Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
svchost.exe greift auf clickhosterseiten zu (im hintergrund)

svchost.exe greift auf clickhosterseiten zu (im hintergrund)


Log-Analyse und Auswertung: svchost.exe greift auf clickhosterseiten zu (im hintergrund)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 23.03.2015, 09:07   #1
Friedrich_
 
svchost.exe greift auf clickhosterseiten zu (im hintergrund) - Ausrufezeichen

svchost.exe greift auf clickhosterseiten zu (im hintergrund)


Hallo Gemeinde,

Mir ist seit einigen Tagen ungewöhnlicher Traffic in meinen Logs aufgefallen die von meinem System ausgehen.
Dies passiert direkt nach dem Systemstart und zieht sich fort. (Es ist nur der PC im LAN Online)
Wenn die LAN-Verbindung deaktiviert ist, zeigen sich auch keine auffälligkeiten. Logisch.
Es wird auch kein Fenster/Werbung etc. geöffnet wenn die Kontaktversuche stattfinden! Was ich noch
beobachten konnte, Seitdem hängt sich auch die komplette taskleiste manchmal für ein paar minuten auf.(aber nicht zu dem genauen Zeitpunkt wo der Verkehr stattfindet).


Caches werden täglich mehrmals nach jedem Browserschließen mit ClearProg, und zusätzlich mit CCleaner bereinigt.
Flash und Java jeweils auf dem neuesten Stand (tägliche manuelle Prüfung auf updates).
Windows/Office Updates jeweils auf aktuellstem Stand, sowie Definitionsfiles entsprechender programme.

Was noch Wichtig ist, ist, das diese Clickjackerseiten im Diagnosestart/Abgesicherter Modus nicht aufgerufen werden,
trotz internetverbindung/nutzung! Das passiert nur im normalen Startmodus.
Zudem öffnet sich auch kein Browser oder derartiges. Mir ist der Traffic lediglich über die Netzwerktools sowie auch Wireshark aufgefallen.

Ich hab vorweg schon mal Combofix ausgeführt. Bedauerlicherweise hatte mir Combofix
die hosts geleert welche ich z.G. wiederherstellen konnte (und dort fleißig diese clickjackerseiten auf localhost nachtrage),
Und noch ein paar weitere files unteranderem Screenshots, eigens angefertigte harmlose logs.. usw.
Mein Hauptbrowser, der Firefox ist gründlich abgeriegelt, Kein Caching, Keine Cookies, NoScript, DoNotTrack sowie Ghostery und einige andere erweiterungen.
Mir wird dort und in den anderen Browsern auch keine Werbung angezeigt, oder das es diese seiten jemals im browser geöffnet hatte. Da war nichts.
Den Firefox mit seinen Erweiterungen können wir ausschließen, da ich diesen als exaktes Abbild auf meinen anderen 3 rechnern auch nutze.

Ich Hoffe das wir das problem gemeinsam identifizieren können und lösen, gerne Spende ich dann auch einen kleinen Betrag an euch, wenn wir den Übeltäter beseitigen können!

PS: Es ist im Grunde ein sehr gepflegtes und sauberes, ruckelfreies System, Bis jetzt auf den Vorfall.

System:
i7-3770 auf Windows 7 32bit.

bereits Durchgeführte Scan's
Code:
ATTFilter
PandaSafe LiveCD -Keine funde
Bitdefender LiveCD -Keine funde

Malwarebytes Anti Malware -Keine funde
Malwarebytes Anti-Rootkit -Keine funde
Spybot Search&Destroy -Keine funde
Spyware Terminator 2012 -Keine funde
Microsoft Security Scanner -Keine funde
Zone Alarm Antivirus Extreme -Keine funde
ClamWin Antivirus -Keine funde
TrendMicro RUBotted -Keine Auffälligkeiten
TrendMicro OnlineScanner -Keine deartigen Funde
Detekt -Keine funde
TDDSKiller -Keine funde
BitDefender BootkitRemover -Keine funde
AVG Virus Remover for Bootkit -Keine funde
McAfee Stinger -Keine funde
Übersicht mittels Screenshots als anhang.

