HILFE!!! Werde ich ausspioniert???

Hallo!
Ich bin über das W-LAN meiner Nachbarn mit dem Internet verbunden mit einer pci karte von netgear ("netgear wg331v3 802.11g") Das netz ist verschlüsselt und irgend so'n dls zeugs von alice glaube ich.
Jedenfalls hab ich seit kurzem folgedes Problem: Ich weiß, dass man in der Regel mehr Daten empfängt, als man sendet. Bei mir ist das komischerweise anders: Es werden immer mehr Datenpakete empfangen als gesendet.
Emule oder sowas nutze ich nicht (hab ich mal, aber schon lange deinstalliert) und sonst zeigt mir die firewall von zonealarm auch eigentlich immer an, wenn progs wie zB Winamp aufs netz zugreifen wollen. habe auch schon die aktuellsten versionen von AntiVir, Spybot search and destroy, norton anti virus, ashampoo antispyware und adaware SE durchlaufen lassen - ohne was zu finden. hab auch schon mit dem "regcleaner" die registrierung gesäubert (automatisch und manuell). Und es ändert sich leider nix.
Ist das normal oder werde ich ausspioniert oder wer kann mir das erklären???
Bei meinen Nachbarn ist es übrigens normal (empfang>gesendet).
Danke.

Intel Celeron D 2,8GHz
1,5GB RAM
windows xp professional

 

hast du ordner im netzwerk freigegeben? dann zieht die wohl dein nachbar runter. dies würde das erklären.

ciao

 

Mach mal bitte ein Hijackthis-Log und poste den Link zur abgespeicherten Auswertung.

 

Hallo danleh

Erstelle bitte ein HijackThis-Log und lass dieses automatisch auswerten. Poste dann hier den Link nach dieser Anleitung:

http://www.pcwelt.de/forum/showthread.php?t=134046

Dort erfährst du auch, wo man HijackThis herunterladen und das Log auswerten lassen kann.

Gruß
Nevok

 

Sorry, aber wo ist jetzt Dein Problem?

mfg
creich

 

Hallo und Danke erstmal an alle (außer an creich) für die schnellen und SINNVOLLEN Antworten auf meine Frage!!!
Also hier der Link zu meinem Logfile, ich hoffe, ihr könnt das was finden, was mein Problem behebt.

http://www.hijackthis.de/logfiles/1d5269c61006d1d6f8e407fd81894f22.html

Nochmal Danke!

 

O4 - HKLM\..\Run: [ms-update] scvhost.exe

Das ist wohl der Bösewicht. Hat sich als Systemdienst svchost.exe getarnt.

http://www.cidres-security.de/hijackthis.html

 

Nur
"O4 - HKLM\..\Run: [ms-update] scvhost.exe"
oder auch
"O4 - HKLM\..\RunServices: [ms-update] scvhost.exe"
???

Und dann die Systemwiederherstellung deaktivieren, im abgesicherten Modus hochfahren und in HIJACKTHIS den/die Einträge markieren und nur noch auf FIX CHECKED klicken - fertig?
Oder nochmal'n Vierenscanner durchlaufen lassen?

 

Beide müssen weg.

Ob das alles war, zeigt ein nochmaliges Hijackthis-Log und ob das Sende-/Empfangsverhalten normal wird.

 

Hallo,

die "scvhost.exe" könnte der W32/Agobot-S sein, ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm. Was ist mit deinem Virenscanner los der sollte den Virus erkennen.

An dem Beispiel kannst du auch schön sehen wie dein Sicherheitsschnulli "ZoneAlarm" getunnelt wird ..

http://www.sophos.de/virusinfo/analyses/w32agobots.html

Überprüfe die Datei (scvhost.exe) hier online und poste den Namen von dem Virus:

Online Virenprüfung:

http://virusscan.jotti.org/de/

http://www.kaspersky.com/de/scanforvirus

 

Ich hab beide Einträge entfernt.
Hier der link zur neuen HIJACKTHIS-Auswertung:

http://www.hijackthis.de/logfiles/bf2474c017e66fbc6063ae389fb0d7e2.html

Sind zwar beide weg, das Problem besteht jedoch nach wie vor. Werde aber nochmal vierenscanner und Co aktualisieren und durchlaufen lassen.

Ich kann die Datei gar nicht finden. Ist die jetzt gelöscht oder wie?

Und helfen diese beiden Updates von Microsoft vielleicht weiter? Und müssten die nicht von Windows automatisch aktualisiert werden???

Danke.

