Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: svchost.exe|Verbindet sich zu VIELEN IP´s

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.05.2009, 12:52   #16
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Mir ist gerade ein Fehler aufgefallen EDIT: Funktion ging irgendwie auch nicht

http://bleikrone.de/log.txt
http://bleikrone.de/info.txt

Alt 28.05.2009, 15:54   #17
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Port 25, du versendest wie ein Weltmeister Spams. Trenne grundsätzlich die Verbindung zum Internet, falls du sie nicht zwingend brauchst, sonst wird es dir bald gehen wie dem hier => http://www.trojaner-board.de/66946-r...infiziert.html (Punkt 1)

1.) Deinstalliere
  • ApexDC++
  • AltBinz
Es tangiert mich nur peripher, dass du daran hängst. Wenn du mir beweisen kannst, dass du dich nicht mit Downloads über diese Programme infiziert hast, dann darfst du die behalten, ansonsten kommen die weg.

2.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O3, O9, O16 und O20-Einträge
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
         
=> Fix checked => Neustart

Warnung! Benutzung des Scriptes auf eigene Gefahr. Ich lösche alles, das ich nicht kenne. Falls nach dem Script keine Besserung eintritt => Neuinstallation

3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
a58cadbc
ah66ppwl
MHN

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bfbbpmpa]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Google Update"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

Folder::
C:\Programme\Spybot - Search & Destroy
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Config.Msi
C:\Programme\altbinz
C:\rsit
C:\Dokumente und Einstellungen\bown\Lokale Einstellungen\Anwendungsdaten\Google\Update
C:\Programme\ApexDC++

File::
C:\WINDOWS\system32\Log.txt
C:\WINDOWS\system32\bfbbpmpa.dll
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-507921405-682003330-1003.job

DirLook::
C:\Programme\aaa
C:\Programme\QuickPar
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________

__________________

Alt 28.05.2009, 18:40   #18
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Okkey hab ich so gemacht, den Log stell ich wieder als Link da.

http://bleikrone.de/log.txt
__________________

Alt 28.05.2009, 18:53   #19
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Da ist er. Du hattest da noch einen zweiten RAT (SubSeven), von dem dich allerdings Spybot bewahrt hat (oder auch nicht). Dem Rechner wirst du nie wieder vertrauen können.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\vphou]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-

File::
c:\windows\system32\vphou.exe
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 28.05.2009, 20:06   #20
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Hui, aber warum werd ich ihm nie wieder trauen können?
Aber er ist mein bester Freund *haha* warn witz ^^

http://bleikrone.de/log.txt


Alt 28.05.2009, 20:10   #21
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Entweder das falsche Log oder das falsche Script.

ciao, andreas

p.s.: Das richtige findest du mit:

Start => Ausführen => c:\combofix.txt => OK.
__________________
--> svchost.exe|Verbindet sich zu VIELEN IP´s

Geändert von john.doe (28.05.2009 um 20:42 Uhr)

Alt 28.05.2009, 21:58   #22
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Entschuldigung mein Fehler hier das Richtige

http://bleikrone.de/ComboFix.txt

Alt 28.05.2009, 22:10   #23
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



1.) Was meldet NetLimiter?

2.) Deaktiviere den Wächter von NOD32.

3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

4.) Aktiviere den Wächter von NOD32.

5.) Erstelle ein Filelisting.
  • Lade die Datei listing0.bat auf deinen Desktop
  • Doppelklicke auf listing0.bat
  • Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

6.) GMER - Rootkit Detection

  • Lade Trallala von file-upload.net
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Trallala.exe
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 29.05.2009, 16:55   #24
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



NetLimiter zeigt immer noch an das er verbinden will, aber hab den Port bzw. die Verbindung erstmal gekappt von dem Dienst svchost.exe

hier die txt. datein ich denk mal du wirst jetzt schon bei deiner Freundin sein

Ich wünsch dir ein erholsames verlängertes Wochenende ; )

http://bleikrone.de/gmer.txt

http://bleikrone.de/listing.txt

Alt 29.05.2009, 17:07   #25
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Warum hast du die listing.txt editiert?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 29.05.2009, 18:02   #26
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Wie meinst Editiert Oo ?
hab einfach das listinig.txt aufm Server gehauen hab damit nichts gemacht.

Alt 29.05.2009, 18:10   #27
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Windows benutzt als Zeilenendekennung 0d 0a, so ist es auch im gmerlog zu sehen, aber im listing.txt ist nur 0a. Das ist unter Unix/Linux üblich, wird allerdings auch von einigen Editoren benutzt, aber weder das ursprüngliche Listing noch das evtl. benutzte Listing von Notepad benutzen 0a sondern 0d 0a.