Und nun die Logs:

AdwCleaner-Log
Code:
ATTFilter
# AdwCleaner v4.112 - Bericht erstellt 23/03/2015 um 03:01:35
# Aktualisiert 09/03/2015 von Xplode
# Datenbank : 2015-03-05.1 [Lokal]
# Betriebssystem : Windows 7 Professional Service Pack 1 (x86)
# Benutzername : * - DSLSERVICE
# Gestarted von : C:\Users\Friedrich\Desktop\Sicherheitsprogramme\adwcleaner_4.112.exe
# Option : Suchlauf

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gefunden : C:\Users\*\AppData\Local\PackageAware
Ordner Gefunden : C:\Windows\Uninstaller

***** [ Geplante Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Daten Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>
Schlüssel Gefunden : HKCU\Software\Headlight
Schlüssel Gefunden : HKCU\Software\Mozilla\Extends
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{A1CCCE0D-AE21-42A2-BE58-8E6109410995}
Schlüssel Gefunden : HKLM\SOFTWARE\Headlight
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\allSnap_is1
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sonic the Hedgehog 4 - Episode II (c) SEGA_is1
Schlüssel Gefunden : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi

***** [ Internetbrowser ] *****

-\\ Internet Explorer v11.0.9600.17689


-\\ Mozilla Firefox v36.0.4 (x86 de)

[bmct2hvv.default] - Zeile Gefunden : user_pref("extensions.quick_start.enable_search1", false);
[bmct2hvv.default] - Zeile Gefunden : user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);

-\\ Chromium v

*************************

AdwCleaner[R0].txt - [2696 Bytes] - [05/07/2014 01:32:15]
AdwCleaner[R10].txt - [2972 Bytes] - [19/03/2015 05:08:27]
AdwCleaner[R11].txt - [3033 Bytes] - [19/03/2015 08:52:58]
AdwCleaner[R12].txt - [2906 Bytes] - [22/03/2015 22:42:07]
AdwCleaner[R13].txt - [1900 Bytes] - [23/03/2015 03:01:35]
AdwCleaner[R1].txt - [2108 Bytes] - [05/07/2014 01:44:43]
AdwCleaner[R2].txt - [2092 Bytes] - [05/07/2014 01:51:47]
AdwCleaner[R3].txt - [2152 Bytes] - [22/07/2014 16:45:56]
AdwCleaner[R4].txt - [2309 Bytes] - [27/08/2014 00:30:24]
AdwCleaner[R5].txt - [2646 Bytes] - [27/08/2014 15:45:37]
AdwCleaner[R6].txt - [2706 Bytes] - [27/08/2014 15:51:46]
AdwCleaner[R7].txt - [2858 Bytes] - [01/09/2014 18:35:30]
AdwCleaner[R8].txt - [2695 Bytes] - [20/12/2014 19:07:20]
AdwCleaner[R9].txt - [2912 Bytes] - [10/03/2015 19:00:19]
AdwCleaner[S0].txt - [2649 Bytes] - [05/07/2014 01:39:52]
AdwCleaner[S1].txt - [2061 Bytes] - [05/07/2014 01:48:59]
AdwCleaner[S2].txt - [2843 Bytes] - [19/03/2015 09:34:59]

########## EOF - C:\AdwCleaner\AdwCleaner[R13].txt - [2668 Bytes] ##########
Hijackthis-Log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 05:41:47, on 23.03.2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17689)

