Unverlangte Übertragungsaktivität = Virus?

Hallo zusammen…

Beim Surfen wunderte ich mich, dass die Übertragungsanzeige auf der Taskleiste (XP) ständig leuchtete, auch wenn Seiten schon längst zu Ende geladen wurden. Das war für mich ganz klar ein Zeichen für einen Virus, der wohl in dem Moment mit irgendwem „da draußen“ heimlich kommunizierte.

Im Taskmanager konnte ich dann einen Prozess identifizieren, der dafür verantwortlich war: ein Backdoor-Wurm. Prozess gelöscht, Registry gesäubert, Firewall hoch. Dann gab die Übertragungsanzeige auch Ruhe. Mittlerweile hat sich wieder ein neuer Virus eingeschlichen, mit einem Prozess namens „navmgrd.exe“. Den kriege ich nicht so leicht runter, aber wenigstens taucht er bis zum nächsten Neustart nicht wieder auf, wenn ich ihn im Task-Manager beendet habe.

Wenn ich den Prozess gelöscht habe, reduziert sich die ungefragte Übertragungsaktivität deutlich, aber :

Ab und zu passiert es dennoch, dass (wenn auch nicht mehr als 1 KB innerhalb von Minuten) irgendetwas ungefragt gesendet und empfangen wird.

Ist das normal? Was könnte das sein?
Was bedeutet es, wenn ich nur empfange, aber mein PC nicht sendet? Versucht da jemand anzuklopfen und scheitert an der Firewall?

Bemerkung: Ich habe keine Programme (bewußt) installiert, von denen man ungefragte Internetverbindungen erwarten könnte. Auch der MSN Messenger ist bei mir nicht aktiv.

Herzlichen Gruß,

Mohamed.

Fast richtig
hier findest du Informationen zu dem was du da hast
http://fr.trendmicro-europe.com/enterprise/security_…
es ist eine backdoor Such mal bei Google nach Spybot der sollte afaik damit umgehen können und dir diese Backdoor killen. (ist n kostenloses Programm)

Warum hast du deine FW erst hochgefahren nachdem du bemerkt hast das da Daten rein und raus gehen? Die sollte eigentlich immer oben sein um ihren Sinn und Zweck zu erfüllen.

c:\windows\system32\navmgrd.exe --> Windows Virus W32.parité

http://www.sophos.de/virusinfo/analyses/w32pariteb.html

schau bitte bei dem link, dort findest du alles, was du brauchst um ihn zu entfernen
viel glück

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

sorry, mein fehler…
du hast ihn ja im taskmanager bei den prozessen gefunden, somit hat er sich irgendwo eingenistet, wo er einen autostart verursacht beim neustart des rechners. hab da was gefunden, was auch zu trifft.

sorry nochmal wegen der verwirrung

Virusname: Backdoor.Rbot.I

Alias: W32/Rbot-I, Backdoor.SdBot.jg, W32/Sdbot.worm.gen.g, W32.Randex.gen

Ist ein W32-Wurm, der sich remote über IRC-Kanäle verbreitet und sich als NAVMGRD.EXE
in das Windows-System kopiert.

Verbreitung über E-Mail, folgende Registrierungen werden alle 60 Sekunden verändert:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Backdoor.Rbot.I ändert alle 120 Sekunden noch folgende Einträge:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = „N“
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = „1“

Entfernung:

Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

Bearbeiten der Registrierungseinträge:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie „Regedit“ ein und
drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Außerdem:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = „N“
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = „1“

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.

Danke euch beiden

Jetzt sieht mein System sauber aus!

Ach ja, das mit der Firewall… Die habe ich erst hinterher hochgezogen, weil ich vorher von dieser Möglichkeit auf meinem PC nichts wußte…