Viren, Spyware, Datenschutz 11.251 Themen, 94.779 Beiträge

Verfolgung starten Optionen

Eingehender Eindringversuch

thunderbird88 / 10 Antworten / Baumansicht Nickles

Hallo!

ich benutze die Firewall von Sunbelt. Diese Kerio Firewall. Seit kurzem kommt da jetz regelmäßig ne Meldung "Eindringversuch blockiert" und "Eindringling: C:\Users\Norman und Stefanie\AppData\Local\eqkkmku.exe" und das einzige was man machen kann ist das Fenster schließen. Was kann ich dagegen tun? Danke für eure Hilfe!

mfg

bei Antwort benachrichtigen
shrek3 thunderbird88 „Eingehender Eindringversuch“
Optionen

Hallo Thunderbird88,

lade dir hier HijackThis herunter und poste das Ergebnis in deine nächste Antwort hinein:

http://www.hijackthis.de/downloads/HJTInstall.exe

Seit kurzem kommt da jetz regelmäßig ne Meldung "Eindringversuch blockiert"

Was heißt hier genau "regelmäßig" - nach jedem Neustart, alle paar Minuten, usw.?

Handelt es sich um eine Datei, die Kontakt zum Internet aufnehmen will oder um Kontakt, der aus dem Internet kommt?

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
thunderbird88 shrek3 „Hallo Thunderbird88, lade dir hier HijackThis herunter und poste das Ergebnis in...“
Optionen

kommt so ca. alle 5min! und die datei die ich oben genannt hab will da anscheinend eindrigen... hab doch auch keine ahnung :)

ja und das steht da genau da:

Technische Details für den Eindringversuch:

Injektoranwendung: C:\Users\Norman und Stefanie\AppData\Local\eqkkmku.exe
Beschreibung: pébroc
Dateiversion: 0, 0, 9, 3
Produktname: imprégnais
Produktversion: 0, 0, 9, 3
Erstellt: 2009/5/6, 10:23:34
Geändert: 2009/5/6, 10:23:34
Zugegriffen: 2009/5/6, 10:23:34

Zielanwendung: C:\Windows\Explorer.EXE
Beschreibung: Windows-Explorer
Dateiversion: 6.0.6000.16386 (vista_rtm.061101-2205)
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.0.6000.16386
Erstellt: 2009/5/5, 18:43:41
Geändert: 2008/10/29, 06:29:41
Zugegriffen: 2009/5/5, 18:43:41

Adresse der Injektion: 0x02260000

bei Antwort benachrichtigen
shrek3 thunderbird88 „kommt so ca. alle 5min! und die datei die ich oben genannt hab will da...“
Optionen
Erstellt: 2009/5/6, 10:23:34

Noch ganz frisch, der Eindringling.

Was genau hast du vorher am Rechner gemacht?

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
thunderbird88 shrek3 „ Noch ganz frisch, der Eindringling. Was genau hast du vorher am Rechner...“
Optionen

na nicht großartig ist ja noch ganz frisch der rechner. hab dir garde ne persönliche nachicht geschrieben hast schon gelesen?

bei Antwort benachrichtigen
Xdata thunderbird88 „na nicht großartig ist ja noch ganz frisch der rechner. hab dir garde ne...“
Optionen

Nicht vergessen,
-- Desktop Walls lösen oft Probleme die garnicht existieren.

bei Antwort benachrichtigen
shrek3 thunderbird88 „na nicht großartig ist ja noch ganz frisch der rechner. hab dir garde ne...“
Optionen

Bitte antworte nur hier, wo du auch deine Frage gestellt hast.
Dafür ist schließlich ein Forum da - die erarbeiteten Lösungen sollen auch anderen mit einem ähnlichen Problem dienen können.

Thunderbird teilte mir dieses mit:
hallo. also hab jetz das programm, hab auch gescannt aber im programm ist dann mein angegebener pfad nicht zu finden und dem zu folge kann ich das ja uch ne löschen. das einzige wo ich den pfad seh ist in der ditordatei die nach dem scan automatisch erstellt wird. würe mich um schnelle hilfe freuen... besten dank im vorraus.

