HILFE!!! Werde ich ausspioniert???

Dieses Thema im Forum "Sicherheit" wurde erstellt von danleh, 2. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    :confused:
    Hallo!
    Ich bin über das W-LAN meiner Nachbarn mit dem Internet verbunden mit einer pci karte von netgear ("netgear wg331v3 802.11g") Das netz ist verschlüsselt und irgend so'n dls zeugs von alice glaube ich.
    Jedenfalls hab ich seit kurzem folgedes Problem: Ich weiß, dass man in der Regel mehr Daten empfängt, als man sendet. Bei mir ist das komischerweise anders: Es werden immer mehr Datenpakete empfangen als gesendet.
    Emule oder sowas nutze ich nicht (hab ich mal, aber schon lange deinstalliert) und sonst zeigt mir die firewall von zonealarm auch eigentlich immer an, wenn progs wie zB Winamp aufs netz zugreifen wollen. habe auch schon die aktuellsten versionen von AntiVir, Spybot search and destroy, norton anti virus, ashampoo antispyware und adaware SE durchlaufen lassen - ohne was zu finden. hab auch schon mit dem "regcleaner" die registrierung gesäubert (automatisch und manuell). Und es ändert sich leider nix.
    Ist das normal oder werde ich ausspioniert oder wer kann mir das erklären???
    Bei meinen Nachbarn ist es übrigens normal (empfang>gesendet).
    Danke.
    :mad:
    Intel Celeron D 2,8GHz
    1,5GB RAM
    windows xp professional
    :eek:
     
  2. emesis

    emesis Kbyte

    Registriert seit:
    9. Juni 2003
    Beiträge:
    232
    hast du ordner im netzwerk freigegeben? dann zieht die wohl dein nachbar runter. dies würde das erklären.

    ciao
     
  3. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.594
    Mach mal bitte ein Hijackthis-Log und poste den Link zur abgespeicherten Auswertung.
     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo danleh

    Erstelle bitte ein HijackThis-Log und lass dieses automatisch auswerten. Poste dann hier den Link nach dieser Anleitung:

    http://www.pcwelt.de/forum/showthread.php?t=134046

    Dort erfährst du auch, wo man HijackThis herunterladen und das Log auswerten lassen kann.

    Gruß
    Nevok
     
  5. creich

    creich Kbyte

    Registriert seit:
    18. Dezember 2003
    Beiträge:
    153
    Sorry, aber wo ist jetzt Dein Problem? :confused:

    mfg
    creich
     
  6. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
  7. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.594
    O4 - HKLM\..\Run: [ms-update] scvhost.exe

    Das ist wohl der Bösewicht. Hat sich als Systemdienst svchost.exe getarnt.

    http://www.cidres-security.de/hijackthis.html
     
  8. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    Nur
    "O4 - HKLM\..\Run: [ms-update] scvhost.exe"
    oder auch
    "O4 - HKLM\..\RunServices: [ms-update] scvhost.exe"
    ???

    Und dann die Systemwiederherstellung deaktivieren, im abgesicherten Modus hochfahren und in HIJACKTHIS den/die Einträge markieren und nur noch auf FIX CHECKED klicken - fertig?
    Oder nochmal'n Vierenscanner durchlaufen lassen?
     
  9. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.594
    Beide müssen weg.
    Ob das alles war, zeigt ein nochmaliges Hijackthis-Log und ob das Sende-/Empfangsverhalten normal wird.
     
  10. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    die "scvhost.exe" könnte der W32/Agobot-S sein, ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm. Was ist mit deinem Virenscanner los der sollte den Virus erkennen.

    An dem Beispiel kannst du auch schön sehen wie dein Sicherheitsschnulli "ZoneAlarm" getunnelt wird .. :)

    http://www.sophos.de/virusinfo/analyses/w32agobots.html

    Überprüfe die Datei (scvhost.exe) hier online und poste den Namen von dem Virus:

    Online Virenprüfung:

    http://virusscan.jotti.org/de/

    http://www.kaspersky.com/de/scanforvirus
     
  11. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    Ich hab beide Einträge entfernt.
    Hier der link zur neuen HIJACKTHIS-Auswertung:

    http://www.hijackthis.de/logfiles/bf2474c017e66fbc6063ae389fb0d7e2.html

    Sind zwar beide weg, das Problem besteht jedoch nach wie vor. Werde aber nochmal vierenscanner und Co aktualisieren und durchlaufen lassen.

    Ich kann die Datei gar nicht finden. Ist die jetzt gelöscht oder wie?

    Und helfen diese beiden Updates von Microsoft vielleicht weiter? Und müssten die nicht von Windows automatisch aktualisiert werden???

    Danke.
     
