Virus oder Trojaner oder doch nichts?

Hallo zusammen
Ich bin neu hier in diesem Forum. Ich hoffe jemand kann mir bei folgendem Problem helfen:

Alle paar Minuten zeigt sich für ca. eine Sekunde in de Taskleiste ein Programm ohne Namen. Es geht einfach auf und wieder zu. Ich habe deswegen Norton Antivirus und verschiedene Anti Trojaner Programme laufen gelassen ohne jeden Befund. In der Protokolldatei von Norton Internetsecurity finden sich aber immer wieder folgende Einträge:
16.01.2007 15:19:28,Supervisor,"Regel ""Standard EPMAPSMB blockieren"" blockierte (83.11.254.19,epmap(135)).","Regel ""Standard EPMAPSMB blockieren"" blockierte (83.11.254.19,epmap(135)). Eingehende TCP-Verbindung Lokale Adresse, Dienst ist (PRIVAT-KELLER(83.77.120.4),epmap(135)) Remote-Adresse, Dienst ist (83.11.254.19,4996) Prozessname ist ""C:\WINDOWS\system32\svchost.exe"""
16.01.2007 15:19:25,Supervisor,"Regel ""Standard EPMAPSMB blockieren"" blockierte (83.11.254.19,epmap(135)).","Regel ""Standard EPMAPSMB blockieren"" blockierte (83.11.254.19,epmap(135)). Eingehende TCP-Verbindung Lokale Adresse, Dienst ist (PRIVAT-KELLER(83.77.120.4),epmap(135)) Remote-Adresse, Dienst ist (83.11.254.19,4996) Prozessname ist ""C:\WINDOWS\system32\svchost.exe"""
16.01.2007 15:16:13,Supervisor,Die Funktion "Nicht verwendete Ports blockieren" hat die Kommunikation blockiert.,"Die Funktion ""Nicht verwendete Ports blockieren"" hat die Kommunikation blockiert. Eingehende TCP-Verbindung Remote-Adresse, lokaler Dienst ist (58.20.108.99,socks(1080))"
16.01.2007 15:12:29,Supervisor,Die Funktion "Nicht verwendete Ports blockieren" hat die Kommunikation blockiert.,"Die Funktion ""Nicht verwendete Ports blockieren"" hat die Kommunikation blockiert. Eingehende TCP-Verbindung Remote-Adresse, lokaler Dienst ist (217.227.228.224,63996)"
16.01.2007 15:12:24,Supervisor,Die Funktion "Nicht verwendete Ports blockieren" hat die Kommunikation blockiert.,"Die Funktion ""Nicht verwendete Ports blockieren"" hat die Kommunikation blockiert. Eingehende TCP-Verbindung Remote-Adresse, lokaler Dienst ist (217.227.228.224,63996)"

Weiss jemand was die Ursache für diese Meldungen sein kann oder/und woher das beschriebene Auftauchen eines Programmes ist. Danke vielmals für alle Tipps

Liebe Grüsse
Marcel

 

Hallo Chäli

Ich würde mal behaupten, da scannt wieder einer innerhalb von bestimmten IP-Bereichen nach verwundbaren Ports. Wenn die Ergebnisse deiner Scans ohne Befund sind und dein Rechner sich sonst nicht irgendwie auffällig benimmt, dann würde ich mir da keine allzu großen Sorgen machen.

Gruß
Nevok

 

Leider benimmt er sich auffällig. Der beschriebene Task erscheint immer wieder. Ich weiss einfach nicht von welchem Programm

LG Marcel

 

Taucht der rechts unten auf und geht dann wieder runter? Wenn der Task wieder mal erscheint, dann drück mal ganz schnell die Taste "PrintScreen" (kann auch "Druck" heißen), öffne dann ein Grafik-Progamm, füge den Screenshot ein und speichere ihn als jpg-Datei ab. Diese Datei hängst du dann an deinen nächsten Beitrag an (Unterhalb des Antwortfensters über "Anhänge verwalten").

 

Wenn ich fragen darf...
Wie geht das denn? Gibt es irgendwelche Programme im WWW, die ständig bestimmte IP-Bereiche scannen?
Womit kann man Ports am besten unsichtbar machen, braucht man dazu sowas wie NOD32 (usw.), oder reicht ein gut konfigurierter Router (Deny All-Strategie) und ein gut konfiguriertes Betriebssystem (Dienste, Richtlinien) ?

mfg
clouser

 

Wie das genau funktioniert, kann ich dir nicht sagen, aber zu Information ließ dir mal die letzte Frage auf der folgenden Seite durch (ganz nach unten scrollen):

http://www.bsi.bund.de/faq/firewall.htm

Wirklich unsichtbar kann man Ports nicht machen, sonst würde eine Firewall ja keinen Verbindungsversuch melden. Die besten Ports sind geschlossene Ports oder Ports, an denen kein Dienst/Programm läuft, denn wo kein Dienst/Programm ist, da kann auch kein Angriff stattfinden.

Weder NOD32, noch ein gut konfigurierter Router noch ein gut konfiguriertes Betriebssystem können Ports unsichtbar machen. Die beiden letztgenannten Dinge können aber den Zugang zum System durch den Angreifer deutlich erschweren.


Gruß
Nevok

 

Ich versuche immer wieder die Print Screen Taste zu drücken. Leider bin ich einfach zu wenig schnell. Max eine Sekunde Zeit.

Der Task taucht übrigens erst auf, wenn eine Internet Verbindung steht. Nachdem Norton Internetsecurity nach verschiedenen Scans nie was angezeigt hat, versuchte ich es mit Kasperky Online Scanner einmal. Siehe da: Es wurde ein Download Trojaner entdeckt. Leider kann ich mit diesem Tool den Schädling nicht löschen und habe ihn manuell in die Quarantäne von Norton verschoben. Dann habe ich noch einen Scan mit HijackThis gemacht und alles gefundene gefixt. Zusätzlich habe ich AVG Antispyware installiert und einen Scan gemacht. Alles ohne Resultate. Aber: Der Task geht immer noch auf.

Sch.... was soll ich tun.
LG Marcel

 

@Chäli: Ich weiß nicht, wo die PrtSc-Taste bei dir sitzt. Bei mir muß ich zusätzlich "Shift" drücken. Bei dir vielleicht auch?

 

Nein ich kann die Taste direkt drücken. Sitzt oben zwischen Nummernblock und Tastatur.
LG Marcel

 

@ Chäli

Ich an deiner Stelle würde das System neu aufsetzen, am besten nach folgender Anleitung:

http://www.cidres-security.de/neuaufsetzen.html

Gruß
Nevok