Hallo zusammen

So wies aussieht habe ich mir was eingefangen...

Zwar hat mir weder Avira Echtzeitschutz noch die Logfiles von HijackThis eine Infektion angezeigt, jedoch habe ich drei Symptome bemerkt, welche bedrohlich wirken.

1. Benutze Win7, bekomm also hin und wieder diese Meldungen vom Wartungscenter. Jedenfalls erscheint seit kurzem immer mal wieder eine Meldung mit einem roten Kreuz, die allerdings sofort wieder verschwindet... Als ob sie durch ein Programm automatisch "weggeklickt" würde...

2. Ist mein System häufiger und schneller mal ausgelastet

3. Habe ich mal in der Konsole den Befehl "netstat -f -o" ausgeführt, welcher mir extrem viele (>15) Verbindungen zu Subdomains von 1e100.net anzeigt. Habe diese URLs mal "getracert" und einige Ergebnisse für "CHINANET jiangsu province network" in China(!) erhalten. Habe mal die Ausgabe angehängt, da mir einige URLs verdächtig vorkommen...

Zitat:

C:\Users\Michi>netstat -f -o

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP 127.0.0.1:57351 Netbook_Michi:57352 HERGESTELLT 3904
TCP 127.0.0.1:57352 Netbook_Michi:57351 HERGESTELLT 3904
TCP 127.0.0.1:57353 Netbook_Michi:57354 HERGESTELLT 3904
TCP 127.0.0.1:57354 Netbook_Michi:57353 HERGESTELLT 3904
TCP 192.168.1.12:2869 192.168.1.36:4564 WARTEND 0
TCP 192.168.1.12:49176 de-he-rm-stream03.rautemusik.fm:9000 HERGESTELL
T 2764
TCP 192.168.1.12:57267 fx-in-f102.1e100.net:http HERGESTELLT 4288
TCP 192.168.1.12:57270 fx-in-f104.1e100.net:http WARTEND 0
TCP 192.168.1.12:57272 fx-in-f105.1e100.net:http WARTEND 0
TCP 192.168.1.12:57274 fra07s07-in-f102.1e100.net:http WARTEND
0
TCP 192.168.1.12:57280 fx-in-f113.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57282 srv6.paul.activeminds.net:http WARTEND
0
TCP 192.168.1.12:57288 fx-in-f166.1e100.net:http WARTEND 0
TCP 192.168.1.12:57290 95.101.223.139:http WARTEND 0
TCP 192.168.1.12:57292 2.16.37.55:http HERGESTELLT 3296
TCP 192.168.1.12:57295 95.101.220.20:http WARTEND 0
TCP 192.168.1.12:57297 fx-in-f113.1e100.net:https WARTEND 0
TCP 192.168.1.12:57299 mail.inflection.com:http WARTEND 0
TCP 192.168.1.12:57302 fx-in-f156.1e100.net:http WARTEND 0
TCP 192.168.1.12:57303 fx-in-f156.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57304 bru02m01-in-f102.1e100.net:http HERGESTELLT
3296
TCP 192.168.1.12:57305 bru02m01-in-f102.1e100.net:http HERGESTELLT
3296
TCP 192.168.1.12:57306 fx-in-f120.1e100.net:https WARTEND 0
TCP 192.168.1.12:57310 fx-in-f113.1e100.net:https HERGESTELLT 3296

TCP 192.168.1.12:57311 fx-in-f113.1e100.net:https HERGESTELLT 3296

TCP 192.168.1.12:57312 www-13-01-snc2.facebook.com:http HERGESTELLT
3296
TCP 192.168.1.12:57313 www-13-01-snc2.facebook.com:http HERGESTELLT
3296
TCP 192.168.1.12:57320 95.101.213.115:http HERGESTELLT 3296
TCP 192.168.1.12:57321 95.101.213.115:http HERGESTELLT 3296
TCP 192.168.1.12:57323 fx-in-f104.1e100.net:http WARTEND 0
TCP 192.168.1.12:57328 fx-in-f101.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57329 fx-in-f101.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57330 fx-in-f101.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57331 fx-in-f101.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57332 fx-in-f120.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57333 fx-in-f139.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57334 fx-in-f139.1e100.net:http WARTEND 0
TCP 192.168.1.12:57336 fx-in-f139.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57337 fx-in-f120.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57338 fx-in-f139.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57341 fx-in-f120.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57349 fx-in-f101.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57350 fx-in-f101.1e100.net:http HERGESTELLT 3296
TCP 192.168.1.12:57355 web01.page.rautemusik.fm:http HERGESTELLT 3
904
TCP 192.168.1.12:57356 bru02m01-in-f121.1e100.net:http HERGESTELLT
3904
TCP 192.168.1.12:57357 web01.page.rautemusik.fm:http HERGESTELLT 3
904
TCP 192.168.1.12:57358 web01.page.rautemusik.fm:http HERGESTELLT 3
904
TCP 192.168.1.12:57359 web01.page.rautemusik.fm:http HERGESTELLT 3
904
TCP 192.168.1.12:57360 web01.page.rautemusik.fm:http HERGESTELLT 3
904
TCP 192.168.1.12:57361 web01.page.rautemusik.fm:http HERGESTELLT 3
904
TCP 192.168.1.12:57363 fx-in-f148.1e100.net:http HERGESTELLT 3904

C:\Users\Michi>

Im Moment lauft bei mir gerade einen vollständigen Systemscan von Avira.

Meine Fragen sind, was bedeuten diese Verbindungen zu den Servern zu Chinanet? Gibt es noch alternativen, als ein neues Win7 zu installieren? Und gibt es einen Grund dafür, dass gewisse Verbindungen vom Prozess mit der PID 0 (also Leerlaufprozess) sind?

Vielen Dank schonmal für Eure Hilfe

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi,

Hatte heute während der Arbeit ein bisschen Zeit und diese dazu genutzt, mein System neu aufzusetzen... Hätte sowiso demnächst mal gemacht werden müssen.

Trotzdem vielen Dank für deine angebotene Hilfe