Trojaner in der Firewall-Log gemeldet

[tnase]

Hallo zusammen.
In meiner Firewall taucht in regelmäßigen Abständen folgende Hinweis in der Log-Datei auf
---8<---
MALWARE User Agent Containing http:// - Suspicious - Likely
Spyware/Trojan {TCP} 192.168.1.18:62315 -> 209.85.148.105:80
---8<---

Zumal es sich bei der sendenden IP um meinen eigenen Rechner handelt. Hier bracht mich Google nicht weiter.
Hat hier jemand eine Idee für mich? Mit welchem Tool kann ich der eventl. Bedrohung zu leibe rücken?
Hier läuft Windows 7 Pro mit der aktuellen KAV als Virenscanner.

Danke.

Thomas.

[6shop]

lass mal spybot search&destroy laufen.

[b3nn1]

Die IP scheint von einem Google-Server zu sein. Die schlimmste Bedrohung von allen... deine Daten sind nun gespeichert.

[Deathcore]

Wenn du die 192. Adresse bist ist das schon recht merkwürdig. Weil die 209.85.148.105 eine IP von Google ist.

[tnase]

Die IP scheint von einem Google-Server zu sein. Die schlimmste Bedrohung von allen... deine Daten sind nun gespeichert.

Hmmm. Welche Daten sind denn davon betroffen? Habe gerade Spybot installiert. Hier könnte ich nur die Quelle finden.
Hört sich gefährlich an. Google und pers. Daten!

Thomas

Ergänzung vom 03.03.2011 09:19 Uhr:

Wenn du die 192. Adresse bist ist das schon recht merkwürdig. Weil die 209.85.148.105 eine IP von Google ist.

Hätte eigentlich mein Virenscanner verhindern sollen.

Thomas.

[Netrunner]

Hi
möchte hier keine Werbung machen jedoch eine Empfehlung ausprechen wenn du Probleme solcher Art des öfteren hast.
Freeware Programme sind zwar teilweise gut und hier und da auch mal ziemlich gut, jedoch besteht schon noch ein Unterschied wenn du ein Programm erwirbst.
Ich mache seit 4 Jahren sehr gute Erfahrungen mit Norton Inet Security. Diese sind seit 3 Jahren ständig auf Platz 1 aller Virenscanner und Firewall tests. Die Systhembelastung ist mittlerweile ausserordentlich gering und bezahlbar sind die Dinger auch.
Vieleicht investierst du hier mal ich hab wirklich nur gute Erfahrungen damit gemacht.
MfG



Fußball ist wie Schach nur ohne Würfel !
Zitat: Lukas Podolski

[tnase]

Hi
möchte hier keine Werbung machen jedoch eine Empfehlung ausprechen wenn du Probleme solcher Art des öfteren hast.
Freeware Programme sind zwar teilweise gut und hier und da auch mal ziemlich gut, jedoch besteht schon noch ein Unterschied wenn du ein Programm erwirbst.
Ich mache seit 4 Jahren sehr gute Erfahrungen mit Norton Inet Security. Diese sind seit 3 Jahren ständig auf Platz 1 aller Virenscanner und Firewall tests. Die Systhembelastung ist mittlerweile ausserordentlich gering und bezahlbar sind die Dinger auch.
Vieleicht investierst du hier mal ich hab wirklich nur gute Erfahrungen damit gemacht.
MfG



Fußball ist wie Schach nur ohne Würfel !
Zitat: Lukas Podolski

Vielen Dank für die "Werbung". Wir setzten hier im Unternehmen jedoch Kaspersky ein. Alle Systeme sind hiermit "geschützt" und werden über die Managment-Console verwaltet. Ein einfacher Wechsel ist politisch und finanziell nicht ohne weiteres möglich. Einzige Alternativen sind individuelle Tools, wie zum Beispiel Sybot etc.
Aber an der Basis kann nicht einfach "gerüttelt" werden.

Thomas.

Ergänzung vom 03.03.2011 09:41 Uhr:

lass mal spybot search&destroy laufen.

So. lief durch. Gefunden wurde u.a.:
Adviva, BurstMedia; CasaleMedia; DoubleClick; FastClick; HitBox; MediaPlexund Tradedoubler

Kann jemand hier etwas mit anfangen?

