Halli Hallo,
Ich habe mal eine Frage zu Wireshark.
Da ich in letzter Zeit immer wieder irgendwelche Fakeeinladungen via. Icq von irgendwelchen Russen bekomme, wollte ich mal die Pakete die von meinem Pc aus geschickt werden, näher anschauen.
So das seltsame ist nun, wenn ich kein Browser offen habe Mozilla Firefox zB. ,dann tauchen bei Wireshark immer seltsame IGMP Protokolle auf, desweiteren kam eben noch ein Browserprotokoll dazu, was mich sehr wundert.
Screen:
Die eigentliche Frage sollte nun sein ob mir jemand behilflich sein kann, zuklären was diese Protokolle bedeuten, war ja ziemlich unschön wenn ich jetzt schon einen Rootkit auf dem Pc hätte ;/. (Vor einer Woche neu gemacht)
Edit: Ich hänge mal den Hijackthislog mit drann :P
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:55, on 05.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Wireshark\wireshark.exe
C:\Programme\Wireshark\dumpcap.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com?o=14597&l=dis
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
--
End of file - 2643 bytes
|
Da ist mir aufgefallen das
Zitat:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
|
2 mal offen ist, warum weiss ich nicht und die Einträge:
Zitat:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
[NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
|
1. Sieht sehr komisch aus grade die Datei : SKYPE4~1.DLL, was ist das?
2. Ebenfalls sehr seltsam, da die ctfmon.exe schon läuft und nochmal als lokaler Dienst ausgeführt wird.
3. Da macht mich das
Zitat:
|
[NvCplDaemon] RUNDLL32.EXE
|
sehr stuzig, sieht irgendwie nicht nach einer Datei aus die zum System gehört ;/.
Ich bedanke mich schonmal im Vorraus für die Hilfe.
Mfg Dogz
05.04.2010, 09:45
Wireshark, seltsame IGMP & Browser Protokolle.
Baum-Darstellung