  12. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  13. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    Hab ich gemacht. Alles OK wurde angezeigt. Hab den Eintrag trotzdem per HIJCKTHIS entfernt. Problem besteht weiterhin.
    Vierenscanner und Co. sagen auch: Alles klar, dein PC ist sauber... :aua: :aua: :aua:

    hier der letzte HJT-Link:

    http://www.hijackthis.de/logfiles/727f862386be4592e6c3e47322681d6d.html

    Was kann ich denn noch probieren???
    Ich sehe mich schon wieder die Platten formatieren...:mad:
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Ich würde es machen. Bei zwei mutmaßlichen Trojanern die auf deiner Platte waren zusammen mit dem Symptom eines hohen Uploads sehe ich da keine Alternative.
    Du kannst mal mit einem Rootkitscanner schauen ob sich der mutmaßliche Backdoor vielleicht damit tarnt, z.B. F-Secure Blacklight.
    Außerdem kannst du mal mit TCPview schauen welches Programm sendet.


    Grüße Jasager
     
  15. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    Also komm ich ums Formatieren wohl nicht rum :aua:
    Aber um zu formatieren muss ich vorher einige Daten brennen. Und da mein Virusscanner das Ding ja nicht findet, woher weiß ich dann, ob die Daten, die ich brenne, nicht auch irgendwie verseucht werden oder so???
    Und wie kann ich mich nach dem Formatieren schützen??? Die Firewall von Zonealarm hat mir ja scheinbar nicht wirklich geholfen :aua:
    Und vor allem: Woher hab ich das Ding überhaupt??? Einfach nur irgendwie aus'm Internet oder sitzt irgendwo auf der anderen Straßenseite jemand und spielt mir das Ding nach dem Formatieren gleich wieder über's W-LAN auf'n PC???
    Fragen über Fragen......
     
  16. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Warum greifst Du ihn an?
    Du selbst hast im Eröffnungsposting geschrieben:

    "Bei mir ist das komischerweise anders: Es werden immer mehr Datenpakete empfangen als gesendet."

    Also ich sehe da auch kein Problem!
    Das ist völlig normal!
     
  17. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hast du einmal mit dem Tool geschaut welche Verbindungen aufgebaut werden:

    http://www.sysinternals.com/Utilities/TcpView.html

    Du kannst das auch in der Eingabeaufforderung erledigen mit..

    Netstat zeigt aktive Verbindungen:

    netstat -an

    Ist das WLAN verschlüsselt ?
     
  18. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Die Firewall von Zonealarm sendet doch selbst ständig Daten nach Israel. Deinstallier das Teil einmal, vielleicht ist dann das Problem erledigt.. mit netstat sieht du das ob ZoneAlarm sendet.. siehe hier:

    http://www.heise.de/security/news/meldung/68725


    "Beobachtung:

    1. Ethereal registriert alle 60 Sekunden eine DNS-Abfrage nach www .zonelabs .com, es wird vom DNS-Server des ISP (später vom Router, der sowas zwischenspeichert) 208.185.174.44 zurückgeliefert.
    Beispiel für eine Ausgabe des Router-Syslog:
    Sep 26 20:36:16 | Vigor | Local User:192.168.111.142 DNS-> 145.253.2.11 inquire zonelabs.com "
     
  19. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    Ja das WLAN ist verschlüsselt.
     
  20. danleh

    danleh Kbyte

    Registriert seit:
    21. Mai 2005
    Beiträge:
    226
    'Nabend!

    So...

    Zu TCPVIEW: Ich das mal als txt-Datei gespeichert und von dort aus kopiert:

    iexplore.exe:3312 UDP dlp-dh4m39685yg:1061 *:*
    lsass.exe:796 UDP dlp-dh4m39685yg:isakmp *:*
    lsass.exe:796 UDP dlp-dh4m39685yg:4500 *:*
    svchost.exe:1088 UDP dlp-dh4m39685yg:1064 *:*
    svchost.exe:1088 UDP dlp-dh4m39685yg:1065 *:*
    svchost.exe:1088 UDP dlp-dh4m39685yg:1033 *:*
    svchost.exe:1144 UDP dlp-dh4m39685yg:1900 *:*
    svchost.exe:1144 UDP dlp-dh4m39685yg:1900 *:*
    System:4 TCP dlp-dh4m39685yg:microsoft-ds dlp-dh4m39685yg:0 LISTENING
    System:4 TCP dlp-dh4m39685yg:netbios-ssn dlp-dh4m39685yg:0 LISTENING
    System:4 UDP dlp-dh4m39685yg:microsoft-ds *:*
    System:4 UDP dlp-dh4m39685yg:netbios-dgm *:*
    System:4 UDP dlp-dh4m39685yg:netbios-ns *:*

    :confused: Ziemlich oft svchost.exe, oder??? :confused:

    Zu NETSTAT: Wenn ich netstat bei start-->ausführen eingebe und bestätige, öffnet sich nur ein kleines DOS-Fenster für eine sekunde oder so... :confused:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen