ftp upload ist unsichtbar

Hallo,
vor einigen Wochen war mein Rechner mit Windows Vista SP1 auffaellig. Einige Dateien waren mit NULL ueberschrieben. Erst bei Textdateien habe das bemerkt. Ich habe ein Backup eingespielt und dies auf eine Fehlfunktion eines Programms geschoben. Aber seit einigen Tagen ist mein Rechner nun wieder auffaellig.

Teil1)
Unter Wireshark gibt es ein Interface MS Tunnel Interface Driver mit einer IP6 Adresse. Da ich unter Systemsteuerung/Netzwerk alle Adapter bis auf WLAN deaktiviert habe, kann das eigentlich nicht sein. Ich weiss also nicht, woher dieses Interface kommt. Dann habe die IP6-Dienste in der Registry abgeschaltet und mit meiner Firewall saemtlichen Netzverkehr auf "Nachfragen" gestellt. Trotzdem gibt es das Interface, aber jetzt ohne IP Adresse mehr. Ausserdem habe ich den Service DNS abgeschaltet, dass jede Anwendung fuer sich selbst nach DNS fragen muss. Jede Verbindung muesste ich dann einzeln genehmigen. Dabei faellt auf, das der Prozess svchost haeufig DNS-Anfragen macht. OK, Fragen darf es ja. Das Saudumme am svchost ist, dass ich nicht sehe, welcher Ursprungsprozess diese Anfrage stellt. Also verweigere ich dem svchost alles. Damit war ich ersteinmal zufrieden.

Nun beginnt Teil2)
Wenn ich nun ftp mache, dann sehe in meiner Firewall das "get" traffik erzeugt. Aber wenn ich ein "put" mache, dann sehe ich kein traffik vom upload. Das stimmt nicht ganz. Ich sehe das "Bytes in" hoch geht, also das ACK und, aber ich sehe keine Aenderung bei "bytes out" und gerade da sollte ich die KB und MB sehen. Aber der veraendert sich nicht. Wenn ich auf dem Zielhost dann nachschaue sehe ich, dass die Daten angekommen sind. Es scheint also, als ob etwas auf meinem Rechner diesen Traffik ausblendet. Nicht aber durch Wireshark. Dort sehe ich den Traffik. Meine Firewall ist von Comodo
Jetzt sehe ich im Firewalllog auch, dass ich von bestimmten Servern immer ein Ping erhalte. Das sind ueber Tage hinweg die gleichen Rechner und P2P habe ich vor Tagen eingestellt. Mir fiel naemlich auf, das mein ISP den P2P Verkehr drosselt. Andere Downloads gehen in ueblicher Geschwindigkeit. Diese Drosselung ist erst seit einigen Tagen. Da bin ich wohl mit meinem Traffik auffaellig geworden. Jetzt hoffe ich, dass das mein P2P der Grund fuer die Drosselung ist und mein Rechner kein Spam-Bot ist und er deshalb vom ISP besondern behandelt wird......

Dazu habe ich am Router beobachtet, dass dort nur die dynamischen IP-Adressen vom DHCP angezeigt werden. Nicht aber die statischen IP-Adressen. Das stimmt nicht ganz. Wenn ich im DHCP des Routers meine IP-Adresse bekannt gebe als statisch, dann sehe ich sie dort als LAN-Client. Sonst nicht und das kann eigentlich nicht sein. Der sollte saemtliche LAN-Clients anzeigen, egal ob im DHCP eingetragen oder nicht, aber vielleicht sieht das die Firma D-Link anders.

Ich wollte auch schon mal SP2 fuer mein Vista einspielen, dass schlug aber mehrfach mit der Online-Updatefunktion fehl. Jetzt habe ich mir die Exe runtergeladen, aber mit meinem Rechnerproblem wage ich kein Update.

cu John

 

Hallo Forgham, das HJT-Log sieht gut aus, aber Starte HijackThis und wähle Scan only, vermerk dann die untenstehenden Regel und danach klicken auf B]Fix checked[/B]:

Norton ist noch nicht ganz weg, also lade das Norton Removal Tool herunter und führe es aus: http://www.symantec.com/de/de/norto...e=public_web&docurl=20090424042146DE&ln=de_DE


Nachdem dein PC neu gestartet ist, mach dann einen Scan mit Combofix!

Lese bitte genau wie Combofix aus zu führen:: http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Bitte beachten: wenn Combofix nicht starten kann und eine Fehlermeldung herausgibt - bitte die Meldung dann nächstes mal posten!

 

Vielen Dank fuer das Feedback.

Den DNS-Server hatte ich manuell eingetragen. Das war Absicht.

Ich hatte den Rechner mit installiertem Windows und Norton vom Haendler gekauft. Da ich mit Norton nichts zu tun haben moechte und eine Deinstallation nicht einfach war, habe ich die Datei umbenannt. Damit laeuft er nicht, sondern hinkt nur. Fuer eine richtige Deinstallation muss ich mich jetzt doch auf der Website registrieren, obwohl ich niemals diese Software haben wollte. Das werde ich glaube eher nicht machen. Das Norton stoert mich nicht mehr.

