Moin.

Mein Pc versucht sich sofort nach dem Hochfahren mit mehreren Servern auf der ganzen Welt zu verbinden.
Die Antivir Rootkitsuche blieb ohne Funde bei empfindlichster Einstellung!

Aufgefallen ist mir das durch den Ip-Blocker Peer Guardian 2. Der blockt normalerweise alle IP's die staatlichen oder sonstigen unerwünschten Quellen zugeordnet sind, sobald man z.B. Filesharingprogramme öffnet, oder via Firefox auf solche Seiten surft.

Verbindungsversuche zu diesen Adressen:

http://www.pictureupload.de/pictures/040809145421_pg.JPG

wurden aber geblockt, obwohl ich weder Firefox noch ein p2p-Programm anhatte! Ich weiss natürlich nicht zu wievielen eine Verbindung erfolgreich aufgebaut wurde.

Ich muss hier auch noch erwähnen, dass ich den Rechner gerade neu gestartet hatte, nachdem ich das erste mal (soweit ich weiss) mir einer dos-Attacke angegriffen wurde:

http://www.pictureupload.de/pictures/040809150509_dos.JPG

Könnte ich mir auf dem Weg was eingefangen haben?


Ich bitte um Hilfe!


ps: anbei ein hijack-log

pps:falls mir jemand helfen will, aber noch mehr infos braucht: einfach fragen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:47, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINXP\system32\svchost.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\programmdownload\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.3.2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Filme mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 3876 bytes

Hi,

Skype deinstallieren und dann mal weitersehen.

Ich dachte, dass Programme wie Sygate auch überwachen, welche Prozesse Verbindungen aufmachen. Das wird doch immer als das schlagende Argument für dieses Software"firewalls" genannt.

Karl

du wunderst dich das du dir connections einfängst ?
wenn du O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm

solche download programme wie Bitcomet , verwendest...
also mal ganz ehrlich wer solche programme benutzt die erstens "freeware" sind und zweitens auf jeden "bittorrent server " zu greifen können , ist selbst schuld wenn sein pc sich irgend etwas einfängt.

die aussage "AddAllLink.htm" spricht für sich demnach würde ich dir empfehlen das prog vom pc zu entfernen , scan laufen lass , und CCleaner.
meiner meinnung nach wenn du dann noch
Firefox 3.5 und die addons : Wot,Noscript,adblock Plus runterlädst
dürfte alles wieder in Ordnung sein.


greetzzz

Also...

...danke erstmal für eure Ratschläge.

@Karl: Skype ist deinstalliert. Hat aber nichts gebracht! Sofort nach dem hochfahren werden immernoch unzählige Verbindungen aufgebaut.
Desktop-/ Softwarefirewalls sind imho eher dazu gedacht, das "normale" Nachhausetelefonieren von Programmen zu unterbinden, auch wenn sie manchmal mehr versprechen. Das funktioniert auch ganz gut. Alles andere wird eher durch meinen D-Link gefiltert (dachte ich zumindest bis zu gestriger dos-Attacke).

@Deiti:ich bin mir nicht sicher, was addalllink in diesem Zusammenhang bedeutet. Könnte es sich auf meine Einstellung "alle Torrent-Dateien mit Bitcomet runterladen" beziehen?
Und meinst Du nicht, daß es sehr hart geurteilt und außerdem auch wenig hilfreich ist, jedem Nutzer eines Freeware-Torrent-Programms zu sagen: "selber Schuld!" ???
CC-Cleaner läuft regelmäßig, mach ich gleich nochmal. Und welchen Scan meinst Du?

Und wie kann dann alles in Ordnung seien? Die Verbindungen werden schon aufgebaut, BEVOR ich auch nur irgendein Programm starte!!

Kann mir übrigens noch jemand was über mein log sagen? Speziell "09...xpnetdiag" sagt mir überhaupt nichts. und "04...ctfmon.exe" sollte eigentlich, durch den ctfmon-remover enfernt, anstatt 4x vorhanden sein.



ps: ist das eigentlich normal mit so'ner dos-Attacke? Mir ist das vorher noch nicht passiert. Dachte immer solche Angriffe zielen auf Internetseiten ab..
Wiki sagt, daß man dahinter aber auch einen "normalen" Angriff verstecken kann. Womit ich wieder bei meiner Ausgangsfrage wäre:

Was habe ich mir eingefangen?

Jetzt hatte sich gerade die Hintergrund-Einstellung vom Desktop selbstständig verändert!!!

Ich wäre wirklich dankbar, wenn mir jemand nen Tipp gibt,
wie ich meinen Rechner reinigen kann. CC-Cleaner hat nichts geändert.

MfG

ps: Malwarebytes' Anti-Malware hat nichts gefunden.

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2564
Windows 5.1.2600 Service Pack 3

05.08.2009 20:58:38
mbam-log-2009-08-05 (20-58-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 129836
Laufzeit: 50 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Skype arbeitet auch als P2P, daher erst mal der Versuch, das relativ naheliegend aussehende auszuschalten. Hab ich das jetzt richtig verstanden? Sygate fällt nichts auf und kann daher auch nichts sagen, welcher Prozess da am funken ist?

Ein weiterer Versuch ist dann TcpView. Dann schau in Peerguardian in die Spalte Source. Alle gehen in deinem Screenshot vom selben Port aus. TcpView sollte anzeigen wer den aufgemacht hat. Ginge auch mit netstat, das halte ich aber für komplizierter.

Weiterhin ist es besser, wenn Du dir von deinen Programmen die Logs nimmst und als Text hier reinstellst, Screenshots tippe ich nicht mehr ab. Deshalb habe ich auch keine der aufgeführten IPs irgendwo nachgeschlagen.

Dann solltest Du mal deinen Router resetten und neu einrichten. Kann es sein, dass der gerade nur als Modem arbeitet? Denn eigentlich sollten die Ereignisse aus den ersten beiden Zeilen des zweiten Screenshots nicht bis zu deinem PC vordringen können. Wobei man auch beachten muss, dass es eine Menge geltungsbedürftige Software gibt, die aus jedem Ping einen Angriff macht.

Der O9-Eintrag ist ein Teil von Windows. Der O4 ebenfalls (bzw. Office). Allerdings hast Du auch ein Nlitesystem, also ein heftig umgebautes Windows. Da muss dich jemand beraten, der ebenfalls sowas benutzt. Ich habe es nie gebraucht, wenn schon Windows, dann ist ein Standardsystem für mich ok.

Bisher sehe ich noch keine Notwendigkeit etwas zu reinigen.