FIREFOX: 36.0.4 (x86 de)
Boot mode: Normal

Running processes:
C:\Program Files\EMET 5.1\EMET_Agent.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Virtual CD v10\System\VC10Play.exe
C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
C:\Program Files\CheckPoint\AKL\AkSA.exe
C:\Program Files\Razer\Synapse\RzSynapse.exe
C:\Program Files\allSnap\allSnap.exe
C:\Windows\explorer.exe
C:\Users\Friedrich\Desktop\Sicherheitsprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.8.0_40\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre1.8.0_40\bin\jp2ssv.dll
O4 - HKLM\..\Run: [VC10Player] C:\Program Files\Virtual CD v10\System\VC10Play.exe
O4 - HKLM\..\Run: [USB3MON] "C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\AKL\AkSA.exe" /icon="hidden"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Razer Synapse] "C:\Program Files\Razer\Synapse\RzSynapse.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Trend Micro RUBotted V2.0 Beta] C:\Program Files\Trend Micro\RUBotted\RUBottedGUI.exe
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKCU\..\Run: [DMS-Kalenderchen] "C:\Program Files\Kalenderchen\Kalenderchen.exe" /autorun
O4 - Startup: allSnap.lnk = C:\Program Files\allSnap\allSnap.exe
O8 - Extra context menu item: Mit GetRight downloaden - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit Getright-Browser öffnen - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: *.clonewarsadventures.com
O15 - Trusted Zone: *.freerealms.com
O15 - Trusted Zone: *.soe.com
O15 - Trusted Zone: *.sony.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{540DE981-1465-410D-993D-5B1652998DCB}: NameServer = 192.168.44.44
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: DokanMounter - Unknown owner - C:\Program Files\Paragon Software\Paragon ExtFS for Windows\Dokan\DokanLibrary\mounter.exe
O23 - Service: Futuremark SystemInfo Service - Futuremark - C:\Program Files\Futuremark\SystemInfo\FMSISvc.exe
O23 - Service: Intel(R) Integrated Clock Controller Service - Intel(R) ICCS (ICCS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ZoneAlarm AntiKeylogger IswSvc (IswSvc) - Check Point Software Technologies LTD - C:\Program Files\CheckPoint\AKL\AkSVC.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NetLimiter 3 NDIS driver (nlndis) - Locktime Software - C:\Program Files\NetLimiter Ndis Miniport Service\nlndis.exe
O23 - Service: NetLimiter 3 Service (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 3\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe
O23 - Service: OpenVPN Service (OpenVPNService) - The OpenVPN Project - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: Origin Client Service - Electronic Arts - C:\Program Files\Origin\OriginClientService.exe
O23 - Service: Realtek87B - Realtek - C:\Program Files\Realtek\RTL8187 Wireless LAN Utility\RtlService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Riverbed Technology, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Trend Micro RUBotted Service (RUBotSrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\RUBotted\RUBotSrv.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: Virtual CD v10 Management Service (VC10SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v10\System\VC10SecS.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: VMware Workstation Server (VMwareHostd) - Unknown owner - C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies Ltd. - C:\Program Files\CheckPoint\ZoneAlarm\vsmon.exe
O23 - Service: ZoneAlarm Privacy Service (ZAPrivacyService) - Check Point Software Technologies, Ltd. - C:\Program Files\CheckPoint\ZoneAlarm\ZAPrivacyService.exe
O23 - Service: ZoneAlarm AntiTheft - Check Point Software Technologies Ltd. - C:\Program Files\CheckPoint\AntiTheft\Antitheft.exe

--
End of file - 7380 bytes

Junkware Removal Tool-Log
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.5 (03.17.2015:1)
OS: Windows 7 Professional x86
Ran by Friedrich on 23.03.2015 at  0:18:46,87
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [Folder] C:\Users\Friedrich\AppData\Roaming\mozilla\firefox\profiles\bmct2hvv.default\extensions\{ef522540-89f5-46b9-b6fe-1829e2b572c6}
Successfully deleted the following from C:\Users\Friedrich\AppData\Roaming\mozilla\firefox\profiles\bmct2hvv.default\prefs.js

user_pref("extensions.customizegoogle.cookies.SafeSearch", false);
user_pref("extensions.customizegoogle.cookies.enableSafeSearch", false);



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 23.03.2015 at  0:22:09,99
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ein GMER log konnte ich nicht posten, da es auch im AbgesichertenModus bei der Stelle wo die VolumeShadowCopy geprüft wird, sich beendet. Nach dem 3x hintereinander ausführen kommt dann ein Bluescreen bei besagter Volumen-Schattenkopie Stelle.

Einige Adressen auf die die svchost zugreift, eigtl immer die gleichen.
Code:
ATTFilter
37.220.34.13 www.kesefkal.net

192.64.147.209 www.onlineearningcenter.com

192.64.147.209.voodoo.com	

		www.ruspromotion.net 				69.43.160.178
	host.bogiehosting.net					
redirector-sjl.enom.com					
67.18.22.5  www.megacashclicks.net
141.8.225.80 www.lionclix.com


www.hotrusclick.com 144.76.188.252
uniqwork.com  93.95.100.90


www.theadclick.com 208.73.210.200
www.stormpay.com 98.124.199.1
www.hybridtraffic.com 50.63.202.4

