Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Netzwerk Ein- und Ausgangsverkehr

Netzwerk Ein- und Ausgangsverkehr


Plagegeister aller Art und deren Bekämpfung: Netzwerk Ein- und Ausgangsverkehr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.05.2009, 22:21   #1
xeed
 
Netzwerk Ein- und Ausgangsverkehr - Standard

Netzwerk Ein- und Ausgangsverkehr


Moin,
ich hab mir nun leider auch endlich ma was ordentliches eingefangen.

Syptome sind hauptsächlich verdammt hohe Netzwerkauslastung und subtile Änderungen an Software Einstellungen (Anti Vir aus, andere Progs gestartet)

Ich hab mal Fport genutzt und mir den Datenverkehr anzusehen.

Code:
ATTFilter
Pid   Process            Port  Proto Path
2424                 ->  1026  TCP
1412                 ->  135   TCP
4     System         ->  139   TCP
0     System         ->  1844  TCP
4     System         ->  445   TCP
1740  firefox        ->  1354  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1355  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1356  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1357  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1793  TCP   C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin         ->  1693  TCP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1704  TCP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1853  TCP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1868  TCP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1881  TCP   C:\Programme\Pidgin\pidgin.exe

1412                 ->  445   UDP
2424                 ->  917   UDP
0     System         ->  137   UDP
0     System         ->  138   UDP
4     System         ->  1856  UDP
0     System         ->  1884  UDP
0     System         ->  1900  UDP
4     System         ->  500   UDP
1740  firefox        ->  1127  UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  123   UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1874  UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4040  UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4500  UDP   C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin         ->  123   UDP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1857  UDP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1873  UDP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1885  UDP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1900  UDP   C:\Programme\Pidgin\pidgin.exe


C:\>fport.exe /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path
2424                 ->  1026  TCP
1412                 ->  135   TCP
4     System         ->  139   TCP
0     System         ->  1844  TCP
4     System         ->  445   TCP
1740  firefox        ->  1354  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1355  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1356  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1357  TCP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1793  TCP   C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin         ->  1853  TCP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1868  TCP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1881  TCP   C:\Programme\Pidgin\pidgin.exe

1412                 ->  445   UDP
2424                 ->  917   UDP
0     System         ->  123   UDP
0     System         ->  137   UDP
0     System         ->  138   UDP
4     System         ->  1856  UDP
0     System         ->  1873  UDP
0     System         ->  1900  UDP
4     System         ->  500   UDP
1740  firefox        ->  1127  UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  123   UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1857  UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4040  UDP   C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4500  UDP   C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin         ->  1874  UDP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1884  UDP   C:\Programme\Pidgin\pidgin.exe
3984  pidgin         ->  1885  UDP   C:\Programme\Pidgin\pidgin.exe


C:\>
C:\>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    pcname:epmap    pcname:0         ABHÖREN
  TCP    pcname:microsoft-ds  pc-alexander:0         ABHÖREN
  TCP    pcname:1026      pcname:0         ABHÖREN
  TCP    pcname:1354      localhost:1355         HERGESTELLT
  TCP    pcname:1355      localhost:1354         HERGESTELLT
  TCP    pcname:1356      localhost:1357         HERGESTELLT
  TCP    pcname:1357      localhost:1356         HERGESTELLT
  TCP    pcname:netbios-ssn  pcname:0         ABHÖREN
  TCP    pcname:1853      205.188.7.210:5190     HERGESTELLT
  TCP    pcname:1868      buddychat-d01b.blue.aol.com:5190  HERGESTELLT
  TCP    pcname:1881      205.188.13.16:5190     HERGESTELLT
  TCP    pcname:1909      213.95.1.55:http       WARTEND
  UDP    pcname:microsoft-ds  *:*
  UDP    pcname:isakmp    *:*
  UDP    pcname:917       *:*
  UDP    pcname:4040      *:*
  UDP    pcname:4500      *:*
  UDP    pcname:ntp       *:*
  UDP    pcname:1127      *:*
  UDP    pcname:1856      *:*
  UDP    pcname:1857      *:*
  UDP    pcname:1873      *:*
  UDP    pcname:1874      *:*
  UDP    pcname:1884      *:*
  UDP    pcname:1885      *:*
  UDP    pcname:1900      *:*
  UDP    pcname:ntp       *:*
  UDP    pcname:netbios-ns  *:*
  UDP    pcname:netbios-dgm  *:*
  UDP    pcname:1900      *:*

C:\>
Hjoa... ich find vor allem:

Code:
ATTFilter
TCP    pcname:epmap    pcname:0         ABHÖREN
TCP    pcname:microsoft-ds  pc-alexander:0         ABHÖREN   
TCP    pcname:1909      213.95.1.55:http       WARTEND
ziemlich bedenklich...

