}
PAGE ntkrnlpa.exe!ObInsertObject 805C2FA4 7 Bytes JMP B0168972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1144 7 Bytes JMP B016B502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
? phooks.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[2612] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[824] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[824] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----
Panda Antirootkit:
Zitat:
MfG Dogz
__________________

Alt 05.04.2010, 17:06   #4
Acid303
 

Wireshark, seltsame IGMP & Browser Protokolle. - Standard

Wireshark, seltsame IGMP & Browser Protokolle.



Hallo Dogz

Code:
ATTFilter
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
[NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
         
Das ist alles harmlos. Die erste gehört zu Skype, das mit der CTFMON.exe ist völlig normal und die letzte Datei ist Teil vom Treiber deiner Grafikkarte. Malware seh ich auf den ersten Blick keine bei dir aber in der Richtung kann ich dir leider auch nicht helfen weil ich hier zur Zeit keine Bereinigungen machen kann.

Gruß

Acid
__________________
Kein Support per PM

Das befolgen der Tips und Anleitungen geschieht auf eigene Gefahr.

Alt 05.04.2010, 18:30   #5
Dogz
 
Wireshark, seltsame IGMP & Browser Protokolle. - Standard

Wireshark, seltsame IGMP & Browser Protokolle.



Alles klar, dann hoffe ich mal das hier noch Einige antworten werden .
Mein Internet ist halt seit 2-3 Tagen extremst langsam geworden, darum hab ich gedacht das hätte villeicht was mit irgendwelchen Rootkits, bzw nebenherlaufenden Programmen die irgendwas ausspähen zutun ;o.

MfG Dogz


Alt 05.04.2010, 19:25   #6
counter
Gesperrt
 
Wireshark, seltsame IGMP & Browser Protokolle. - Standard

Wireshark, seltsame IGMP & Browser Protokolle.



welchen router hast du?

Antwort

Themen zu Wireshark, seltsame IGMP & Browser Protokolle.
avast!, bedeuten, browser, firefox, frage, geschickt, halli, icq, immer wieder, mozilla, mozilla firefox, neu, näher, offen, pakete, rootkit, schön, seltsame, skype.exe, tauchen, warum, wireshark, woche, wunder, ziemlich



Ähnliche Themen: Wireshark, seltsame IGMP & Browser Protokolle.


  1. Netzwerk-Analysetool Wireshark springt auf Version 2.0
    Nachrichten - 10.11.2015 (0)
  2. Wireshark Auswertung
    Log-Analyse und Auswertung - 01.11.2015 (1)
  3. Windows 8.1: Seltsame Browser Redirects und Popups
    Log-Analyse und Auswertung - 08.05.2014 (12)
  4. DealPly und Co. entfernt aber immer noch seltsame Werbepopups im Chrome Browser
    Plagegeister aller Art und deren Bekämpfung - 22.09.2013 (15)
  5. Regelmäßige Timeouts - Wireshark-Log
    Log-Analyse und Auswertung - 09.07.2013 (9)
  6. Wireshark 1.10 mit besserem Win-8-Support
    Nachrichten - 07.06.2013 (0)
  7. WireShark und dubiose IPs ohne Grund...
    Überwachung, Datenschutz und Spam - 18.12.2012 (1)
  8. Wireshark File Auswertung
    Log-Analyse und Auswertung - 08.09.2011 (0)
  9. Seltsame SSDP & IGMP Protokolle = Rootkit?
    Log-Analyse und Auswertung - 12.08.2011 (3)
  10. seltsame Musik im Browser Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (12)
  11. Wireshark Antivirus entfernen
    Anleitungen, FAQs & Links - 07.08.2010 (2)
  12. Überwachungssoftware erkennen und evtl. Protokolle finden
    Überwachung, Datenschutz und Spam - 04.04.2010 (3)
  13. Wireshark für Windows 7
    Nachrichten - 28.10.2009 (0)
  14. Seltsame Schriftart im Browser
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (2)
  15. Wireshark Frage
    Überwachung, Datenschutz und Spam - 11.03.2009 (3)
  16. Wireshark + WinPcap = Benutzer ausspionieren?
    Überwachung, Datenschutz und Spam - 28.08.2008 (6)
  17. ZoneAlarm - Warnungen & Protokolle
    Antiviren-, Firewall- und andere Schutzprogramme - 14.02.2005 (3)

Zum Thema Wireshark, seltsame IGMP & Browser Protokolle. - Halli Hallo, Ich habe mal eine Frage zu Wireshark. Da ich in letzter Zeit immer wieder irgendwelche Fakeeinladungen via. Icq von irgendwelchen Russen bekomme, wollte ich mal die Pakete die - Wireshark, seltsame IGMP & Browser Protokolle....
Archiv
Du betrachtest: Wireshark, seltsame IGMP & Browser Protokolle. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.