---8<---
Tradedoubler: Verfolgender Cookie (Internet Explorer: c.veller) (Cookie, nothing done)


FastClick: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


Adviva: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


MediaPlex: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


DoubleClick: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


CasaleMedia: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


BurstMedia: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Chrome: Chrome) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SDWinSec.exe (1.0.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2011-03-03 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2011-02-24 Includes\Adware.sbi (*)
2011-03-01 Includes\AdwareC.sbi (*)
2010-08-13 Includes\Cookies.sbi (*)
2010-12-14 Includes\Dialer.sbi (*)
2011-03-01 Includes\DialerC.sbi (*)
2011-02-24 Includes\HeavyDuty.sbi (*)
2010-11-30 Includes\Hijackers.sbi (*)
2011-03-01 Includes\HijackersC.sbi (*)
2010-09-15 Includes\iPhone.sbi (*)
2010-12-14 Includes\Keyloggers.sbi (*)
2011-03-01 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2011-02-24 Includes\Malware.sbi (*)
2011-03-01 Includes\MalwareC.sbi (*)
2011-02-24 Includes\PUPS.sbi (*)
2011-02-24 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2011-03-01 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2011-02-24 Includes\Spyware.sbi (*)
2011-03-01 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-12-28 Includes\Trojans.sbi (*)
2011-03-01 Includes\TrojansC-02.sbi (*)
2011-03-01 Includes\TrojansC-03.sbi (*)
2011-03-01 Includes\TrojansC-04.sbi (*)
2011-03-01 Includes\TrojansC-05.sbi (*)
2011-03-01 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll


---8<---


Danke.
Thomas

[cyberpirate]

Hi
möchte hier keine Werbung machen jedoch eine Empfehlung ausprechen wenn du Probleme solcher Art des öfteren hast.
Freeware Programme sind zwar teilweise gut und hier und da auch mal ziemlich gut, jedoch besteht schon noch ein Unterschied wenn du ein Programm erwirbst.
Ich mache seit 4 Jahren sehr gute Erfahrungen mit Norton Inet Security. Diese sind seit 3 Jahren ständig auf Platz 1 aller Virenscanner und Firewall tests. Die Systhembelastung ist mittlerweile ausserordentlich gering und bezahlbar sind die Dinger auch.
Vieleicht investierst du hier mal ich hab wirklich nur gute Erfahrungen damit gemacht.
MfG ....

Du möchtest keine Werbung machen? Meiner Erfahrung nach reichen
Freeware Programme in einer guten Zusammenstellung völlig aus. Diesen
Norton Krempel kann ich persönlich gar nicht leiden. Gerade wenn man
das wieder loswerden will gibt es viele Probleme.

Zum TE:

Poste doch mal dein LOG auf dieser Seite. Hier kennt
man sich sehr gut aus mit solchen Dingen.

http://www.trojaner-board.de/

[tnase]

Poste doch mal dein LOG auf dieser Seite. Hier kennt
man sich sehr gut aus mit solchen Dingen.

http://www.trojaner-board.de/

Ok. Habe ich gepostet. Mal sehen, was kommt.


Thomas.

Ergänzung vom 03.03.2011 13:28 Uhr:

Ok. Habe ich gepostet. Mal sehen, was kommt.


Thomas.

Als erstes ein Hinweis wegen crossposting :-(
Klasse.

[Boogeyman]

lass mal spybot search&destroy laufen.

Also mit Spybot Search&Destroy würde ich als letztes suchen, wenn ich Verdacht auf Malware hätte. Der Focus von Spybot liegt bei Spyware, für eine übergreifende Malware Suche ist dieser Scanner nur zweite Wahl.

Wenn du vermutest, das der Rechner mit Malware befallen ist, würde ich mit einem bootbaren Scanner suchen lassen, wie Avira AntiVir Rescue System, Bitdefender RescueDisk, G DATA BootCD, F-Secure Rescue-CD, oder c't Desinfec't.

Hier läuft Windows 7 Pro mit der aktuellen KAV als Virenscanner.

Also wenn deine Antiviren Programm eine inkludierte Firewall hat, dann dürfte das eher KIS (Kaspersky Internet Security) sein.
Sonst steht in solchen Logs oft unverständlicher Mist, den kein normaler Anwender richtig interpretieren kann. Ich kann dir zu Kaspersky aber nichts genaueres sagen, da ich dieses Programm nicht nutze.

