Hallo,

ich habe per Zufall einen merkwürdigen Netzwerktraffic von meinem Rechner ins Internet aufgezeichnet und brauche mal einen Ratschlag, wie ich weiter vorgehen soll.

Betriebssystem: XP Pro SP3, alle Patches installiert.

Alle paar Minuten nimmt der Rechner Verbindung zur IP-Adresse 195.93.218.84 auf dem (Foreign-Port) 3747 auf, d.h.TCP-Verbindungsaufbau, danach werden zwei Datenpakete geschickt, danach TCP-Verbindungsabbau.

Ein tracert auf die o.a. IP liefert "build.airhouse.su".
Suche ich in google nach "build.airhouse.su" kommen da nur ein paar Links mit Hinweisen auf Malware, mit denen ich nix anfangen kann.

Taskmanager zeigt keine "verdächtigen" Prozesse an.

Sysinternal TcpView zeigt mir an, dass der System-Prozess (PId = 0 oder 2?) die Verbindung aufgebaut hat (bleibt ja eine Weile in FIN_WAIT). Allerdings fürchte ich, dass der FIN_WAIT immer aufs System gebucht wird? Wie kann man Prozesse aufspüren, die kurzzeitig I-Net Verbindung aufbauen?

Avira-Antivir 8.xxx (Premium Home) findet keine verdächtigen Dateien. Den Sysinternals Rootkit-Revealer hab ich bisher nicht laufen lassen. Habe Avira aber noch nicht mit aggressiver Einstellung laufen lassen.

Kann mir jemand einen Tipp geben, was ich tun kann um den Übeltäter aufzuspüren & zu vernichten?

Hier die beiden Datenpakete. Die '#'-Zeichen habe ich reingeschrieben um aktuelle Daten zu verstecken.

Helft mir bitte!


POST /cust/col.php?2=nym_#######c&n=0&v=########&i=yp69&s=###&sp=0&lcp=0&pr=0 HTTP/1.0..User-Agent: Mozilla/4.0

(compatible; MSIE 6.0; Windows NT 5.1)
Host: 195.93.218.84:3747
Content-Length: 0
Connection:Keep-Alive
Pragma: no-cache


HTTP/1.1 200 OK.
Server: nginx/0.5.34
Date: Wed, 18 Jun 2008 20:36:47 GMT
Content-Type: text/html
Connection: close
X-Powered-By: PHP/5.1.6.
Hall: OK
Content-Length: 0

Poste doch zuerst mal ein HijackThis Logfile.