Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Virus?

angela79at / 14 Antworten / Baumansicht Nickles

Hallo,

bei meiner Internetverbindung wird angezeigt, daß ich viel mehr down- und uploade als ich es tue. Das ist jetzt einige Male passiert und mir ist folgendes bei den Prozessen aufgefallen:
svchost.exe (4 Mal)
services.exe
winlogon.exe
csrss.exe
smss.exe

Die anderen kommen mir bekannt vor, aber ich kenne die ganzen Prozesse nicht auswendig und deswegen kann ich es nicht genau sagen. Aber die obrigen kommen mir sehr seltsam vor (zumindest könnte ich mich nicht erinnern, sie jemals gesehen zu haben). Könnte das ein Virus oder sonst irgendetwas sein? Ich habe Spybot und AdAware laufen lassen und die haben auch nichts gefunden, was das Problem behoben hätte. Ich habe jetzt auch gehört, daß das normale Prozesse sind. Aber kann es vielleicht sein, daß die Prozesse "mißbraucht" werden und doch ein Virus dahintersteckt? Ich wäre für eine Lösung sehr dankbar.

Angela

bei Antwort benachrichtigen
GarfTermy angela79at „Virus?“
Optionen

mit spybot und ad-aware scannt man nicht nach viren, sondern noch ad- und malware. besorge dir einen vernünftigen virenscanner und prüfe dein system damit.

* bitdefender
* avg
* kasperskys
* antivir (nicht besonders gut, aber kostenlos)

die prozesse, die du aufzählst, sind unkritisch.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
angela79at Nachtrag zu: „Virus?“
Optionen

Hallo,

ich habe auch mit dem McAfee Virus Scan geprüft, aber der hat nichts gefunden.

Angela

bei Antwort benachrichtigen
peter1960 angela79at „Hallo, ich habe auch mit dem McAfee Virus Scan geprüft, aber der hat nichts...“
Optionen

>>McAfee Virus Scan

...wie aktuelisiert ist der,oder mal anders gefragt ist der schon älter wie als das Problem aufgetaucht ist?

bei Antwort benachrichtigen
fnmueller1 angela79at „Virus?“
Optionen

naja, definiere doch mal "viel mehr". Wenn du mit dem Inet verbunden bist hast du immer ein bisschen traffic (ping, handshake, etc).

Also: wieviel ist "viel mehr" und wovon machst du "normal" abhaengig?

bei Antwort benachrichtigen
Tyrfing angela79at „Virus?“
Optionen

Ein bisschen "Netzrauschen" gibt es immmer durch den Auf- und Abbau von Verbindungen, fehlgeleitete Zugriffe (besonders wenn du die alte Adresse eines Emule-Benutzer bekommst) und so weiter.
Solange sich der Traffic also in Grenzen hält, dürfte das ganze kein Problem sein

bei Antwort benachrichtigen
angela79at Nachtrag zu: „Virus?“
Optionen

Hi,

Also die Version des Virenscanner ist etwas älter (4.5.1) und wurde vor ein paar Wochen aktualisiert.

Für die Größenordnung habe ich jetzt einmal eine Minute lang nur bei aufrechter Verbindung mitgestoppt und aufgerechnet (mit der Stundenanzahl vom Vormonat) und folgendes hat sich ergeben:
Upload pro Monat wäre: 300 MB
Download pro Monat wäre: 16 MB

Das heißt, daß vor allem das mit dem Upload seltsam ist. Im Vormonat war der mit Aktivitäten 700 MB, das ist beinahe schon die Hälfte.

Liebe Grüße,
Angela

bei Antwort benachrichtigen
Tyrfing angela79at „Virus?“
Optionen

Solange du dich nicht bei der Umrechnung von Bytes in MB verrechnet hast oder ein Filesharingprogramm im Hintergrund laufen lässt, ist das definitiv zu viel.
Zunächst einmal solltest du deinen Virenscanner updaten, Signaturen von vor ein paar Wochen sind ungefähr so effektiv wie eine Grippeimpfung von 1980.

Außerdem solltest du mal mit Active Ports nachschauen, welche Ports bei dir offen sind und die Liste hier posten (am besten erst per File->export list... irgendwo speichern, spart das Abtippen).

bei Antwort benachrichtigen
angela79at Nachtrag zu: „Virus?“
Optionen

Hier ist die Liste:

Process PID Local Port Remote IP Remote Port State Protocol
alg.exe 1532 3001 LISTEN TCP
Explorer.EXE 1344 4613 35.71.121.165 445 ESTABLISHED TCP
Explorer.EXE 1344 3242 67.140.158.225 445 SYN_SENT TCP
Explorer.EXE 1344 3241 67.140.252.3 445 SYN_SENT TCP
Explorer.EXE 1344 3240 67.140.7.235 445 SYN_SENT TCP
Explorer.EXE 1344 3239 168.167.4.94 445 SYN_SENT TCP
Explorer.EXE 1344 3238 67.140.202.17 445 SYN_SENT TCP
Explorer.EXE 1344 3237 179.131.165.10 445 SYN_SENT TCP
Explorer.EXE 1344 3236 39.228.199.58 445 SYN_SENT TCP
Explorer.EXE 1344 3235 52.26.206.96 445 SYN_SENT TCP
Explorer.EXE 1344 3233 67.140.0.196 445 SYN_SENT TCP
Explorer.EXE 1344 3230 72.134.208.90 445 SYN_SENT TCP
Explorer.EXE 1344 3229 138.145.51.64 445 SYN_SENT TCP
Explorer.EXE 1344 3228 67.140.169.238 445 SYN_SENT TCP
Explorer.EXE 1344 3226 143.91.251.164 445 SYN_SENT TCP
Explorer.EXE 1344 3225 193.129.200.47 445 SYN_SENT TCP
Explorer.EXE 1344 3224 50.82.208.48 445 SYN_SENT TCP
Explorer.EXE 1344 3223 125.132.7.252 445 SYN_SENT TCP
Explorer.EXE 1344 3222 217.173.160.176 445 SYN_SENT TCP
Explorer.EXE 1344 3221 84.249.159.172 445 SYN_SENT TCP
Explorer.EXE 1344 3220 30.183.251.114 445 SYN_SENT TCP
Explorer.EXE 1344 3219 107.26.85.238 445 SYN_SENT TCP
Explorer.EXE 1344 3218 170.216.218.201 445 SYN_SENT TCP
Explorer.EXE 1344 3217 62.217.15.215 445 SYN_SENT TCP
Explorer.EXE 1344 3216 93.239.236.52 445 SYN_SENT TCP
Explorer.EXE 1344 3215 67.133.178.55 445 SYN_SENT TCP
Explorer.EXE 1344 3214 68.0.23.145 445 SYN_SENT TCP
Explorer.EXE 1344 3213 102.99.164.112 445 SYN_SENT TCP
Explorer.EXE 1344 3212 41.81.159.152 445 SYN_SENT TCP
Explorer.EXE 1344 3211 112.26.174.237 445 SYN_SENT TCP
Explorer.EXE 1344 3210 98.246.83.29 445 SYN_SENT TCP
Explorer.EXE 1344 3209 37.141.20.243 445 SYN_SENT TCP
Explorer.EXE 1344 3208 94.227.181.148 445 SYN_SENT TCP
Explorer.EXE 1344 3206 11.50.83.237 445 SYN_SENT TCP
Explorer.EXE 1344 3205 126.61.142.89 445 SYN_SENT TCP
Explorer.EXE 1344 3204 69.145.134.76 445 SYN_SENT TCP
Explorer.EXE 1344 3203 182.100.48.70 445 SYN_SENT TCP
Explorer.EXE 1344 3202 46.108.217.48 445 SYN_SENT TCP
Explorer.EXE 1344 3201 115.157.97.179 445 SYN_SENT TCP
Explorer.EXE 1344 3200 82.34.161.213 445 SYN_SENT TCP
Explorer.EXE 1344 3199 105.169.206.103 445 SYN_SENT TCP
Explorer.EXE 1344 3198 187.64.137.66 445 SYN_SENT TCP
Explorer.EXE 1344 3197 186.15.183.185 445 SYN_SENT TCP
Explorer.EXE 1344 3196 43.234.189.26 445 SYN_SENT TCP
Explorer.EXE 1344 3195 47.144.141.133 445 SYN_SENT TCP
Explorer.EXE 1344 3194 102.49.170.187 445 SYN_SENT TCP
Explorer.EXE 1344 3193 11.195.114.44 445 SYN_SENT TCP
Explorer.EXE 1344 3192 215.124.237.219 445 SYN_SENT TCP
Explorer.EXE 1344 3191 149.52.20.4 445 SYN_SENT TCP
Explorer.EXE 1344 3190 193.81.38.215 445 SYN_SENT TCP
Explorer.EXE 1344 3189 145.219.237.230 445 SYN_SENT TCP
Explorer.EXE 1344 3188 184.53.57.189 445 SYN_SENT TCP
Explorer.EXE 1344 3186 11.248.30.152 445 SYN_SENT TCP
Explorer.EXE 1344 3185 88.82.82.32 445 SYN_SENT TCP
Explorer.EXE 1344 3184 169.211.154.142 445 SYN_SENT TCP
Explorer.EXE 1344 3183 57.67.226.247 445 SYN_SENT TCP
Explorer.EXE 1344 3182 73.2.245.229 445 SYN_SENT TCP
Explorer.EXE 1344 3180 146.34.250.79 445 SYN_SENT TCP
Explorer.EXE 1344 3179 201.219.242.94 445 SYN_SENT TCP
Explorer.EXE 1344 3177 59.184.33.4 445 SYN_SENT TCP
Explorer.EXE 1344 3176 149.233.133.80 445 SYN_SENT TCP
Explorer.EXE 1344 3175 197.251.24.2 445 SYN_SENT TCP
Explorer.EXE 1344 3174 171.77.122.220 445 SYN_SENT TCP
Explorer.EXE 1344 3173 85.40.176.157 445 SYN_SENT TCP
Explorer.EXE 1344 3172 116.46.186.42 445 SYN_SENT TCP
Explorer.EXE 1344 3171 167.169.41.79 445 SYN_SENT TCP
Explorer.EXE 1344 3170 37.215.7.125 445 SYN_SENT TCP
Explorer.EXE 1344 3169 166.224.179.140 445 SYN_SENT TCP
Explorer.EXE 1344 3168 190.47.97.39 445 SYN_SENT TCP
Explorer.EXE 1344 3167 148.81.205.123 445 SYN_SENT TCP
Explorer.EXE 1344 3166 85.194.37.59 445 SYN_SENT TCP
Explorer.EXE 1344 3162 15.146.54.123 445 SYN_SENT TCP
Explorer.EXE 1344 3161 153.236.29.27 445 SYN_SENT TCP
Explorer.EXE 1344 3160 73.117.180.193 445 SYN_SENT TCP
Explorer.EXE 1344 3159 37.78.104.192 445 SYN_SENT TCP
Explorer.EXE 1344 3158 180.0.209.97 445 SYN_SENT TCP
Explorer.EXE 1344 3157 205.189.39.2 445 SYN_SENT TCP
Explorer.EXE 1344 3156 139.17.101.194 445 SYN_SENT TCP
Explorer.EXE 1344 3155 170.200.132.103 445 SYN_SENT TCP
Explorer.EXE 1344 3154 81.184.135.37 445 SYN_SENT TCP
Explorer.EXE 1344 3153 98.134.160.97 445 SYN_SENT TCP
Explorer.EXE 1344 3152 85.66.154.35 445 SYN_SENT TCP
Explorer.EXE 1344 3150 203.23.195.163 445 SYN_SENT TCP
Explorer.EXE 1344 3149 85.33.231.127 445 SYN_SENT TCP
Explorer.EXE 1344 3148 195.62.77.136 445 SYN_SENT TCP
Explorer.EXE 1344 3147 49.100.73.28 445 SYN_SENT TCP
Explorer.EXE 1344 3146 110.113.161.221 445 SYN_SENT TCP
Explorer.EXE 1344 2295 LISTEN TCP
lsass.exe 796 500 LISTEN UDP
svchost.exe 1176 1900 LISTEN UDP
svchost.exe 1124 3369 LISTEN UDP
svchost.exe 1124 3119 LISTEN UDP
svchost.exe 992 3003 LISTEN TCP
svchost.exe 992 3002 LISTEN TCP
svchost.exe 1176 5000 LISTEN TCP
svchost.exe 992 1025 LISTEN TCP
svchost.exe 968 135 LISTEN TCP
System 4 445 LISTEN UDP
System 4 1026 LISTEN TCP
System 4 445 LISTEN TCP