MALWARE User Agent Containing http:// - Suspicious - Likely
Spyware/Trojan {TCP} 192.168.1.18:62315 -> 209.85.148.105:80

Sonst schaut das eher so aus, das auf deinen Rechner installierte Software mit Google Kontakt aufnehmen möchte, das ist z.B. bei der Software von Google der Fall, wenn sie z.B. auf Updates prüfen möchte.

Als erstes ein Hinweis wegen crossposting :-(

Das wäre mir neu, das es verboten ist, in verschiedenen Foren zu fragen. Crossposting ist nur nicht im gleichen Forum erlaubt. (wie Crossposting interpretiert wird, hängt aber oft von den Board Regeln ab) In vielen Foren gibt man sich aber nicht so kleinlich.

[Atkatla]

Ich glaub er meint CrossScripting. ^^

[Scheinweltname]

Hallo zusammen.
In meiner Firewall taucht in regelmäßigen Abständen folgende Hinweis in der Log-Datei auf
---8<---
MALWARE User Agent Containing http:// - Suspicious - Likely
Spyware/Trojan {TCP} 192.168.1.18:62315 -> 209.85.148.105:80
---8<---

Was issn das für eine Firewall? Normalerweise sollten Firewalls traffic gar nicht bewerten.

so eine Verbindung
eigener Rechner (local address) -> Internet (remote address)
ist genau die richtige Richtung (ausgehender traffic = gut). Vermutlich ist da irgendeine Toolbar, Google-Programm (Google Earth, Chrome oder so) oder was-auch-immer, das ein Update macht, Daten abrufen will usw.

Misstrauisch müsstest du werden, wenn es andersherum wäre: Wenn dein Rechner Verbindungen empfängt, die nicht ursprünglich von dir selbst aufgebaut wurden (d.h. nicht von dir ausgehend).

Die Adresse gehört zu Google und ich habe sie in meinem Firewall-HowTo auch in der Liste derjenigen IP-Bereiche aufgeführt, die man getrost freigeben kann (und muss, um Google, seine Dienste und Youtube nutzen zu können).

Auch bei den üblichen "Tracking Cookies", die Spybot S&D gefunden hat, sehe ich keinen Grund zur Sorge. Löschen, "Cookies von Drittanbietern" im Browser verbieten und gut.

[tnase]

Auch bei den üblichen "Tracking Cookies", die Spybot S&D gefunden hat, sehe ich keinen Grund zur Sorge. Löschen, "Cookies von Drittanbietern" im Browser verbieten und gut.

Das ist gut zu wissen. Sicherlich werde ich mich mit dem Thema näher beschäftigen müssen. Du meintest, es wäre nicht tragisch, wenn daten ins Netz an die Google-Adr. transportiert werden, jedoch möchte ich schon genauer wissen, das bewegt wird.

Der Meinung nach ist es sicherlich auch bedenklich, chrome her weiterhin zu nutzen. Es war eh. nur ein test und bei firefox fühle ich mich heimischer.


Danke für die Info auch zu den cookies.

Thomas.

[-Iwan-]

hast du irgendwelche Programme von Google installiert: Toolbar, Chrome, Desktop, Earth, Picasa, o.ä.?

[tnase]

hast du irgendwelche Programme von Google installiert: Toolbar, Chrome, Desktop, Earth, Picasa, o.ä.?

nein. nur - ich trau`mich es kaum noch auszuschreiben...... chrome

[Boogeyman]

Das ist gut zu wissen. Sicherlich werde ich mich mit dem Thema näher beschäftigen müssen. Du meintest, es wäre nicht tragisch, wenn daten ins Netz an die Google-Adr. transportiert werden, jedoch möchte ich schon genauer wissen, das bewegt wird.

Der Meinung nach ist es sicherlich auch bedenklich, chrome her weiterhin zu nutzen. Es war eh. nur ein test und bei firefox fühle ich mich heimischer.

Was soll da bedenklich sein? Auch Firefox nimmt Kontakt mit seinen Server auf, wie soll das Programm sonst auf Updates prüfen?
Wenn du Chrome nicht nutzen möchtest ist das ok, jeder hat seine eigenen Vorlieben. Chrome verhält sich da aber wie viele andere Browser auch, wenn du Paranoia hast, dann ziehe den Netzwerk Stecker zum Internet.

[TBcosinus]

Das wäre mir neu, das es verboten ist, in verschiedenen Foren zu fragen. Crossposting ist nur nicht im gleichen Forum erlaubt. (wie Crossposting interpretiert wird, hängt aber oft von den Board Regeln ab) In vielen Foren gibt man sich aber nicht so kleinlich.