Vielleicht kann ja schon wer damit was anfangen, ansonsten HiJack ich das jetz ma...

Dank an euch ^^

Alt 28.05.2009, 22:41   #2
xeed
 
Netzwerk Ein- und Ausgangsverkehr - Standard

Netzwerk Ein- und Ausgangsverkehr


So HiJackFile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:13, on 28.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\NSLU2 Flash Map Utility\StorageLink.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Erinnerung\erinnerung.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Pidgin\pidgin.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {59C71D45-A613-437C-AB95-E563F5A8B614} - C:\WINDOWS\system32\ssqQjJDs.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {8C57CB69-EC1F-4FF3-916F-52151AABC187} - C:\WINDOWS\system32\awtqrsPH.dll (file missing)
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM17d5754b] Rundll32.exe "C:\WINDOWS\system32\jbdibkhf.dll",s
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NSLU2 Flash Map Utility] D:\Programme\NSLU2 Flash Map Utility\StorageLink.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSetup] C:\DOKUME~1\***\LOKALE~1\Temp\QuickCam_11.0.0\setup.exe /skip_all_checks /p  /start /restart /l:deu
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Erinnerung.lnk = C:\Programme\Erinnerung\erinnerung.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: awtqrsPH - awtqrsPH.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Hoffe hab alles gut rausgestrichen...
__________________
Alt 29.05.2009, 00:52   #3
xeed
 
Netzwerk Ein- und Ausgangsverkehr - Standard

Netzwerk Ein- und Ausgangsverkehr


Kann mir keiner helfen?

Wenn ihr mehr Daten braucht, sagt bescheid... Da muss ja was zu machen sein...
__________________
Antwort

Themen zu Netzwerk Ein- und Ausgangsverkehr
adresse, andere, anti, anti vir, code, datenverkehr, einstellungen, firefox, genutzt, gestartet, hijack, hohe, localhost, lokale, microsoft-ds, mozilla, netbios-ns, netstat, netzwerk, netzwerkauslastung, process, programme, progs, remoteadresse, software, system, tcp/ip, verdammt, verkehr, Änderungen


« Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt | Problem mit avp.exe »


Ähnliche Themen: Netzwerk Ein- und Ausgangsverkehr


  1. Netzwerk sniffing?
    Überwachung, Datenschutz und Spam - 09.04.2014 (6)
  2. Webseitenangriff aus dem Tor Netzwerk.
    Diskussionsforum - 04.04.2014 (2)
  3. Mein Pc ruft ständig ein fremdes Netzwerk ("nicht identifiziertes Netzwerk")
    Log-Analyse und Auswertung - 17.10.2012 (16)
  4. Bot Netzwerk
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (0)
  5. Netzwerk-Probleme / ohne T.online software ein Netzwerk ?
    Netzwerk und Hardware - 18.06.2009 (1)
  6. Netzwerk überwachung
    Alles rund um Windows - 14.09.2008 (1)
  7. Und da war das Netzwerk tot...
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (1)
  8. Rechtevergabe im netzwerk WIN XP
    Alles rund um Windows - 02.05.2007 (5)
  9. Netzwerk vs. ntsvcfg
    Alles rund um Windows - 03.02.2007 (4)
  10. Netzwerk konfigurieren
    Netzwerk und Hardware - 28.06.2006 (7)
  11. Netzwerk zugreifen??
    Alles rund um Windows - 17.06.2006 (13)
  12. Übertragungsrate im Netzwerk
    Netzwerk und Hardware - 01.03.2005 (3)
  13. Problem mit IP im Netzwerk
    Netzwerk und Hardware - 09.02.2005 (4)
  14. netzwerk langsam
    Log-Analyse und Auswertung - 19.01.2005 (3)
  15. ZA im Netzwerk
    Antiviren-, Firewall- und andere Schutzprogramme - 21.09.2003 (0)
  16. ZA im Netzwerk?
    Antiviren-, Firewall- und andere Schutzprogramme - 03.02.2003 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Netzwerk Ein- und Ausgangsverkehr - Moin, ich hab mir nun leider auch endlich ma was ordentliches eingefangen. Syptome sind hauptsächlich verdammt hohe Netzwerkauslastung und subtile Änderungen an Software Einstellungen (Anti Vir aus, andere Progs gestartet) - Netzwerk Ein- und Ausgangsverkehr...
Archiv
Du betrachtest: Netzwerk Ein- und Ausgangsverkehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55