HAllo Mein Problem ist vielleicht auch keins. Hoffentlich.

Ich habe mit dem Programm NetworkActiv bei meinem Traffic bemerkt, dass mein Pc andauern irgendwelche PAkete sendete. DIe im Inhalt wirres Zeug hatten und auch manche email oder search.com usw. Zeichen.

Ich habe gelesen (hier irgendwo), dass mein Pc als Spamserver mittels Wurm oder Backdoor verwendet wird. Ich habe jetzt neu formatiert und neu aufgesetzt. Jetzt habe ich aber noch immer so einen Packet-senderei. Aber ohne Emial oder search.com usw. Zeichen.
Die ganezen PAckete (ca. 4 alle 3sec. manchmal mehr) kommen von "Internet Assigned Numbers Authority" laut ip. Und im Text ist wieder zwischen komischen Zeichen eine IP von "RIPE Network Coordination Centre".
Ich kenne RIPE vom TOR Client, den ich manchmal benutzte. Kann das sein, dass die mich ausspionieren ??? DEnn DIe Packete gehen immer hin und her und manchmal sind auch andere Server aus der USA dabei. zb. Internap Network Services aus Atlanta.

Kann das ein Wurm sein, der auch die Formatierung überlebt ???
Mein Windows Update funktioniert seit dem Neuinstallaion auch nicht, da sucht er nur nach neuen Updates, aber sucht ewig, es geht nichts weiter. DAs kann aber auch ein andere Fehler sein...

Bitte, hilft mir da weiter, dass nervt nämlich, da ich nicht weiß ob meine ganzen Bankverbindungen oder Email Benutzernamen usw. vielleicht übertragen werden...

LG Michi...


Logfile of HijackThis v1.99.1
Scan saved at 11:42:26, on 20.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\NetworkActiv PIAFCTM 1.5\NetworkActivPIAFCTMv1.5.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182327159609
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

@michi1000000
Ein Thread reicht völlig aus: http://www.trojaner-board.de/40150-p...t-packete.html

Zitat:

Ich habe gelesen (hier irgendwo), dass mein Pc als Spamserver mittels Wurm oder Backdoor verwendet wird.

Was und wo konntest du über ausgerechnet deinen PC lesen, wenn nicht mal den HJT-Log von dir irgendwann irgendwo "publiziert" wurde?
Schmeiße dieses Quasi-Tool "NetworkActiv" in die Mülltonne - da hast du die Ruhe.
Im Log habe ich nichts Böses gefunden, habe aber das Gefühl, dass der Log im Safe Mode erstellt wurde. Wenn Ja - bitte im Normalmodus wiederholen.

hallo,
ja stimmt habe mich nicht klar ausgedrückt aber es gab hier im Forum jemanden der die selben Anzeichen hatte,...

das ist gut wenn das alles passt. aber ich habe nach einer stunde oder so tausende PAckete versendet,....das ist ziemlich viel, fürs nixtun im Internet.

könnte sich ein wurm nicht in einem "guten" Prozess verstecken,...?
danke und viele liebe Grüße!!!!

hier nochmal das log.... ist aber normal modus
Logfile of HijackThis v1.99.1
Scan saved at 06:18:53, on 21.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182327159609
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

@michi1000000

Zitat:

könnte sich ein wurm nicht in einem "guten" Prozess verstecken,...?

Doch. Ich kenne ein Tool, das dies entdecken könnte. Leider ist es kein vollautomatisches Tool und man braucht hier die Hilfe eines anderen Forums: Forum in English - Âèðóñ Èíôî | Virus Info. Die deutsche Anleitung findest du in meiner Signatur (AVZ4).

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

würd ich nochmal mit VirusTotal prüfen, konnte sonst auch nix auffälliges finden