Ich habe Combofix gestartet, aber es lief nicht. "windows cannot access the specified device,path, or file. you may not have the approtiate permissions to access the item
c:\32788r22fwjfw\iexplore.exe"
Mit diesen Dateien hat das Programm Schwierigkeiten:
hidec.exe
iexplore.exe
n

Dann habe ich den Rechner im abgesichertem Modus gestartet und da lief es dann. Anhaengend das Logfile. Entspricht nicht ganz den Empfehlungen von oben, anstatt den Fehler zu posten habe ich selbst etwas probiert. Ich hoffe das passt.

 

Hallo Forgham, Combofix konnte nicht starten weil du sie ohne Adminrechte gestartet hast.

Und in Abgeschirten Modus laufen nicht alle Scans von Combofix.

Bitte mache also folgendes: starte Combofix jetzt vom Desktop mit Adminrechte und post anschliessend das Log!

 

Hallo Abraham54, leider kommen dann die gleichen Fehlermeldungen und Combofix bricht ab.

Ich habe es mit Rechtsklick "run as administrator" versucht. Auch mit DOS-BOX "run as administrator" und dort dann combofix starten gibt den gleichen Fehler.

 

Alles klar, dann ist wahrscheinlich doch etwas los in deinem Windows!

In der Suchliste oberhalb dem Startknopf CMD eingeben, dann in Startmenu CMD mit Adminrechte starten und folgendes eingeben:

Danach Combofix erneut herunterladen.
Nach dem Download Combofix.exe umbenennen nach z.B. piep.exe und dann erneut mit Adminrechte starten.

 

Um die noetigen Berechtigungen auf die Dateien zu erhalten, habe ich eine Dos-Box mit Adminrechten geoeffnet.
Dort dann "takeown /f c:\32788R22FWJFW\iexplore.exe" gemacht, aber auch dann "ERROR: Access is denied." erhalten.

Dann auch bei "cacls c:\32788R22FWJFW\iexplore.exe /g John:f" kommt der Fehler "Access is denied."

Der Befehl "Uninstall /ComboFix" produziert diesen Fehler>
'Uninstall' is not recognized as an internal or external command,
operable program or batch file.

 

Hallo Forgham, dann möchte ich gerne, dass du nun erst GMER für die Rootkitssuche scannen läst..

Eine Anleitung und Download findest du hier: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html

 

Hallo Abraham54, da kommt einiges zu tage.

 

Hallo Forgman, ja GMER listet alles - aber dein Log ist sauber - das sind alle legale Windowsdiensten!
Also - jetzt ist herauszufinden, was möglich nicht in dieinem Windows gehört!


Download CKScanner by askey 127 nach deinem Desktop.

Vista und Win 7 Gebráucher starten dieses Tool mit Admin Rechte.

• Klicke/doppelklicke auf CKScanner by askey 127 zum starten des Tools und klick dann auf Search for Files.
• Na eine kurze Weile, wenn der Sandläufer verschwunden ist klickst du auf Save List To File
• Ein Fenster wird dir berichten, dass sas Dokument gelagert worden ist..
• Lade das CKFiles.txt Log hoch in deinem folgenden Post.


Download DDS.scr (klick).


Vista und Win 7 Gebráucher starten dieses Tool mit Admin Rechte.

• dds.scr doppelklicken.
• Nach dem Scan werden zwei Logfiles geöfnet. Lade beide Dokumente hoch.

 

Hallo Abraham54, wird gemacht. Vorher muss ich mich aber noch auskotzen, dass eine Firma wie Asus Rootkit-Technologien benutzt.

DAS IST ********

 

Spionage durch Firmen ist mir nicht unbekannt!
Mit Sony hat das ja angefangen.

 

Hallo Abraham54, der scanner lief.......,siehe Anhang

Mit dem dds war ich nicht erfolgreich. Beim Rechtklick gibt es keine Auswahl "Ausfuehren als Admin". Eine Dos-Box mit Adminrechten und dann die dds ausfuehren ist auch nicht erfolgreich. In beiden Faellen bricht das Programm ab und es kommt kein Popup mit einem Report. Falls die Anzahl der : etwas zu sagen hat, hier ist ein Teil des Outputs:

We only require it to run just once. Dispose after use.

:::::::::::::::::::::::::::::::::::::

 

Hallo Forgham - es ist mir schon klar woher deine Problemen in Windows kommen.

Du hast einiges an Cracks und Keygens gebraucht, damit illegale Software gebraucht worden kann.

In konkreto hast du dabei also nicht geahnt, dass eben diese Cracks und Keygens Domäne der interkriminellen geworden ist!
Dass heisst, dass dein Windows prepariert worden ist, contact auf zu bauen mit den Machern der Cracks und Keygens!

Hast du mit diesem Windows Internetbankiert?
Dann sollst du schnellstens die Kodes deiner Bankkarten ändern!

Und Windows sollst du sauber, also mit formatieren der Systempartie neu installieren und danach fernbleiben von illegale Software mit Cracks und Keygens.
Denn: nichts ist gratis!

 

Hallo Abraham54, verstehe.

Vielen Dank fuer Deine Hilfe.

 

Vergewisse dir davon, bei der Neuinstallation das nur Netzteil, Tastatur und Maus mit dem PC verbunden sind, alles andere kann dann nachher wieder angeschlossen werden!