Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unbekannter ausgehender Datenverkehr (https://www.trojaner-board.de/37572-unbekannter-ausgehender-datenverkehr.html)

RemoteC 01.04.2007 21:10
Unbekannter ausgehender Datenverkehr
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

seit dem verunglückten Updaten des BitDefender vom 29.3.2007 habe ich massive Probleme mit dem Internet. Ich bin genau nach der Anleitung, die unter anderem auf "heise.de" war, vorgegangen. Grundsätzlich scheint alles wieder zu funktionieren, aber eben nur scheinbar.

Zunächst kommt immer eine Fehlermeldung schon beim Hochfahren, bereits vor der Anmeldung (siehe unten). Diese Meldung kommt auch immer wieder während der Arbeit.

Weiters ist eigenartig, dass der Aktivitätsmonitor von ZoneAlarm in der Systray permanent einen ausgehenden Datenverkehr anzeigt, den ich nicht zuordnen kann. Interessanterweise zeigen aber die kleinen Monitore in der Systray (Netzwerk) keinen Datenstrom an.

Ich habe Hijackthis durchlaufen lassen. Hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 21:53:56, on 01.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
O:\WINNT\System32\smss.exe
O:\WINNT\system32\winlogon.exe
O:\WINNT\system32\services.exe
O:\WINNT\system32\lsass.exe
O:\WINNT\system32\Ati2evxx.exe
O:\WINNT\system32\svchost.exe
O:\WINNT\system32\ZoneLabs\vsmon.exe
O:\WINNT\system32\spoolsv.exe
O:\WINNT\system32\svchost.exe
O:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
O:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
O:\WINNT\system32\regsvc.exe
O:\WINNT\system32\MSTask.exe
O:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O:\WINNT\System32\WBEM\WinMgmt.exe
O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O:\WINNT\system32\Ati2evxx.exe
O:\WINNT\Explorer.EXE
O:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\ASUS\AsusProb.exe
O:\Programme\Logitech\iTouch\iTouch.exe
O:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\BITDEFENDER\bdagent.exe
E:\ADOBE\ACROBAT_8PRO\Acrobat\Acrotray.exe
E:\BITDEF~1\bdmcon.exe
O:\WINNT\system32\wcescom32.exe
E:\ZONEALARM\ZoneAlarm\zlclient.exe
O:\WINNT\system32\internat.exe
O:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
E:\BITDEFENDER\vsserv.exe
E:\RAR\WinRAR.exe
E:\FIREFOX\Mozilla Firefox\firefox.exe
N:\HIJACKTHIS_\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - O:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - O:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] O:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "O:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ASUS Probe] e:\ASUS\AsusProb.exe
O4 - HKLM\..\Run: [zBrowser Launcher] O:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] O:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [BDAgent] "E:\BITDEFENDER\bdagent.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\ADOBE\ACROBAT_8PRO\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [BDMCon] E:\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [ActiveSync] O:\WINNT\system32\wcescom32.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\ZONEALARM\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ActiveSync] O:\WINNT\system32\wcescom32.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = E:\ADOBE\ACROBAT_8PRO\Acrobat\acrobat_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\ADOBE\ACROBAT_8PRO\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7F48C7E-3947-4361-9D21-9D3514208D5E}: NameServer = 195.**.160.***,195.**.161.***
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - O:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - O:\WINNT\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - O:\WINNT\System32\dmadmin.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - O:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - O:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - O:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - E:\BITDEFENDER\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Eine Angabe im Log-File stimmt nicht: ich verwende nicht den IE, sondern Firefox in der aktuellsten Version.

Wo liegt der Hund begraben?
Herzlichen Dank!

mfg
RemoteC

KarlKarl 01.04.2007 21:22
Hi,

der Screenshot kann die Folge des Bitdefender Problems sein, kann aber auch sein daß das folgende Problem da herumpfuscht, eventuell ist dein Scanner aus dem Verkehr gezogen worden.