Ergo: Da hat jemand editiert und ich wüsste jetzt gerne warum.

Das ist mir übrigens aufgefallen, als ich die Links angeklickt habe. Beim Gmerlog hat Opera das als Textdatei angezeigt, bei listing.txt kam die Speicherndialogbox, weil Opera mit nur 0a nichts anfangen konnte.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 29.05.2009, 21:05   #28
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



Oo Bahnhof... ich werd sofort alles beide nochmal machen, und nochmal Posten,

Alt 30.05.2009, 06:45   #29
Bleikrone
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



So , habs nochmal gemacht, genauso wie ichs gestern gemacht hatte hoffentlich fehlt nichts.

http://bleikrone.de/gmer.txt

http://bleikrone.de/listing.txt

Alt 01.06.2009, 15:31   #30
john.doe
 
svchost.exe|Verbindet sich zu VIELEN IP´s - Standard

svchost.exe|Verbindet sich zu VIELEN IP´s



1.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

2.) Führe SUPERAntiSpyware nach dieser Anleitung aus und poste das Log: http://www.trojaner-board.de/51871-a...tispyware.html

3.) CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

4.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu svchost.exe|Verbindet sich zu VIELEN IP´s
abgesicherten modus, antivirus, bho, bonjour, counter-strike source, crypt, cyberghost, dateien, desktop, dr.web, eset nod32, explorer, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet explorer, malwarebytes, messenger, micro, microsoft, mozilla, mozilla thunderbird, opera, problem, programme, software, sp3, system, tuneup.defrag, updates, windows, windows xp




Ähnliche Themen: svchost.exe|Verbindet sich zu VIELEN IP´s


  1. WLAN verbindet sich nicht und Rechner erkennt keine externen Speichermedien
    Plagegeister aller Art und deren Bekämpfung - 04.11.2014 (9)
  2. PC verbindet sich mit einem Cromcast in der Nachbarschaft
    Netzwerk und Hardware - 04.08.2014 (1)
  3. pop.shpath.net - Firefox verbindet sich automatisch mit besagter Seite
    Plagegeister aller Art und deren Bekämpfung - 08.11.2013 (14)
  4. SvcHost.exe verbindet sich beim Windowsstart mit dem Internet. Ist das normal?
    Alles rund um Windows - 13.09.2013 (1)
  5. Pc verbindet sich nicht ins Internet trotz Zugriff
    Netzwerk und Hardware - 07.01.2013 (8)
  6. SVCHost verhält sich merkwürdig
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (11)
  7. PC verbindet sich bei jeder Verbindung mit dem Internet mit "static-ip-62-41.eurorings.net"
    Mülltonne - 28.01.2011 (1)
  8. PC verbindet sich von allein mit mehreren Servern
    Log-Analyse und Auswertung - 05.08.2009 (6)
  9. svhost.exe verbindet sich beim start mit IP
    Log-Analyse und Auswertung - 02.07.2009 (2)
  10. Google verbindet falsch
    Log-Analyse und Auswertung - 29.04.2009 (0)
  11. Firefox 3 verbindet nicht mehr, IE verbindet
    Log-Analyse und Auswertung - 27.04.2009 (1)
  12. Iexplore.exe verbindet sich (spyware?)
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (0)
  13. Leerlaufprozess verbindet sich mit dem Internet unter Windows XP!! wurde ich gehackt?
    Plagegeister aller Art und deren Bekämpfung - 18.08.2008 (17)
  14. Outlook verbindet mit mandelbrot.zaphods.net [194.97.108.50]
    Plagegeister aller Art und deren Bekämpfung - 24.08.2007 (1)
  15. SVCHost.exe / Internetverbindung hängt sich auf
    Plagegeister aller Art und deren Bekämpfung - 16.08.2006 (4)
  16. firefox verbindet automatisch
    Plagegeister aller Art und deren Bekämpfung - 28.01.2006 (7)
  17. DFÜ verbindet sich von allein!?!
    Plagegeister aller Art und deren Bekämpfung - 03.02.2004 (9)

Zum Thema svchost.exe|Verbindet sich zu VIELEN IP´s - Mir ist gerade ein Fehler aufgefallen EDIT: Funktion ging irgendwie auch nicht http://bleikrone.de/log.txt http://bleikrone.de/info.txt - svchost.exe|Verbindet sich zu VIELEN IP´s...
Archiv
Du betrachtest: svchost.exe|Verbindet sich zu VIELEN IP´s auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.