 

Dann überprüfe den Dreck hier einmal:

Jotti's malware scan
http://virusscan.jotti.org/


C:\WINDOWS\system32\mspd.exe

 

Hab ich gemacht. Alles OK wurde angezeigt. Hab den Eintrag trotzdem per HIJCKTHIS entfernt. Problem besteht weiterhin.
Vierenscanner und Co. sagen auch: Alles klar, dein PC ist sauber...

hier der letzte HJT-Link:

http://www.hijackthis.de/logfiles/727f862386be4592e6c3e47322681d6d.html

Was kann ich denn noch probieren???
Ich sehe mich schon wieder die Platten formatieren...

 

Hallo,

Ich würde es machen. Bei zwei mutmaßlichen Trojanern die auf deiner Platte waren zusammen mit dem Symptom eines hohen Uploads sehe ich da keine Alternative.
Du kannst mal mit einem Rootkitscanner schauen ob sich der mutmaßliche Backdoor vielleicht damit tarnt, z.B. F-Secure Blacklight.
Außerdem kannst du mal mit TCPview schauen welches Programm sendet.


Grüße Jasager

 

Also komm ich ums Formatieren wohl nicht rum
Aber um zu formatieren muss ich vorher einige Daten brennen. Und da mein Virusscanner das Ding ja nicht findet, woher weiß ich dann, ob die Daten, die ich brenne, nicht auch irgendwie verseucht werden oder so???
Und wie kann ich mich nach dem Formatieren schützen??? Die Firewall von Zonealarm hat mir ja scheinbar nicht wirklich geholfen
Und vor allem: Woher hab ich das Ding überhaupt??? Einfach nur irgendwie aus'm Internet oder sitzt irgendwo auf der anderen Straßenseite jemand und spielt mir das Ding nach dem Formatieren gleich wieder über's W-LAN auf'n PC???
Fragen über Fragen......

 

Warum greifst Du ihn an?
Du selbst hast im Eröffnungsposting geschrieben:

"Bei mir ist das komischerweise anders: Es werden immer mehr Datenpakete empfangen als gesendet."

Also ich sehe da auch kein Problem!
Das ist völlig normal!

 

Hast du einmal mit dem Tool geschaut welche Verbindungen aufgebaut werden:

http://www.sysinternals.com/Utilities/TcpView.html

Du kannst das auch in der Eingabeaufforderung erledigen mit..

Netstat zeigt aktive Verbindungen:

netstat -an

Ist das WLAN verschlüsselt ?

 

Die Firewall von Zonealarm sendet doch selbst ständig Daten nach Israel. Deinstallier das Teil einmal, vielleicht ist dann das Problem erledigt.. mit netstat sieht du das ob ZoneAlarm sendet.. siehe hier:

http://www.heise.de/security/news/meldung/68725


"Beobachtung:

1. Ethereal registriert alle 60 Sekunden eine DNS-Abfrage nach www .zonelabs .com, es wird vom DNS-Server des ISP (später vom Router, der sowas zwischenspeichert) 208.185.174.44 zurückgeliefert.
Beispiel für eine Ausgabe des Router-Syslog:
Sep 26 20:36:16 | Vigor | Local User:192.168.111.142 DNS-> 145.253.2.11 inquire zonelabs.com "

 

Ja das WLAN ist verschlüsselt.

 

'Nabend!

So...

Zu TCPVIEW: Ich das mal als txt-Datei gespeichert und von dort aus kopiert:

iexplore.exe:3312 UDP dlp-dh4m39685yg:1061 *:*
lsass.exe:796 UDP dlp-dh4m39685yg:isakmp *:*
lsass.exe:796 UDP dlp-dh4m39685yg:4500 *:*
svchost.exe:1088 UDP dlp-dh4m39685yg:1064 *:*
svchost.exe:1088 UDP dlp-dh4m39685yg:1065 *:*
svchost.exe:1088 UDP dlp-dh4m39685yg:1033 *:*
svchost.exe:1144 UDP dlp-dh4m39685yg:1900 *:*
svchost.exe:1144 UDP dlp-dh4m39685yg:1900 *:*
System:4 TCP dlp-dh4m39685yg:microsoft-ds dlp-dh4m39685yg:0 LISTENING
System:4 TCP dlp-dh4m39685yg:netbios-ssn dlp-dh4m39685yg:0 LISTENING
System:4 UDP dlp-dh4m39685yg:microsoft-ds *:*
System:4 UDP dlp-dh4m39685yg:netbios-dgm *:*
System:4 UDP dlp-dh4m39685yg:netbios-ns *:*

Ziemlich oft svchost.exe, oder???

Zu NETSTAT: Wenn ich netstat bei start-->ausführen eingebe und bestätige, öffnet sich nur ein kleines DOS-Fenster für eine sekunde oder so...