Angela

bei Antwort benachrichtigen
fnmueller1 angela79at „Virus?“
Optionen

was da deutlich zu oft geoeffnet wird, und was auch sendet ist der explorer. Fragt sich nur warum er das tut (die svchost ist auch sehr oft auf, das kann aber normal sein).

Lade dir mal trojan-check runter und kille damit alle die unbekannten autostarteintraege.
Ferner kannst du mal http://www.neuber.com/taskmanager/deutsch/prozess/alg.exe.html lesen.
Das gleiche gilt fuer die svchost.exe. Am besten du checkst die Pfade mal mit http://www.neuber.com/taskmanager/ toll

bei Antwort benachrichtigen
angela79at Nachtrag zu: „Virus?“
Optionen

Hallo,

ich habe das Problem gefunden. Es war offensichtlich ein neuer Virus von Ende Juni, über den man noch nicht viele Infos findet. Auf alle Fälle danke für Eure Bemühungen.

Angela

bei Antwort benachrichtigen
fnmueller1 angela79at „Virus?“
Optionen

welcher war es denn?

bei Antwort benachrichtigen
angela79at Nachtrag zu: „Virus?“
Optionen

Der Virus heißt Korgo.worm.v

Angela

bei Antwort benachrichtigen
fnmueller1 angela79at „Virus?“
Optionen

danke :-)

bei Antwort benachrichtigen
Tyrfing angela79at „Virus?“
Optionen

So neu ist er nun wirklich nicht und er sollte von jedem anständigen Virenscanner erkannt werden...wie schon gesagt, ein paar Wochen alte Signaturen sind nutzlos.

Übrigens benutzt dieser Wurm die Lücke, die auch schon Sasser ausnutzte. Du solltest dir wirklich ein paar Gedanken über Sicherheit machen oder zumindest Updates regelmäßig installieren

bei Antwort benachrichtigen