Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Plagegeister aller Art und deren Bekämpfung: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2008, 14:44   #1
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Hallo,

gestern ist mir aufgefallen, dass der Leerlauprozess mit dem Internet verbunden zu sein scheint. Herausgefunden habe ich das, als ich in Ausführen cmd eintippte und dort dann netstat -o eingab. Dort erschien dann:
Proto Lokale Adresse Remoteadresse Status PID
TCP Computername 65.55.192.93:http WARTEND 0
TCP Computername 65.55.184.125:http WARTEND 0

Pid 0= Leerlaufprozess (mit dem Taskmanager nachgeprüft)

Ich ging dann mit dem Firefox ins Internet und gab den netstat -o Befehl wieder in die Eingabeaufforderung ein. Die Liste wurde länger:
Proto Lokale Adresse Remoteadresse Status PID
TCP Computername:2277 localhost:2278 HERGESTELLT 868
TCP Computername:2278 localhost:2277 HERGESTELLT 868
TCP Computername:2279 localhost:2280 HERGESTELLT 868
TCP Computername:2280 localhost:2279 HERGESTELLT 868
TCP Computername:2285 localhost:32324 HERGESTELLT 868
TCP Computername:2290 localhost:32324 WARTEND 0
TCP Computername:2292 localhost:32324 WARTEND 0
TCP Computername:2301 localhost:32324 WARTEND 0
TCP Computername:2303 localhost:32324 WARTEND 0
TCP Computername:2304 localhost:32324 WARTEND 0
TCP Computername:2305 localhost:32324 WARTEND 0
TCP Computername:2309 localhost:32324 WARTEND 0
TCP Computername:2310 localhost:32324 WARTEND 0
TCP Computername:2311 localhost:32324 WARTEND 0
TCP Computername:2312 localhost:32324 WARTEND 0
TCP Computername:2313 localhost:32324 WARTEND 0
TCP Computername:2314 localhost:32324 WARTEND 0
TCP Computername:2318 localhost:32324 WARTEND 0
TCP Computername:2320 localhost:32324 WARTEND 0
TCP Computername:2322 localhost:32324 WARTEND 0
TCP Computername:2324 localhost:32324 WARTEND 0
TCP Computername:2326 localhost:32324 WARTEND 0
TCP Computername:2328 localhost:32324 WARTEND 0
TCP Computername:2330 localhost:32324 WARTEND 0
TCP Computername:2332 localhost:32324 WARTEND 0
TCP Computername:2334 localhost:32324 WARTEND 0
TCP Computername:2336 localhost:32324 WARTEND 0
TCP Computername:2338 localhost:32324 WARTEND 0
TCP Computername:2340 localhost:32324 WARTEND 0
TCP Computername:2344 localhost:32324 WARTEND 0
TCP Computername:2345 localhost:32324 WARTEND 0
TCP Computername:2349 localhost:32324 WARTEND 0
TCP Computername:2351 localhost:32324 WARTEND 0
TCP Computername:32324 localhost:2281 WARTEND 0
TCP Computername:32324 localhost:2285 HERGESTELLT 1632
TCP Computername:32324 localhost:2287 WARTEND 0
TCP Computername:32324 localhost:2289 WARTEND 0
TCP Computername:32324 localhost:2293 WARTEND 0
TCP Computername:32324 localhost:2297 WARTEND 0
TCP Computername:32324 localhost:2298 WARTEND 0
TCP Computername:2286 195.50.169.74:http HERGESTELLT 1632
TCP Computername:2316 wxw.ambiweb.de:http WARTEND 0

Der Leerlaufprozess ist nun öfters aufegeführt. Hinzu kommen noch die beiden fett geschriebenen Einträge. ich weis nicht warum dahin eine Verbindung steht.

Nach 10 Minuten hab ich nochmal Netstat -o einegegben und das erschien:

Proto Lokale Adresse Remoteadresse Status PID
TCP Computername:2278 localhost:2277 WARTEND 0
TCP Computername:2359 localhost:32324 WARTEND 0
TCP Computername:2361 localhost:32324 WARTEND 0
TCP Computername:2363 localhost:32324 WARTEND 0
TCP Computername:2365 localhost:32324 WARTEND 0
TCP Computername:2367 localhost:32324 WARTEND 0
TCP Computername:2369 localhost:32324 WARTEND 0
TCP Computername:2371 localhost:32324 WARTEND 0
TCP Computername:2375 localhost:32324 WARTEND 0
TCP Computername:2376 localhost:32324 WARTEND 0
TCP Computername:2379 localhost:32324 WARTEND 0
TCP Computername:2380 localhost:32324 WARTEND 0
TCP Computername:2381 localhost:32324 WARTEND 0
TCP Computername:2382 localhost:32324 WARTEND 0
TCP Computername:2384 localhost:32324 WARTEND 0
TCP Computername:2389 localhost:32324 WARTEND 0
TCP Computername:2391 localhost:32324 WARTEND 0
TCP Computername:2393 localhost:32324 WARTEND 0
TCP Computername:32324 localhost:2355 WARTEND 0
TCP Computername:32324 localhost:2357 WARTEND 0
TCP Computername:32324 localhost:2372 WARTEND 0
TCP Computername:32324 localhost:2395 WARTEND 0
TCP Computername:32324 localhost:2396 WARTEND 0
TCP Computername:32324 localhost:2397 WARTEND 0
TCP Computername:32324 localhost:2398 WARTEND 0
TCP Computername:32324 localhost:2399 WARTEND 0
TCP Computername:2370 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2373 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2377 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2378 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2383 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2385 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2386 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2387 dd17134.kasserver.com:http WARTEND 0
TCP Computername:2388 fx-in-f164.google.com:http WARTEND 0
TCP Computername:2390 fx-in-f164.google.com:http WARTEND 0
TCP Computername:2392 fx-in-f164.google.com:http WARTEND 0
TCP Computername:2394 dd17134.kasserver.com:http WARTEND 0[/B]

Der Leerlaufprozess ist wieder aufgelistet. Die fett geschriebenen Einträge finde ich auch etwas komisch.

Jetzt meine Frage:
Warum ist der Leerlaufprozess mit dem Internet verbunden?
Könnte daran ein Trojaner schuld sein oder hat sich vielleicht jemand in mein System eingehackt?

Mein Betriebssystem ist Windows Xp.
Habe mal einen Portscan mit dem Local Port Scanner gemacht und der zeigt mir an das die Ports: 25, 80, 110, 135, 143, 445, 1025 geöffnet sind. Könnten die zum Hacken verwendet werden oder kann es sein das ein Trojaner sich über einen mit dem Internet verbindet und dazu als Tarnung den Leerlaufprozess verwendet?

Für Hilfe wäre ich sehr dankbar.

Mit freundlichen Grüßen
Damnek

Alt 16.08.2008, 17:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Cool

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Hallo

Für weitere Analysen:

1.) Poste ein HijackThis Logfile

2.) Backlight und Malwarebytes Antimalware ausführen und Logfile posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________
Alt 16.08.2008, 17:38   #3
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Hallo,

hier der HijackThis Log. Einmal vom Konto mit den Administartorrechten und von meinem Eingeschränkten Konto (weis nicht ob das eine unterschied macht, darum)

Admin Konto Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:08, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://windowsupdate.microsoft.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 6792 bytes
Eingeschränktes Konto Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:01, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "e:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ 6\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 5958 bytes
Der Rest folgt später!!!
__________________
Alt 16.08.2008, 17:44   #4
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Blacklight Log:
Code:
ATTFilter
08/16/08 18:39:58 [Info]: BlackLight Engine 1.0.70 initialized
08/16/08 18:39:58 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/16/08 18:39:58 [Note]: 7019 4
08/16/08 18:39:58 [Note]: 7005 0
08/16/08 18:40:06 [Note]: 7006 0
08/16/08 18:40:06 [Note]: 7011 2632
08/16/08 18:40:06 [Note]: 7035 0
08/16/08 18:40:06 [Note]: 7026 0
08/16/08 18:40:06 [Note]: 7026 0
08/16/08 18:40:08 [Note]: FSRAW library version 1.7.1024
08/16/08 18:40:50 [Note]: 2000 1012
08/16/08 18:41:29 [Note]: 7007 0

Alt 16.08.2008, 19:11   #5
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Hallo,

ahh

Hab Malware Bytes laufen lassen. hat auch eine Infektion gefunden. fake.beep.sys oder so steht im log. Dann wolt ich das entfernen lassen es ging aber nicht. Da kam dann es konnte nicht alles volständig entfernt werden oder so dann konnte man auf ja oder nein klicken ich hab aus gewohnheit auf ja gedrückt (blöde angewohnheit ) und dann hat der Pc rebootet. Jetzt hab ich keine Verbindung ins internet mehr und beim treiber meiner Wlan Karte steht: no card installed. oder so. Ich muss jetzt das Malware Bytes logfile Abschreiben. Sitz gerade am anderen pc und will das logfile nicht rüberkopieren da ich angst habe den auch noch zu infizieren.

