Unbekannte aktive Downloads

Plutus · 10 Januar 2010

Der Win Task-Manager zeigt unter Netzwerk, dass die LAN-Verbindung des XP SP3 laufend unerkannt ca. 3600-17280 Bytes pro Intervall empfängt, trotz keine Anwendung ersichtlich ausgeführt wird. Dabei werden keine Bytes gesendet.
Ich kann nicht via Eigenschaften von System C: feststellen ob die vielen Bytes gespeichert werden. Bei einigen Tests hat der belegte Speicher zugenommen, bei anderen abgenommen.
Das F-Secure security package findet bei einem PC-Scan keine Schädlinge.
Weiss jemand, wie ich das Problem lösen kann?

Larusso · 10 Januar 2010

Hallo und Willkommen auf PcTipp :)

Sehen wir uns dein System einmal genauer an, ob es an Malware liegt.
Bitte arbeite jeden Schritt der Reihe nach ab.
Sollte es Probleme geben, stoppen und hier so genau als möglich berichten.
Bitte alles in Deinen Admin Konto ausführen, nicht in einen eingeschränkten Benutzerkonto.

Vista und Win7 User: Bitte alle Tools mit Rechtsklick: als Admin Starten ausführen.

Manche Logfiles sind ziemlich lange, bitte in mehrere Posts aufteilen.

[size=+1]Schritt 1[/size]

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die

Textbox.

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf

.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tagshttp://www.hijackthis-forum.de/hija...stelle-ich-ein-logfile-update.html#post154284 in Deinen Thread

[size=+1]Schritt 2[/size]

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Bitte poste in Deiner nächsten Antwort
Beide Logfiles von OTL
Logfile von Gmer

Masche · 10 Januar 2010

Plutus schrieb:
Weiss jemand, wie ich das Problem lösen kann?

Um herauszufinden, welches Programm so intensiv über das Internet kommuniziert, würde ich mal TCPView von Sysinternals laufen lassen. So kannst Du das verantwortliche Programm leicht herausfinden.

Plutus · 10 Januar 2010

unbekannte aktive Downloads

Danke Daniel für Deine Ausführungen.
Ich habe bei Schritt 1 folgende Probleme:
Nach Start von OTL.exe ab Desktop erscheint das Fenster "Run San, Quick Scan etc" und unterhalb die "Custom Scan/Fixes" Textbox
Du sagst den Inhalt in diese Box zu kopieren, aber welchen Inhalt? Ich finde die in Deinem Beispiel unter "Code" genannten Dateien bei mir nicht.
Wenn ich den Button "Quick Scan" aktiviere, bekomme ich die beiden Dateien "OTL.txt und Extra.txt", die sehr gross sind. Du sagst, diese beiden in"Codes-Tags in meinem Thread zu kopieren. Wo finde ich "Code-Tags? Den Ausdruck "Thread" kenne ich nicht.
Für Deine weitere Hilfe bin ich Dir dankbar.
mfg Plutus

Plutus · 10 Januar 2010

Danke an Masche. Ich versuche auch Deinen Vorschlag, mit Tests mit TCPView dem "Täter" ausfindig zu machen.
mfg
Plutus

Larusso · 10 Januar 2010

Du sollst auch das aus der Code box oben, in das Feld kopieren :)

Plutus · 10 Januar 2010

An Masche
Leider konnte ich mit TCPView den "Täter" nicht finden. Ich habe mehrmals alle Programme geprüft, die mit dem Netz in Verbindung waren. Alle Programme waren jeweils sauber. Ich danke Dir trotzdem für den Tip.
Ich bin nun fest überzeugt, dass die Vermutung von Daniel stimmt, dass ein "Schädling" im System ist.
mfg Plutus

pagefault · 11 Januar 2010

Plutus schrieb:
Leider konnte ich mit TCPView den "Täter" nicht finden.

Nichts gegen Sysinternals - aber für diese Aufgabe würde ich current ports bevorzugen.