Es geht darum, denn kompletten Scanbericht (das, was in der "Editordatei" drin steht) hierhin zu kopieren, um uns eine genauere Auswertung zu ermöglichen.

Vom Löschen der Datei war nicht die Rede - dafür ist Hijackthis nicht konzipiert worden.

Und beantworte bitte die Frage, was du heute morgen am Rechner alles gemacht hast, da der mögliche Schädling erst ca. 10.36 Uhr auf dem Rechner erschien.

Das dient nicht der Befriedigung meiner persönlichen Neugier, sondern soll Aufschluss über die Herkunft und die Schadhaftigkeit der Datei bringen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
thunderbird88 shrek3 „Bitte antworte nur hier, wo du auch deine Frage gestellt hast. Dafür ist...“
Optionen

sorry das ich erst jetz schreib hatte aber voll zu hier ist der editorericht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:26, on 07.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\Explorer.EXE
D:\Tools\Sunbelt Personal Firewall\SbPFCl.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Tools\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
D:\Tools\ICQ\ICQ6.5\ICQ.exe
D:\Tools\Nero\Nero 9\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Tools\Trend Micro HijackThis\HijackThis.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Tools\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [CleanSetup] cmd /C rmdir /S /Q "C:\Users\Norman und Stefanie\AppData\Local\Temp\nro.tmp\"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Tools\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Tools\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - D:\Tools\Sunbelt Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - D:\Tools\Sunbelt Personal Firewall\SbPFSvc.exe

--
End of file - 6085 bytes

bei Antwort benachrichtigen
shrek3 thunderbird88 „sorry das ich erst jetz schreib hatte aber voll zu hier ist der editorericht:...“
Optionen

Der Scanbericht ist okay, wenngleich das noch kein sicherer Beweis für ein sauberes System ist.

Bleibt die Frage, was du vor Eintritt dieser Kerio-Meldung am Rechner gemacht hast...

Was sagt AntiVir zu dieser Datei?
Per Rechtsklick darauf -> "Ausgewählte Dateien mit AntiVir überprüfen" könntest du dir eine weitere "Meinung" einholen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
PaoloP thunderbird88 „sorry das ich erst jetz schreib hatte aber voll zu hier ist der editorericht:...“
Optionen

Ich finde den Scanbericht alles andere als okay
aber oberflächlich nichts zu finden in Bezug auf "eqkkmku.exe"
das wenig vertrauensweckend klingt.

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
pema1983 PaoloP „Ich finde den Scanbericht alles andere als okay aber oberflächlich nichts zu...“
Optionen
Ich finde den Scanbericht alles andere als okay

Ich stimme zu, sorry Shrek3.

Grund:

Da ist zumindest Adware auf dem Rechner, hier:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

Adobe Reader ist nicht aktuell:

C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe

Es gibt inzwischen vom Reader die Version 9! -> http://adobe-reader.downloadhit.info/

Mal ganz abgesehen von den offenen Schwachstellen der sogar aktuellen Version:

http://www.heise.de/security/Demo-Exploits-fuer-neue-Schwachstellen-im-Adobe-Reader--/news/meldung/136958

Hier würde ich auf einen alternativen .pdf-Betrachter ausweichen.

Ich halte es auch für sehr wahrscheinlich, daß es noch mehrere ungepatchte Applikationen auf dem System gibt, Java ist da ein klassisches Beispiel, herauszufinden hiermit:

http://sicher-ins-netz.info/analyse/si.html

Aber die von mir erwähnte Lücke reicht schon für einen Drive-by-Download aus: -> http://de.wikipedia.org/wiki/Drive-by-Download

Und es steht noch die Frage von Shrek3 aus, was Du, thunderbird88, kurz vor der Meldung von Kerio gemacht hast.

Oftmals ist es so, daß sich ein solches Programm nur wichtig tun will, und hierfür nicht interpretierbare Meldungen produziert. Schließlich muß ja die Daseinsberechtigung untermauert werden, aber hier glaube ich, daß mehr dahinter steckt.
bei Antwort benachrichtigen