Meldungen von Zone Alarm

Hallo

Ich hatte vor kurzer Zeit einen Trojanerbefall auf meinem Vistasystem.. ein Programm welches im Design der Windows Firewall vorgab mehrer Bedrohungen gefunden zu haben. Es gab einen Link zu einem getranten Programm was die Bedrohung ausschalten sollte.. dies war der Trojaner. Ich habe ihn (hoffentlich) vollständig gelöscht.

Nun ungefähr seitdem zeigt Zonealarm folgene zwei Meldungen in Gefahrenstufe orange und rot:

1) (UDP Port) * hier steht eine IP ADRESSE* weitergeleiteter Datenverkehr zu *IP* (DNS)

2) Internetzugriff auf PC (ICMP Echo Request('Ping') von Speedport IP:

Nun verstehe ich absolut nicht was das bedeutet und ob es eine Bedrohung darstellt oder nicht...

Was hat das zu bedeuten? Muss ich mir Sorgen machen?
Danke.
Amazing

 

Ich würde sagen, ja und würde alles im Mom. vermeiden, bei dem du irgendwelche TIN, TAN oder Passwörter eingeben mußt bis Humi oder einer der anderen Spezialisten sich deiner Sache angenommen haben.

Du kannst ja schon mal ein Hijack This Log erstellen und anhängen.

 

Sind auf dem Speedport Ports frei geschaltet? Ansonsten dürfte es keinen ICMP Echo Request (Ping) http://www.protecus.de/Firewall_Security/icmp.html von außerhalb geben. Oder läuft der Speedport nur als reines DSL-Modem ohne Routerfunktion?

 

Blöd das passiert schon seit mehreren Wochen und ich hab alles gemacht was ich sonst auch mache.. auch Inetbanking etc...
Übrigens sagt ZoneAlarm immer dass es geblockt wurde..

Hijack This Log erstellen und anhängen? - Habe den entsprechenden Thread gefunden. Mache ich.

Ich meine das läuft nur als DSL Modem.. Sonst ist nur ein anderes Laptop über WLAN dran..

 

Ich würde eher sagen, dass ZA irrt. Was für einen Speedport hast du?
Wenn noch ein weiterer PC per WLAN über den Internetzugang gleichzeitig online geht, läuft der Speedport im Routerbetrieb.
Du kannst aber trotzdem mal ein HJT-Log machen und den anderen PC auch nicht vergessen. Der könnte noch verseucht worden sein übers Netzwerk.

 

Auf den anderen habe ich keinen Zugriff - gehört meinem Freund... ist ein Maclaptop.

Du meinst die Produktbezeichnung? W 700 V

Habe mal die Anleitung zum sicherern PC gelesen und Spybot findet nichts..

 

Der W700V hat eine Firewall. Ist die aktiviert? Vielleicht prüft die, ob es den PC gibt.
Ich kenne mich mit der Firewall aber nicht aus. Notwendig ist die nicht, da der Zugriff generell durch die NAT-Funktion geschützt ist. ZoneAlarm ist da auch überflüssig. (Meine Meinung)

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
Die Datei mal bei www.virustotal.com/de untersuchen lassen.

Hier kannst du aber nochmal nach haken:
1) (UDP Port) * hier steht eine IP ADRESSE* weitergeleiteter Datenverkehr zu *IP* (DNS)
Da kannst du mal herausfinden, welcher Prozess für den Datenverkehr verantwortlich ist.
Bei mir benutzt Outlook den UDP-Port 436.
Da kannst du mit TCPView nach gucken.
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx

Java ist veraltet.

 