Plutus · 12 Januar 2010

an Daniel, ich wollte den Logfile OTL.txt mittels Code.Tags in meinen Thread eingeben, dabei kommt beim Button "Vorschau" folgende Fehlermeldung:

Die folgenden Fehler traten bei der Verarbeitung auf:
1. Der Text, den du eingegeben hast, besteht aus 282480 Zeichen und ist damit zu lang. Bitte kürze den Text auf die maximale Länge von 15000 Zeichen.

Ist es richtig, dass ich versuchte, mein Logfile OTL.txt genau hier in dieser Antwortart einzugeben, denn unten neben "Antworten" habe ich "Erweitert" nicht gefunden sondern nur Vorschau?

Was soll ich tun?

Ferner ist die "Extra.txt" Datei nicht erstellt worden.

Für Weiterhilfe danke ich Dir.
mfg Supperlaie
Plutus

Plutus · 12 Januar 2010

Hallo pagefault
Ich habe auch das von Dir vorgeschlagene Programm "current ports" ausgeführt. Diese Programm liefert die anolgen Resultate wie TCPView aber current porrts ist ausführlicher. Kein angezeigtes Programm kam als Täter in Frage, deshalb versuche ich in Rootkit zu suchen.
Danke Dir für Deine Bemühunngen.
mfg
Plutus

Larusso · 12 Januar 2010

Plutus, teile die Logfile in mehrere Posts auf :)
Wenn es mit Gmer Probleme gibt, teile mir das bitte mit.

Plutus · 12 Januar 2010

Unbekannt aktive Downloads

Code:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-12 19:49:20
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\JOHANN~1\LOKALE~1\Temp\pwtdrpog.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwCreateProcess [0xBA6CECD6]                                             <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwCreateProcessEx [0xBA6CECF0]                                           <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwCreateThread [0xBA6CDE8C]                                              <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwLoadDriver [0xBA6CE1BC]                                                <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwMapViewOfSection [0xBA6CDBCC]                                          <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwOpenSection [0xBA6CE5EE]                                               <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwRenameKey [0xBA6CF88C]                                                 <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwSetSystemInformation [0xBA6CE43E]                                      <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwSuspendProcess [0xBA6CDA4C]                                            <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwSuspendThread [0xBA6CDEC0]                                             <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwSystemDebugControl [0xBA6CE042]                                        <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwTerminateProcess [0xBA6CD9A6]                                          <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwTerminateThread [0xBA6CDB06]                                           <-- ROOTKIT !!!
SSDT            \??\C:\Programme\cablecom\hispeed security package\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation)  ZwWriteVirtualMemory [0xBA6CDF86]                                        <-- ROOTKIT !!!

Code            fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)                                                           IoCreateDevice
.text           ntoskrnl.exe!_abnormal_termination + 440                                                                                   804E2A9C 12 Bytes  [4C, DA, 6C, BA, C0, DE, 6C, ...]
.text           C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                                                   section is writeable [0xB9887360, 0x24BB1D, 0xE8000020]
.text           C:\WINDOWS\system32\drivers\ACEDRV05.sys                                                                                   section is writeable [0xB837A000, 0x30A4A, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\ACEDRV05.sys                                                                                   entry point in ".pklstb" section [0xB83BC000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV05.sys                                                                                   unknown last 
---- User code sections - GMER 1.0.15 ----


.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] ntdll.dll!NtCreateProcessEx                            7C91D15E 5 Bytes  JMP 0097100C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 0097200C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] kernel32.dll!TerminateThread                           7C81CB3B 5 Bytes  JMP 0097300C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] USER32.dll!SetWindowsHookExW                           7E37820F 5 Bytes  JMP 0097400C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] USER32.dll!DdeConnect                                  7E3A81C3 5 Bytes  JMP 0097A00C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] ADVAPI32.dll!CloseServiceHandle                        77DB6CE5 5 Bytes  JMP 0097700C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] ADVAPI32.dll!OpenServiceW                              77DB6FFD 5 Bytes  JMP 0097500C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] ADVAPI32.dll!ControlService                            77DC4A09 5 Bytes  JMP 0097600C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] ADVAPI32.dll!CreateServiceW                            77E073A9 5 Bytes  JMP 0097800C 
.text           C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe[3772] ole32.dll!CoCreateInstanceEx                           774D0526 5 Bytes  JMP 0097900C 