69.64.147.242 www.bulldogsclicks.com

Hostname	Methode	Pfad	User-Agent	Antwort-Code	Antwort-String	Inhaltsart	Internetadresse	Klientenadresse	Serveradresse	Herkunft	Inhaltscodierung	Übertragunscodierung	Server	Inhaltslänge	Verbindung	Cache-Steuerung	Standort	Serverzeit	Verfall	Letzte Aktualisierung	Cookie	Abfragezeit	Antwortszeit	
www.dpx-money.info	GET	/index.php?refid=7285er	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html	hxxp://www.dpx-money.info/index.php?refid=7285er	192.168.44.33:1035	94.23.11.202:80			chunked	Apache/2.2.23 (Win32) PHP/5.3.27 mod_ssl/2.2.23 OpenSSL/0.9.8x	412	close			22.03.2015 20:45:49				00:00:11.372	49 ms	
www.egcash.com	GET	/index.php?refid=4839d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html; charset=UTF-8	hxxp://www.egcash.com/index.php?refid=4839d	192.168.44.33:1045	72.52.4.121:80				Apache	20578	close	post-check=0, pre-check=0		22.03.2015 20:47:44	26.07.1997 05:00:00	22.03.2015 20:47:44		00:02:05.785	128 ms	
www.trafficdinar.com	GET	/signup.php?r=1296d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html; charset=UTF-8	hxxp://www.trafficdinar.com/signup.php?r=1296d	192.168.44.33:1050	72.52.4.119:80				Apache	29288	close	post-check=0, pre-check=0		22.03.2015 20:48:21	26.07.1997 05:00:00	22.03.2015 20:48:21		00:02:42.914	31 ms	
www.kesefkal.net	GET	/ru/?refer=557837d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	301	Moved Permanently		hxxp://www.kesefkal.net/ru/?refer=557837d	192.168.44.33:1052	37.220.34.13:80				Microsoft-IIS/7.5	0	close		hxxp://www.xn----miceskz.net:80/ru/?refer=557837d	22.03.2015 20:50:45				00:05:16.832	38 ms	
www.ruspromotion.net	GET	/site/index.php?ref=73425d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	302	Found	text/html; charset=UTF-8	hxxp://www.ruspromotion.net/site/index.php?ref=73425d	192.168.44.33:1056	69.43.160.178:80				Apache	0	close		hxxp://ww1.ruspromotion.net/site/index.php?ref=73425d	22.03.2015 20:51:32				00:05:53.942	256 ms	
www.onlineearningcenter.com	GET	/members/63497d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	404	Not Found	text/html; charset=UTF-8	hxxp://www.onlineearningcenter.com/members/63497d	192.168.44.33:1063	192.64.147.209:80				Apache/2.2.3 (CentOS)	1455	close	no-cache, no-store, must-revalidate, post-check=0, pre-check=0		22.03.2015 20:52:13	31.12.2001 07:32:00			00:06:33.966	245 ms	
www.stormpay.com	GET	/?53867d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	302	Found	text/html	hxxp://www.stormpay.com/?53867d	192.168.44.33:1113	98.124.199.1:80			chunked	Redirector/1.0	155	close	private	hxxp://127.0.0.1/53867d	22.03.2015 20:52:52				00:07:11.179	189 ms	
www.theadclick.com	GET	/pages/index.php?refid=54530d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html; charset=UTF-8	hxxp://www.theadclick.com/pages/index.php?refid=54530d	192.168.44.33:1122	208.73.210.200:80				Apache	946	Keep-Alive			22.03.2015 20:53:26				00:07:48.127	301 ms	
www.megacashclicks.net	GET	/index.php?ref=23486d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	404	Not Found	text/html; charset=iso-8859-1	hxxp://www.megacashclicks.net/index.php?ref=23486d	192.168.44.33:1151	67.18.22.5:80				nginx	326	close			22.03.2015 20:54:41				00:09:02.259	220 ms	
www.lionclix.com	GET	/index.php?ref=54377d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html; charset=UTF-8	hxxp://www.lionclix.com/index.php?ref=54377d	192.168.44.33:1171	141.8.225.80:80				Apache	894	Keep-Alive			22.03.2015 20:55:18				00:09:39.755	183 ms	
www.hotrusclick.com	GET	/signup.php?r=2783d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html	hxxp://www.hotrusclick.com/signup.php?r=2783d	192.168.44.33:1185	144.76.188.252:80				Apache/2	6	close			22.03.2015 20:54:40				00:10:16.446	58 ms	
uniqwork.com	GET	/rjoin.asp?id=63488d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	302	Object moved	text/html	hxxp://uniqwork.com/rjoin.asp?id=63488d	192.168.44.33:1342	93.95.100.90:80				Microsoft-IIS/6.0	129	close	private	d-ru.asp	22.03.2015 20:57:07				00:11:29.324	192 ms	
www.egcash.com	GET	/index.php?refid=7285er	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html; charset=UTF-8	hxxp://www.egcash.com/index.php?refid=7285er	192.168.44.33:1644	72.52.4.121:80				Apache	20579	close	post-check=0, pre-check=0		22.03.2015 20:58:23	26.07.1997 05:00:00	22.03.2015 20:58:23		00:12:44.419	53 ms	
www.hybridtraffic.com	GET	/index.php?ref=5534d	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	302	Found		hxxp://www.hybridtraffic.com/index.php?ref=5534d	192.168.44.33:1779	50.63.202.4:80					0	close	no-cache	/index.php?ref=5534d					00:13:21.772	189 ms	
www.bulldogsclicks.com	GET	/index.php?ref=7285er	Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0;1:0	200	OK	text/html; charset=utf-8	hxxp://www.bulldogsclicks.com/index.php?ref=7285er	192.168.44.33:1868	69.64.147.242:80				Microsoft-IIS/7.5	7109	close	no-cache		22.03.2015 20:59:39				00:13:58.592	152 ms
Die Browserkennung die er dabei verwendet ist immer die gleiche.
Mozilla/5.0 (Macintosh; 3c7; PPC Mac OS X; en-US) AppleWebKit/15e.5 (KHTML, like Geco, Safari) OmniWeb/vc12.de0
CPU-Auslastung gen 0%, keine anwendungen offen, alles geschlossen! Festplatte ruht.