Ich hab mich jetzt mal zu diesem Zwecke registriert, um hier antworten zu können. Ich hab nichts gegen Crosspostings wenn sie auch als solche deklariert werden, aber wenn nicht, finde ich das schlicht und ergreifend MEGA unhöflich. Gründe hab ich schon im Trojaner-Board genannt/verlinkt und ich bitte Euch sowas zu tolerieren und nicht als kleinlich zu bezeichnen => http://www.trojaner-board.de/96218-t...tml#post626426

Nicht als X-Posting gekennzeichnete Postings landen bei "uns" in der Tonne....

Nichts für Ungut. Aber in X Foren ein und dasselbe Thema behandeln lassen geht einfach nicht, wenn die Helfer nicht wissen, dass dem user schon längst geholfen wurde. Ich denke ich hab mich da nun genug ausgedrückt, nichts für Ungut. Gruß aus dem Trojaner-Board.de

Euer TBcosinus

--
Gruß
Arne

[smuper]

Im Grunde ist nicht das Crossposting zu euch ein Problem, sondern eher das Crossposting Computerhilfen <-> Computerbase. Ihr seid spezialisiert und empfohlen worden, erst danach entstand das Posting bei euch.

Sowas ist einfach nur ungünstig, vor allem auch für den Threadersteller, denn dann hat man nicht 10 unterschiedliche Meinungen, sondern gleich 20 ...

[tnase]

Ich hab mich jetzt mal zu diesem Zwecke registriert, um hier antworten zu können. Ich hab nichts gegen Crosspostings wenn sie auch als solche deklariert werden, aber wenn nicht, finde ich das schlicht und ergreifend MEGA unhöflich. Gründe hab ich schon im Trojaner-Board genannt/verlinkt und ich bitte Euch sowas zu tolerieren und nicht als kleinlich zu bezeichnen => http://www.trojaner-board.de/96218-t...tml#post626426

Das mit dem Crossposting habe ich nun verstanden. Hatte es in der Vergangenheit nie so geshen - werde es aber zukünftig beherzigen

Was soll da bedenklich sein? Auch Firefox nimmt Kontakt mit seinen Server auf, wie soll das Programm sonst auf Updates prüfen?
Wenn du Chrome nicht nutzen möchtest ist das ok, jeder hat seine eigenen Vorlieben. Chrome verhält sich da aber wie viele andere Browser auch, wenn du Paranoia hast, dann ziehe den Netzwerk Stecker zum Internet.

Paranoia? Ich möchte in diesem Zusammenhang nochmals zur Ursprungsmeldung zurück kommen:
---8<---
MALWARE User Agent Containing http:// - Suspicious - Likely
Spyware/Trojan {TCP} 192.168.1.18:62315 -> 209.85.148.105:80
---8<---
Thomas

Ergänzung vom 05.03.2011 21:11 Uhr:

Im Grunde ist nicht das Crossposting zu euch ein Problem, sondern eher das Crossposting Computerhilfen <-> Computerbase. Ihr seid spezialisiert und empfohlen worden, erst danach entstand das Posting bei euch.

Sowas ist einfach nur ungünstig, vor allem auch für den Threadersteller, denn dann hat man nicht 10 unterschiedliche Meinungen, sondern gleich 20 ...

Sollte ich nochmals in einem anderem Board posten, würde ich einen Hinweis hinterlassen. So sollte nix passieren....
Ehrlich gesagt..... Die Situation war mir dringend und für mich kurzfristig zu erledigen. Mit einer solch grossen Resonanz hatte ich nicht gerechnet.
Thomas.

[Boogeyman]

Du vertraust also deinen AV Blind, da kann kommen was will. Schon mal daran gedacht, das viele AV auch mal einen falschen Alarm ausgeben?

Ich möchte noch einmal den Beitrag von Scheinweltname in Erinnerung rufen, der hier als Kaspersky Experte (Fanboy ) bekannt ist.

http://www.computerbase.de/forum/sho...7&postcount=12

ist genau die richtige Richtung (ausgehender traffic = gut). Vermutlich ist da irgendeine Toolbar, Google-Programm (Google Earth, Chrome oder so) oder was-auch-immer, das ein Update macht, Daten abrufen will usw.

Die Adresse gehört zu Google und ich habe sie in meinem Firewall-HowTo auch in der Liste derjenigen IP-Bereiche aufgeführt, die man getrost freigeben kann