Mit freundlichen Grüßen
Damnek


Alt 16.08.2008, 19:23   #6
Damnek
 
Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Standard

Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


Hier ist das logfeile. ich hab es abgeschreiben möglicherweise hat es schreibfehler die infizierte datei hab ich aber ganz bestimmt rictig geschrieben:Malwarebytes Antimalware
datenbank Version: 1058
Windows 5.1.2600 Service Pack 3

19:46:21 16.08.2008
mbam-log-8-16-208 (19-56-20).txt

Scan Methode: Vollständiger Scan (C:\|E:\)
Dursuchte Objekte: 141138
Laufzeit: 57 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte registrierungschlüssel: 0
Infizierte registrierungswerte: 0
Infizierte dateiobjekte der registrierung. 0
Infizierte Verzeicnisse: 0
Infizierte dateien : 1

Infizierte Speicherprozesse
(Keine bösartigen objekte gefunden)

Infizierte Speichermodule
(Keine bösartigen objekte gefunden)

Infizierte registrierungschlüssel
(Keine bösartigen objekte gefunden)

Infizierte registrierungswerte
(Keine bösartigen objekte gefunden

Infizierte dateiobjekte der registrierung
(Keine bösartigen objekte gefunden

Infizierte Verzeicnisse
(Keine bösartigen objekte gefunden

Infizierte dateien
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> No action taken.

Antwort

Themen zu Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?
adresse, betriebssystem, cmd, computer, eingabeaufforderung, firefox, frage, gehackt, hacken, internet, liste, localhost, lokale, netstat, portscan, scan, scanner, schuld, system, taskmanager, trojaner, unter windows xp, verbindung, warum, windows, windows xp, windows xp.


« Trojaner aufspüren und ggf beseitigen | Nach Trojaner-Befall Probleme mit einigen Seiten »


Ähnliche Themen: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?


  1. Internet verbindet nicht richtig - Windows 10
    Alles rund um Windows - 22.08.2015 (3)
  2. PC verbindet sich mit einem Cromcast in der Nachbarschaft
    Netzwerk und Hardware - 04.08.2014 (1)
  3. Internet Explorer verbindet mich immer auf eine falsch Seite.
    Plagegeister aller Art und deren Bekämpfung - 19.10.2013 (5)
  4. SvcHost.exe verbindet sich beim Windowsstart mit dem Internet. Ist das normal?
    Alles rund um Windows - 13.09.2013 (1)
  5. Pc verbindet sich nicht ins Internet trotz Zugriff
    Netzwerk und Hardware - 07.01.2013 (8)
  6. Internet verbindet nicht mehr nach malwarebytes anti-malware Bereinigung
    Plagegeister aller Art und deren Bekämpfung - 12.04.2011 (30)
  7. PC verbindet sich bei jeder Verbindung mit dem Internet mit "static-ip-62-41.eurorings.net"
    Mülltonne - 28.01.2011 (1)
  8. Backdoorprogramm in Windows - Wurde gehackt
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (13)
  9. Firefox verbindet nach Upodate auf 3.5.3 nicht mehr mit dem Internet
    Log-Analyse und Auswertung - 14.09.2009 (4)
  10. PC verbindet sich von allein mit mehreren Servern
    Log-Analyse und Auswertung - 05.08.2009 (6)
  11. svhost.exe verbindet sich beim start mit IP
    Log-Analyse und Auswertung - 02.07.2009 (2)
  12. svchost.exe|Verbindet sich zu VIELEN IP´s
    Log-Analyse und Auswertung - 01.06.2009 (29)
  13. Firefox 3 verbindet nicht mehr, IE verbindet
    Log-Analyse und Auswertung - 27.04.2009 (1)
  14. Iexplore.exe verbindet sich (spyware?)
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (0)
  15. Leerlaufprozess ist mit dem Internetverbunden!! gehackt?
    Mülltonne - 16.08.2008 (1)
  16. Internet Explorer verbindet nicht mehr
    Log-Analyse und Auswertung - 15.04.2008 (1)
  17. DFÜ verbindet sich von allein!?!
    Plagegeister aller Art und deren Bekämpfung - 03.02.2004 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? - Hallo, gestern ist mir aufgefallen, dass der Leerlauprozess mit dem Internet verbunden zu sein scheint. Herausgefunden habe ich das, als ich in Ausführen cmd eintippte und dort dann netstat -o - Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?...
Archiv
Du betrachtest: Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131