Analyse:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.09 -
AhnLab-V3 2009.1.10.0 2009.01.09 -
AntiVir 7.9.0.54 2009.01.09 -
Authentium 5.1.0.4 2009.01.08 -
Avast 4.8.1281.0 2009.01.08 -
AVG 8.0.0.229 2009.01.09 -
BitDefender 7.2 2009.01.09 -
CAT-QuickHeal 10.00 2009.01.09 -
ClamAV 0.94.1 2009.01.09 -
Comodo 895 2009.01.08 -
DrWeb 4.44.0.09170 2009.01.09 -
eSafe 7.0.17.0 2009.01.08 -
eTrust-Vet 31.6.6300 2009.01.09 -
F-Prot 4.4.4.56 2009.01.09 -
F-Secure 8.0.14470.0 2009.01.09 -
Fortinet 3.117.0.0 2009.01.09 -
GData 19 2009.01.09 -
Ikarus T3.1.1.45.0 2009.01.09 Virus.Trojan.Win32.Agent.ckk
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.09 -
McAfee 5489 2009.01.08 -
McAfee+Artemis 5489 2009.01.08 -
Microsoft 1.4205 2009.01.09 -
NOD32 3755 2009.01.09 -
Norman 5.99.02 2009.01.09 -
Panda 9.4.3.3 2009.01.09 -
PCTools 4.4.2.0 2009.01.09 -
Prevx1 V2 2009.01.09 -
Rising 21.11.42.00 2009.01.09 -
SecureWeb-Gateway 6.7.6 2009.01.09 -
Sophos 4.37.0 2009.01.09 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.09 -
TheHacker 6.3.1.4.214 2009.01.09 -
TrendMicro 8.700.0.1004 2009.01.09 -
VBA32 3.12.8.10 2009.01.09 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2009.1.9.1552 2009.01.09 Trojan.Win32.Agent.44168
VirusBuster 4.5.11.0 2009.01.09 -
weitere Informationen
File size: 44168 bytes
MD5...: 31539595f006dae39f719735f30c3570
SHA1..: f883a7708d7d0427450a85b1802a1325eaf04b0e
SHA256: 9484ff4ae6d74caee4aa0003d4e5aa58bd29473635712fa63e0be90d83bb88ae
SHA512: f287011591792244288b5c2b394c57e0aa0274f005d9e1882951553a3651dcc2
79cce2b07c94ab839c63f112d7a13948692dea1ba707304a978f123e65815f63
ssdeep: 768:uqkjP6maLVgM5/7a8misGa86TUBqtI3FTvcTb3:uZjSmaLVgePLsD86ltItv
cv3
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404858
timedatestamp.....: 0x454f2771 (Mon Nov 06 12:15:45 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x41c9 0x5000 5.38 5c5a7f6e4e9784110db25bddcc6dee3c
.rdata 0x6000 0x1458 0x2000 3.03 ae638035d8f027226689b7c38288aca2
.data 0x8000 0xb30 0x1000 2.60 90612eb9fcc7c59a48e1552b7ea3bb65
.rsrc 0x9000 0x3b0 0x1000 0.96 3b4d5d544aab5d57e8e6f20740ea399c

( 7 imports )
> MFC42u.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcrt.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, __p__fmode, __1type_info@@UAE@XZ, _onexit, __dllonexit, __set_app_type, _ltow, __CxxFrameHandler, wcscmp, wcslen, _terminate@@YAXXZ, _controlfp, _c_exit, _except_handler3, _wgetenv, _wcsicmp
> KERNEL32.dll: CreateFileW, DeleteFileW, SetFileAttributesW, SetLastError, FormatMessageW, GetLastError, GlobalFree, GlobalUnlock, GetPrivateProfileStringW, GlobalAlloc, GetModuleFileNameW, GetVersionExW, GetModuleHandleA, GetStartupInfoA, GetPrivateProfileIntW, GetCurrentDirectoryW, GlobalLock, GetExitCodeProcess, CloseHandle, WaitForSingleObject, CreateProcessW
> USER32.dll: wvsprintfW
> ADVAPI32.dll: RegSetValueExW, RegCloseKey, RegOpenKeyW
> VERSION.dll: VerQueryValueW, GetFileVersionInfoW, GetFileVersionInfoSizeW
> SHLWAPI.dll: PathStripPathW

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=31539595f006dae39f719735f30c3570' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=31539595f006dae39f719735f30c3570</a>

________________________________________
Was sagt mir das jetzt? Muss ich die entfernen? Löschen?

Der UDP Port 49159 ist hier nicht aufgeführt..

 

launcher.exe würde ich aus dem Autostart nehmen.

 

Also launcher.exe ist raus aus Autostart - den muss ich nicht löschen oder?!
Die Firewall des Speedports ist an, die Filterfunktion ist aus! Richtig so? Oder filter an?

Und ansonsten? Bin ich damit sicher?

 

Wenn du dich sicher fühlst?
Du kannst mal mit Malwarebytes Anti-Malware scannen.
http://www.pcwelt.de/forum/1875357-post2.html

>Die Firewall des Speedports ist an, die Filterfunktion ist aus! Richtig so? Oder filter an?
Zum Testen kannst du das so lassen. Wie gesagt, NAT reicht zum Blockieren von unerlaubten Anfragen.

 

Sicher fühlen heißt wohl nichts...
Vielen Dank auf jeden Fall... also war es nur ein Irrtum von ZA?!

 

Ich kann das nur vermuten. Im Kaspersky-Forum habe so etwas ähnliches gelesen, dass die Firewall einen Angriff von einem Fritzbox-Router gemeldet haben soll.

 

Na dann hoffe ich das mal...

Habe jetzt CCleaner, Spybot, Ad-aware Personal, meine Passwörter sicher gemacht und surfe nur noch ohne Adminrechte.. außerdem Antivir und ZA..

Hope that is enough..