Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Riesige Datenmengen werden verschickt (https://www.trojaner-board.de/11681-riesige-datenmengen-verschickt.html)

loeffler 05.01.2005 01:27
Riesige Datenmengen werden verschickt
 
Moinsen,

Bin neu hier und habe seit gestern folgendes Problem:

Irgendein Programm versendet und empfängt riesige Datenmengen. Das sind nach 20-30 Minuten um die 20-30 Millionen Bytes, also 20-30 MB - was eigentlich gar nicht möglich ist. Und nein, ich habe kein Download Programm an. Das ganze geht dann soweit, dass die Lan verbindung vom Rechner vom Switch Blockiert wird, damit das Netzwerk nicht überlastet wird.

Sooo... natürlich hab ich dann gleich mal sämtliche Antiviren Programme etc. geupdatet und durchlaufen lassen - jedoch ohne Erfolg. Auch sind mir keine seltsamen Tasks aufgefallen und Programme wie eScan oder HijackThis finden keinerlei verdächtige Programme.

Lediglich wenn ich svchost Beende, hören die Datentransfere auf. Dies führt jedoch zu Problemen, z.B. funktioniert dadurch Firefox nicht mehr und auch der IE funktioniert nur noch eingeschränkt.
Hab dann mal hijackthis laufen lassen, und folgendes ausgespuckt bekommen:

Logfile of HijackThis v1.99.0
Scan saved at 01:29:06, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\apache\mysql\bin\mysqld-nt.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\svchost.exe
c:\apache\APACHE.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ec3b89...dxIE601_de.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: MySql - Unknown - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: PHPGeekUtil - Unknown - c:\apache\APACHE.EXE

Hoffe mir kann jemand helfen, ansonsten bleibt wohl nur Format C übrig.

MountainKing 05.01.2005 02:05
Welche Virenscanner hast du genau verwendet? Benutze mal E-Scan wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

loeffler 05.01.2005 02:10
Virenscanner hab ich AntiVir, neustes Update.

Und eScan hab ich schon durchlaufen lassen, als ergebnis wurde lediglich nur

Tue Jan 04 22:22:35 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\VVSN_RDLT0504Inst.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

ausgegeben.

MountainKing 05.01.2005 02:20
Hast du E-scan updgedated und auch ALLE Dateien scannen lassen, wie beschrieben? Ansonsten fällt mir erst mal nix weiter auf im Log. Hast du ein bestimmtes Programm installiert, bevor das Ganze losging? Kannst du nachvollziehen, welches Programm/welcher Prozess diese Daten umsetzt? Eventuell mit netstat:

http://www.microsoft.com/resources/d...s/netstat.mspx

loeffler 05.01.2005 02:26
Also eScan habe ich direkt nach dem entpacken geupdatet, so wie es auf der einen Seite die du gepostet hast beschrieben ist. Und auch alles so ausgeführt, wie es auf der Seite steht.

Und mit netstat werden mir einmal zwei Trillian verbindungen angezeigt, einmal die Seite hier, dann eine t-dialin.net Verbindung mit dem Port 13762 und zehn mir unbekannte Verbindungen, deren Status ist jedoch WARTEND. Soll ich die hier posten?

// Edit: localhost Verbindungen hab ich noch vergessen.

chris47803 05.01.2005 08:19
Folgendes fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

Den Apache-Server deinstallieren, wenn du ihn nicht brauchst.
Ansonsten beenden, falls er als Dienst läuft.

loeffler 05.01.2005 14:22
Den Apache Server hab ich drauf, um php Scripts etc. zu testen.... aber den hab ich eigentlich schon sau lange installiert.... und bisher noch nie Probleme.

chris47803 05.01.2005 14:26
Ich sagte ja nicht das der stört, aber wenn du ihn nicht richtig
abgesichert hast, können Daten von aussen in dein System dringen.

Besorge dir am besten Xampp.
Das ist alles drin was du brauchst, um deine Scripts
offline zu testen.

loeffler 05.01.2005 14:45
SO nachdem ich das deaktiviert hab und den Apache server runna geschmissen hab... werden trotzdem noch riesige Datenmengen von meinem PC aus gesendet um empfangen. Hab grad erst neugestartetet, und schon wird mir Gesendet: 2 Mio Bytes und Empfangen: 1,2 Mio Bytes.

Aber das steigert sich jetzt nicht mehr so schnell...

chris47803 05.01.2005 14:51
Bist du über Router im Netz?

loeffler 05.01.2005 15:03
Jau. Dann habsch noch die Windows Firewall auf meinem PC ;)

cacatoa 05.01.2005 15:06
Kurze Einmischung:
Mach doch auch mal einen Port-Scan. Mußt ja nicht alle 65000 scannen, sondern nur die "well known" vorerst.

chris47803 05.01.2005 15:39
Desktop-Firewall ist unnötig und nutzlos.

Schalte die in deinem Router ein.

Dann schau mal in deinem Router-Menü, welche Ports offen sind.

Hast du W-Lan?

loeffler 05.01.2005 15:54
Hm... also auf dem Router is die Firewall immer aktiv... jedoch hab ich darauf keinen Zugriff...

und ne, W-lan hab ich net (zum glück ;) )

loeffler 06.01.2005 11:50
Also inzwischen weiß ich au was versendet wird. Und zwar handelt es sich dabei um Nachrichten im XML/SOAP-Format... auf dem Router is aber keiner dieser Ports freigegeben. Hab mir mal Notorn Firewall zugelegt und damit werden die Versendeten Dateien größtenteils geblockt... naja is aber Trail version - Sprich: In 15 Tagen werd ich das Problem wieder haben ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:05 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131