eben meldete mir zone alarm, dass ftp.exe ins internet wollte. Version: 5.1.2600.0 (xpclient 010817-1148).

was ist das?hatte ich noch nie.
ich hoffe ihr wisst eine antwort

Es könnte sich eventuell um eine Sasser-Infektion handeln.
Poste doch mal ein HiJackThis-Log.

</font><blockquote>Zitat:</font><hr />Es könnte sich eventuell um eine Sasser-Infektion handeln.</font>[/QUOTE]:confused: Warum? FTP.exe ist eine ganz "normale" Win-Anwendung bzw. Dienst.
http://support.microsoft.com/default...d=kb;de;d40522

Die ftp.exe gehört eigentlich zu Windows. Sie stellt den FTP-Dienst (File Transfer Protocol) bereit. Wie der Name schon sagt bietet FTP eine Möglichkeit Dateien zwischen Computern auszutauschen. Genauso wie HTTP ein Dienst ist, den das Internet anbietet um Hypertexte auszutauschen ist FTP auch ein Dienst. Wenn du also beispielsweise eine Datei von einem FTP-Server runterlädst nimmst du den FTP-Dienst in anspruch.

ciao

Ich schrieb absichtlich "könnte" und "eventuell".
Und ganz ohne Grund will "ftp.exe" ja wohl nicht ins Internet. Deshalb "bat" ich "vorsichtshalber" mal um ein LOG.

okay, hier ist ein log

Logfile of HijackThis v1.97.7
Scan saved at 22:33:38, on 03.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\home\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de3.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de3.hpwis.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'wps.dll' missing
O12 - Plugin for .mov: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\Npqtw32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7873A9C1-8242-44F2-89A4-AE3F7B3868D7}: NameServer = 217.237.150.97 194.25.2.129

ich hab aber schon nach der datei gesucht, die sasser ablegt. hat nichts gefunden. ein scan durch kaspersky ergab auch nichts.

kann nochmal jemand den direkten link posten, wo ich das sicherheitsupdate für dieses "problem" runterladen kann? danke

Ich sehe keine Sasser-Infektion. Was mir aufgefallen ist: Sygate Personal Firewall parallel zu Zonealarm Firewall (hat aber erst einmal nichts mit "ftp.exe" zu tun).

Vielleicht weiss ein anderer User, ob eine der laufenden Anwendungen ein automatisches Update per FTP unterstützt?.

Nachedit: Nichts desto trotz würde ich mal prüfen, ob bei Dir der Port 445 offen ist. Wenn ja, so könnte es durchaus sein, dass Sasser versucht, mittels der ftp.exe sich bei Dir zu installieren.

[ 04. Mai 2004, 00:06: Beitrag editiert von: Virenscanner ]

ja, die sygate wollte ich noch vom rechner packen.

wie schließe ich port 445 bzw. wie schließe ich ports allgemein? [img]graemlins/dummguck.gif[/img]

nachtrag: weiß jemand wo ich die CD mit den bisherigen windows updates herbekommen kann? ich habe gehört, dass es die irgendwo gibt, weiß aber nicht wo. vielleicht kann mir jemand helfen.

[ 04. Mai 2004, 12:40: Beitrag editiert von: Kitty ]

Also imho lässt sich die CD bei MS ordern wenn du im internet sein kannst mal nachschauen dort müsste man was finden


zum port sperren kann man fast nur noch rtfm sagen ;)

hab leider keine zeit das alles jetzt ausführlich zu erkärn muss gleich weg aber werds nachholen
nur soviel für zone alarm gibts es unmengen anleitungen wenn nicht schon die beigelegte hilfe ..

soweit
Thomas

@Kitty
</font><blockquote>Zitat:</font><hr />wie schließe ich port 445 bzw. wie schließe ich ports allgemein? </font>[/QUOTE]ein sehr interessanter link zum Thema : http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

</font><blockquote>Zitat:</font><hr />Original erstellt von Kitty:
wie schließe ich ports allgemein?</font>[/QUOTE]damit ;)

ciao

</font><blockquote>Zitat:</font><hr />Original erstellt von Kitty:
eben meldete mir zone alarm, dass ftp.exe ins internet wollte. </font>[/QUOTE]ftp.exe kann alles mögliche sein. Zu Windows gehört eine ftp.exe, diese startet sich jedoch nicht selbständig. Das heißt, wenn du sie nicht aufgerufen hast (in der Eingabeaufforderung), ist an deinem Rechner etwas faul. Möglicherweise hast du dir ein Trojanisches Pferd eingefangen oder ein Hacker[TM] treibt im Hintergrund sein Unwesen.

HTH,
docprantl

nen trojaner hab ich nicht aufm system. benutze kaspersky und der hat nichts gefunden.
ich denke, dass das was mit sasser zu tun hatte. nach installation der updates etc. kam es nicht wieder vor.