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                                   fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device          \Driver\Tcpip \Device\Tcp                                                                                                  fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device          \Driver\Tcpip \Device\Udp                                                                                                  fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device          \Driver\Tcpip \Device\RawIp                                                                                                fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                          fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                   fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service         C:\Programme\Microsoft (*** hidden *** )                                                                                   [MANUAL] MSSQLSERVER                                                     <-- ROOTKIT !!!
Service         C:\Programme\Microsoft (*** hidden *** )                                                                                   [MANUAL] SQLSERVERAGENT                                                  <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

An Daniel: Weil dieser Logfile 50570 Zeichen hatte und ich auf diesem Weg nur 15000 senden kann, habe ich ein grosser Teil der Datei deletet und nur den Teil gelassen wo GMER Rootkiit !!! angezeigt hat. Die Rootkitt am Anfang dieses Files sind weil ich die Security nicht ganz abstellen konnte. Ist das ok so? Es scheint ein Problem mit dem MSSqlserver und dem Agenten zu geben. Das sind alle angezeigten Rootkitts.Die OTL.txt Datei kann ich auf diesem Weg nicht senden weil sie 282480 Zeichen hat. Eine Teilung in 20 Einzeldateien ist aufwandmässig nicht gegeben. Siehst Du einen anderen Übermittlungsweg?

Larusso · 12 Januar 2010

Das Gmer Log seh ich mir nachher genauer an.

Weiter unten findest du den Anhänge Verwalten Button. einfach die Logfile anhängen.

Macht es mir zwar nicht einfacher aber egal :)

Plutus · 12 Januar 2010

Hallo Daniel, ich danke Dir für Deine Bemühungen und Geduld. Leider sind unter dem Button "Anhänge verwalten" nur Foto-Dateierweiterungen wie gif, ipc, jpeg, png erlaubt mit wenigen KB. Das ist bereits so beim Button notiert.
Hast Du noch eine weitere Idee, wie ich Dir die Dateien zusenden kann?
Per E.Mail?
Übrigens ist das GMER Programm problemlos gelaufen.
mfg
Plutus

Larusso · 14 Januar 2010

Es ist nun auch möglich .txt Dateien anzuhängen :)

Plutus · 14 Januar 2010

Hallo Daniel, anbei sende ich Dir die GMER Logfile.txt Datei und bitte Dich freundlich, sie zu prüfen. Die Rootkitt Meldung zu Beginn ist, dass ich die "Security" hintergrundmässig nicht deaktivieren konnte.
Die OTL.txt Datei hat 552 KB. Ich versuche sie Dir in mehreren Teildateien zu senden, weil nur eine Übertragung von 97 KB möglich ist. Immerhin ein Fortschritt.
An mehreren Stellen ist mein Name etc. erwähnt. Ich werde diese Stellen mit XXXXXX ergänzen.
Danke Dir vielmals für Deine Bemühungen.
mfg
Plutus

Larusso · 14 Januar 2010

Ich hab Dir meine Email Adresse via PN geschickt.

Plutus · 14 Januar 2010

An Daniel, ich kenne PN nicht und weiss nicht wo und wie ich zu Deiner E-Mail Adresse kopmme.
Gib mir bitte einen Tip.
mfg
Plutus

pagefault · 14 Januar 2010

Plutus schrieb:
... ich kenne PN nicht ...

Du solltest oben rechts in der blauen Box unter Willkommen Plutus. eigentlich einen blauen Link Private Nachrichten sehen.

Einfach mal draufklicken und du gelangst zu deinen "PN" (Privaten Nachrichten).

Dann gibt es hier auch noch eine Hilfe-Funktion im Forum:
http://www.pctipp.ch/forum/faq.php?faq=vb3_user_profile#faq_vb3_private_messages

Plutus · 14 Januar 2010

Danke Daniel, E-Mail gefunden. Ich werde Dir OTL.txt Dateil per E-Mail zustellen, die ich vertraulich behalten werde.
mfg
Plutus

Unbekannte aktive Downloads

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Inaktiv

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Inaktiv

Stammgast