Code:
O:\WINNT\system32\wcescom32.exe
O4 - HKLM\..\Run: [ActiveSync] O:\WINNT\system32\wcescom32.exe
O4 - HKCU\..\Run: [ActiveSync] O:\WINNT\system32\wcescom32.exe
Sieht schwer danach aus. Lass die Datei mal bei VirusTotal scannen, die Beschreibung passt aber exakt. Wenn deine Firewall das nicht identifizieren kann, dann ..., na dann würde ich sagen daß sie nicht besonders viel taugt. Den PRozessen auf die Finger zu schauen, das versprechen schließlich diese Desktopfirewalls, ohn es einhalten zu können. Stichwort für Google: Leaktest.

Gruß, Karl

Loopexpert 02.04.2007 07:24
Hi Karl,

nur kurz zur Vorstellung: ich bin der Vater von RemoteC, der den Beitrag gepostet hat.

Zunächst danke für die Infos - werde das entsprechend durchgehen.
Sollte sich der Übeltäter nicht finden, melden wir uns wieder.

Liebe Grüße
Alfred

Loopexpert 04.04.2007 09:58
Hallo,

also, die Datei "wcescom32.exe" habe ich weg - was immer das war.
Allerdings, das eigenartige Fehlerfenster beim Starten (und auch immer weider zwischendurch) kommt immer noch.

Das Problem mit dem ausgehenden Datenverkehr hat sich scheinbar inzwischen auch gelöst, der neue Zonealarm hält offenbar dicht.

Aber ich habe nach einem gründlichen Scanning mit den neuesten Bitdefender (angeblich wieder fehlerfrei ???) folgenden Auszug aus dem Logfile kopiert:



//-----------------------------------------------------------------
//
// ProduktBitDefender Internet Security v10
// Produkt10.2
//
// Erstellt am: 02/04/2007 21:26:39
//
//-----------------------------------------------------------------

Statistik

Pfad : O:\
Ordner : 1433
Dateien : 72360
Geprüfte Speicher-Prozesse: 11
Archive : 638
Laufzeitkomprimierung :11462
Erkannte Viren : 1
Infizierte Dateien : 1
Infizierte Speicher-Prozesse: 0
Verdächtige Dateien : 6
Warnungen : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 1
Verschobene Dateien : 0
I/O Fehler : 25
Prüfzeit : 00:13:14
Prüfgeschwindigkeit (Dateien/Sekunde) : 91

Spyware Statistiken

Geprüste Registrierungsschlüssel: 1339
Infizierte Registrierungsschlüssel: 0
Geprüfte Cookies: 0
Infizierte Cookies: 0
Infizierte Spyware-Dateien: 0
Erkannte Spyware-Prozesse: 0

Virusdefinitionen : 15321034
Scan Plug-Ins : 16
Archiv Plug-Ins : 41
Archiv Plug-Ins : 6
E-Mail Plug-Ins : 6
System Plug-Ins : 5

Zusammenfassung:

O:\Dokumente und Einstellungen\DasTeam\Lokale Einstellungen\Temp\filex.exe Verdächtig BehavesLike:Trojan.StartPage
O:\Dokumente und Einstellungen\DasTeam\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHINOXYN\hp[1].exe Verdächtig BehavesLike:Trojan.StartPage
O:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\05AJODUN\pdcv[1].jpg Infiziert mit: Trojan.Proxy.Agent.AJL
O:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\05AJODUN\pdcv[1].jpg Gelöscht
O:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DEFKL63\hp[1].exe Verdächtig BehavesLike:Trojan.StartPage
O:\Dokumente und Einstellungen\DerChef\Lokale Einstellungen\Temp\filex.exe Verdächtig BehavesLike:Trojan.StartPage
O:\Dokumente und Einstellungen\DerChef\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIZO5UV\hp[1].exe Verdächtig BehavesLike:Trojan.StartPage
O:\WINNT\Temp\filex.exe Verdächtig BehavesLike:Trojan.StartPage


So, wenn ich jetzt nach den angeführten Namen im Netz suche, so sind das uralte Bekannte aus den frühen 2000-Jahren, sie werden auch offenbar erkannt. Aber ich kann diese Files weder löschen, noch verschieben, umbenennen oder sonst eine Aktion setzen.
Das kann ich irgendwie nicht nachvollziehen, weil meine Rechner bis zum 29.3. (das mysteriöse Update-Datum des BD) immer mit Sicherheit "clean" waren.

Wo soll ich mit der Fehlersuche anfangen?

Danke für wertvolle Tipps.

Alfred


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131