Supportnet / Forum / WindowsXP

Hallo, ich habe auf meinem Notebook XP-Home und alle Service-Packs installiert. Desweiteren benutze ich Bitdefender Professional als Virenschutz und Firewall. Mein Internetzugang ist über DSL und Wlan. Da ich den TDSL-Speedmanager installiert habe ist mir aufgefallen, daß mein Notebook alle 20-30 Sekunden Daten mit einer immer gleichen Geschwindigkeit von ca. 33 Kbits/Sek. empfängt. Der Vorgang dauert immer ca. 1-1,5 Sekunden. Kann es sich hierbei um einem Trojaner handeln?? Habe schon mit Bitdefender, Adaware und Spybot gescannt aber keine Ergebnisse. Oder ist dieser Vorgang bei DSL/Wlan normal? Macht mir echt Kopfschmerzen da ich viel Online-Banking / Einkäufe übers Netz mache. Vielen Dank im voraus für einen brauchbaren Tip. K.H.

Dürfte normal sein, da sich Access-Point und Modem in definierten Zeitabständen vergewissern müssen, dass sie noch da sind.
Ist ein normaler Vorgang; deshalb schlagen auch deine "Verteidigungsprogramme" nicht an.

Grüße

Lad dir mal hijackthis. http://www.hijackthis.de/
Lass dann einen scan laufen und lass das Logfile dann online auswerten. Auch unter www.hijackthis.de.

Besten Dank schon mal für die schnellen Antworten.
Nachstehend das Log-File in 2 Teilen da zu gross!
Logfile of HijackThis v1.99.1
Scan saved at 09:47:14, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Foxmail\Foxmail.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MediaMonkey\MediaMonkey.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\DOKUME~1\Karsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh]

Teil 2

C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender8\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Foxmail] C:\Programme\Foxmail\Foxmail.exe -min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra ´Tools´ menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hi


Das würde mir nicht so recht gefallen, nach kurzem drüberfliegen.

Rausfinden welcher Prozess da schwatzt kannst du mit Boardmitteln.
cmd
netstat -aon
zeigt dir Prozesse an, die gerade eine Verbindung geöffnet haben. Must nur den Zeitpunkt entsprechend abpassen.

tschö
Michael

Hi Michael, besten Dank.
bin in der Sache Laie, Befehl netstat funktioniert aber was heißt danach -aon? funktioniert nicht!

als Remote Adresse wird immer die IP-Adresse meines Routers angezeit.
Einmal auch:
Colo2.Bitdefender.com:http

also könnte ich mir vorstellen, daß dies ein ganz normaler Vorgang sein könnte.
Naja, wenn irgendwann mein Konto geplündert wurde...

Muss leider meine letzte Aussage zurücknehmen:
Habe mein altes Notebook mal über Wlan angeschlossen. Allerdings mit XP professional mit SP1.
Hier findet keinerlei Datenaustausch laut Speedmanager statt.
Habe auch das Logfile online auswerten lassen.
Was komisch ist: Laut hijackthis habe ich keine aktive Firewall installiert. Kann aber nicht sein da Bitdefender 8 Professional läuft.
Ich drehe durch....

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll


such mal mit der windowsssuche nach sockspy.dll und scan die danach mit bitdenfender,sbybot, ad-aware und dergleichen...

habe computer im abgesicherten Modus gestartet und versucht die Datei Sockspy zu löschen. funktioniert nicht da Meldung"schreibgeschützt oder wir von anderem Programm verwendet". Kann ja wohl nicht sein. Wenn ich die Eigenschaften mir anzeige ist bei schreibgeschützt kein Haken.
Adaware etc. rüberlaufen lassen..nichts..
Bitdefender 8 Prof. läuft übrigens nicht im abgesicherten Modus!!??
Habe in weiteren Foren gelesen dass Sockspy evtl. eine Datei von Bitdefender sei. Werde jetzt mal versuchen mit dem Hersteller der Software Kontakt aufzunehmen.
Sockspy ist bei mir übrigens im Verzeichnis Windows32 abgelegt.
Danke an alle die bisher geschrieben haben.
Habe mein Fenster schon geöffnet....Notebookweitwurf

So, es hat alles nichts geholfen. Kein Scanner hat was gefunden.

Meine Vermutung war zum Schluss dass irgendein Programm etappenweise geladen wird um dann später Schaden anzurichten.
Komischerweise verändert sich aber die Größe des belegten Speichers auf meiner Festplatte nicht um ein einziges Byte.

Das einzige was mich jetzt noch beruhigt ist die Tatsache, daß bisher nur Downloads angezeigt werden und keine Uploads.........

Aber vielleicht hat ja jemand noch einen Einfall.

Nach DIESEM Link gehört wahrscheinlich, deine sockspy.dll zu Bitdefender, oder anders ausgedrückt: die ominöse Datei zu einem Programm, das just diese ominösen Dateien bekämpft....

Womit wir wieder bei Antwort 1 wären.

Jetzt wird es interessant:
Habe mir gerade ein Netzwerkkabel geliehen und an meinen Router direkt angeschlossen. Wlan aus!
keinerlei Datenverkehr mehr!!!!!
dann liegt es wohl an dem Wlan-Modul . Ist ein Intel Wlan 2200BG.

Aber vielleicht ist es auch ein Trojaner der nur über Wlan aktiv ist?????ist so was möglich?

Ich weiß ich nerve aber habe keinen Bock schon wieder den Computer platt zu machen..

• Windows Installer Dienst (XP)
• Trojaner
• Windows update dienst nachinstallieren?
• Problem mit dem Dienst "Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"