mfg.
Miniaturansicht angehängter Grafiken
Klicken Sie auf die Grafik für eine größere Ansicht Name: Einzelheiten der Verbindungen.jpg Hits: 916 Größe: 485,1 KB ID: 73266   Klicken Sie auf die Grafik für eine größere Ansicht Name: Differentes zugreifen.jpg Hits: 799 Größe: 460,6 KB ID: 73267  

 

Themen zu svchost.exe greift auf clickhosterseiten zu (im hintergrund)
antivirus, bho, bluescreen, cashclicker, chromium, clickjacking, combofix, desktop, festplatte, firefox, helper, hijack, hängt, internet explorer, junkware, logfile, malware, mozilla, netzwerk, problem, realtek, registry, scan, security, software, svchost, svchost.exe, system, updates, usb


« Windows fährt nicht mehr hoch | GVU Trojaner, Farbar Recovery Scan Tool erfolgt, LogFile auf USB Stick gesichert »


Ähnliche Themen: svchost.exe greift auf clickhosterseiten zu (im hintergrund)


  1. Jemand greift auf mein iphone5 zu
    Smartphone, Tablet & Handy Security - 04.04.2014 (6)
  2. Wer greift auf meinen Rechner zu ?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2013 (5)
  3. svchost.exe greift auf passwort gesichertes PDF (und mehr?) zu
    Log-Analyse und Auswertung - 05.08.2013 (29)
  4. Greift jemand auf mein Internet zu?
    Netzwerk und Hardware - 05.04.2013 (7)
  5. Facebook IP greift auf PC zu?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2013 (12)
  6. Greift der Verschlüsselungstrojaner nur bestimmte Dateisysteme an?
    Diskussionsforum - 14.08.2012 (1)
  7. Android-Bot greift befreite Smartphones an
    Nachrichten - 02.04.2012 (0)
  8. Android-Trojaner greift mTANs ab
    Nachrichten - 16.03.2012 (0)
  9. Mein eigener Computer greift an
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (5)
  10. Hacker greift an!
    Plagegeister aller Art und deren Bekämpfung - 02.01.2012 (6)
  11. Anonymous greift Sicherheitsberater an
    Nachrichten - 26.12.2011 (0)
  12. Probleme mit Firefox: firefox.exe & svchost.exe laufen mehrfach im Hintergrund. PC befallen?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2011 (20)
  13. Fremdes programm greift auf mein Pc zu
    Log-Analyse und Auswertung - 10.03.2011 (1)
  14. svchost.exe*32 greift auf das Internet zu, und stellt Verbindungen her
    Plagegeister aller Art und deren Bekämpfung - 26.10.2010 (5)
  15. Botnet greift SSH-Server an
    Nachrichten - 12.08.2010 (0)
  16. Netzwerkvirus greift Internetverbindung an (rhscft.exe)
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (4)
  17. Computer-Virus greift Menschen an!
    Plagegeister aller Art und deren Bekämpfung - 05.04.2005 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema svchost.exe greift auf clickhosterseiten zu (im hintergrund) - Hallo Gemeinde, Mir ist seit einigen Tagen ungewöhnlicher Traffic in meinen Logs aufgefallen die von meinem System ausgehen. Dies passiert direkt nach dem Systemstart und zieht sich fort. (Es ist - svchost.exe greift auf clickhosterseiten zu (im hintergrund)...
Archiv
Du betrachtest: svchost.exe greift auf clickhosterseiten zu (im hintergrund) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131