iexplore.exe baut verbindung zu 81.214.154.233 Port 1193

_Speedy_ · 04.12.2004, 19:28

Hallo!

ich hoffe ihr könnt mir ein Tip geben, ich suche nämlich schon zeit
ein Paar Tagen herauszufinden weshalb die iexplore.exe sobald ich im
Internet bin sofort auf die IP 81.214.154.233 Port 1193 eine
Verbindung aufbaut, und die Verbindung bleibt die ganze Zeit stehen

Wenn ich diese Verbindung im Taskmanager beende baut XP keine Verbindung mehr zu dieser IP bis ich den Rechner neu boote..
Bin mit mein Latein am Ende..

die IExplore.exe habe ich auch shcon online scannen lassen die Datei ist sauber..
Ich weiss echt nicht mehr weiter :-(

Kaspersky findet kein Virus/trojaner (auch im abgesicherte Modus)
F-Prot findet auch nichts
Stinger ebenso.
E-Scan findet auch nichts..
Adawaare ebenso
Spyboot searchandestroy ebenso..
usw.. :-(

hier ein paar Daten:

Netstat sagt sobald ich ins Netz gehe:
TCP 217.227.150.26:1034 81.214.154.223:1193 HERGESTELLT 944

Die IP 81.214.154.223:1193 bleibt immer gleich egal an was für ein Tag
es ist.

Mein System ist eigentlich recht sauber keine komische Software
installiert oder so..

Logfile of HijackThis v1.98.2
Scan saved at 19:12:48, on 4.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxAgent.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\temp\download\1\Tcpview.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\temp\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe
O4 - Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all by Net Transport - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096035334453
O17 - HKLM\System\CCS\Services\Tcpip\..\{35366728-0596-4153-868C-27D608C88628}: NameServer = 217.237.149.225 217.237.151.97

danke für jedem Tip der mich weiter kommen lässt...

Speedy

chaosman · 04.12.2004, 19:52

@_Speedy_

kuckst du hier
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
http://www.sophos.de/virusinfo/analy...trillianb.html

lade dir escan http://www.mwti.net/antivirus/free_utilities.asp

lese bitte der anleitung genaustens durch
http://www.trojaner-board.de/42731-escan-anleitung.html

scan dauert 1 stunde
Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.

poste danach ein neues HJTlogfile
chaosman

_Speedy_ · 05.12.2004, 12:42

Hallo Chaosman!

danke, habe alles gemacht, die Dateien UmxCfg.exe und UmxPol.exe sind sauber.. habe sie auch Online scannen lassen
Ich habe alles mit Escan gescannt, mein system ist komischerweisse sauber..

Das ganze wird immer rätselhafter..

Ich habe ein Sniffer laufen lassen, es werden keine Daten zwischen mein Rechner und diese IP adresse übertragen, aber eine verbíndung steht..
echt komisch..

chaosman · 05.12.2004, 12:44

@_Speedy_
arbeitest du seit kürzem mit einen router?
chaosman

Cidre · 05.12.2004, 13:01

Schau mal, vielleicht hilft dir das weiter:
http://www.iks-jena.de/cgi-bin/whois

Zitat:

Suchbegriff: 81.214.154.233
Adresse: whois.ripe.net

Suchergebnis:

% This is the RIPE Whois tertiary server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

inetnum: 81.214.128.0 - 81.214.191.255
netname: TurkTelekom
descr: Turk Telekom
country: tr
admin-c: TTBA1-RIPE
tech-c: TTBA1-RIPE
status: ASSIGNED PA
mnt-by: as9121-mnt
notify: ipg@telekom.gov.tr
changed: ipg@telekom.gov.tr 20030930
source: RIPE

route: 81.214.0.0/16
descr: TurkTelecom
origin: AS9121
mnt-by: AS9121-MNT
changed: ipg@telekom.gov.tr 20021015
source: RIPE

role: TT Administrative Contact Role
address: Turk Telekom
address: Bilisim Aglari Dairesi
address: Aydinlikevler
address: 06103 ANKARA
phone: +90 312 313 1950
fax-no: +90 312 313 1949
e-mail: abuse@ttnet.net.tr
admin-c: BADB3-RIPE
tech-c: ZA66-RIPE
tech-c: ZA196-RIPE
tech-c: LA109-RIPE
tech-c: NO638-RIPE
nic-hdl: TTBA1-RIPE
notify: ipg@turktelekom.com.tr
mnt-by: AS9121-MNT
changed: ipg@telekom.gov.tr 20000608
changed: ipg@telekom.gov.tr 20001020
changed: ipg@telekom.gov.tr 20010615
changed: ipg@turktelekom.com.tr 20040903
source: RIPE

_Speedy_ · 05.12.2004, 13:14

Zitat:

Zitat von Cidre

Schau mal, vielleicht hilft dir das weiter:
http://www.iks-jena.de/cgi-bin/whois

danke, da hatte ich schon nachgeschaut, das ist was mich noch stutziger macht.. ich war noch nie auf irgendein Türkische Server oder so :-) wenn es irgendeine Microsoft IP wärde oder so, würde ich denken, ich hätte einfach irgendein Dienst nicht nicht deaktiviert oder so.. aber so..
Warscheinlich eine Türkische Döner/dialer/mafia

Ein Router habe ich nicht, mein Rechner ist direkt mit dem DSL Moden verbundet..

hier noch ein Auszug von mein Sniffer..

ich habe den Snifer ge4startet und dann sofort eine verbindung ins Inet hergestellt: soweit ich das beurteilen kann, werden echt keine Daten zwischen mein Rechner und dieser IP übertragen..

No. Time Source Destination Protocol Info
38 7.452731 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440

Frame 38 (70 bytes on wire, 70 bytes captured)
Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210)
Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0

0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d..
0010 1d 09 00 32 00 21 45 00 00 30 00 94 40 00 80 06 ...2.!E..0..@...
0020 90 0f 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....).
0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@.......
0040 05 a0 01 01 04 02 ......
No. Time Source Destination Protocol Info
40 10.327591 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440

Frame 40 (70 bytes on wire, 70 bytes captured)
Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210)
Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0

0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d..
0010 1d 09 00 32 00 21 45 00 00 30 00 96 40 00 80 06 ...2.!E..0..@...
0020 90 0d 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....).
0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@.......
0040 05 a0 01 01 04 02 ......
No. Time Source Destination Protocol Info
42 16.343436 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440

Frame 42 (70 bytes on wire, 70 bytes captured)
Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210)
Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0

0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d..
0010 1d 09 00 32 00 21 45 00 00 30 00 98 40 00 80 06 ...2.!E..0..@...
0020 90 0b 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....).
0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@.......
0040 05 a0 01 01 04 02 ......

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193

Log-Analyse und Auswertung: iexplore.exe baut verbindung zu 81.214.154.233 Port 1193