Virus? Empfange massig Pakete - Unnormal

SonixDBG · 03.05.2010, 09:44

Hallo liebe leute,

Komme seit einiger zeit selten ins internet,
Immer nur für den Bruchteil von sekunden.
Daher ist es mir sehr wichtig das mir hier geholfen wird.
Meinen anderen Thread hat z.b. keiner beachtet.
Ich Poste somit auch erst die Logfiles wenn sich einer meinem Problem annimmt.

Was ich über die Empfangenen pakete sagen kann ist folgendes:
Dauer: 18:34:23
Gesendet: 172.051.916
Empfangen: 6.298.691.049

-

P.S. Ich will jetzt nichts lesen vonwegen "Ja, ohne Logfiles können wir dir nicht weiterhelfen" da ich bereits nen Thread vor knapp ner woche erstellt habe - mit OTL+Hijack Logfiles und sehr gut verständlicher beschreibung meines problems - wo aber keiner etwas zu geschrieben hat - ausser ich selbst um den OTL Log nachzureichen und nochmal zu Pushen.
Aber er wurde einfach ignoriert.

Ich gebe bei interesse auch den link meines anderen threads mit an.

Hoffe diesmal läufts anders - weil ich weiß nich mehr was ich tun soll.
jedes formatieren bringt innerhalb von 24 stunden wieder die selben probleme mit sich.

Wäre wirklich super wenn sich diesmal jemand mit meinem Problem ausseinandersetzt.

bis dahin schonmal

Mit freundlichen Grüßen
Dominik

floeins · 03.05.2010, 10:21

Da scheint eindeutig was im hintergrund geladen zu werden.

gib mal bitte den link zum alten thread an, ich such in der zwischenzeit mal ein programm raus, was aufschlüsselt, welche verbindung von welchem programm wohin/woher wieviele daten sendet/empfängt. das ist dann zumindest ein ansatz. wenn mehrere gigabytes empfangen werden, ohne dass man sich das erklären kann ist das tendenziell erstmal SEHR ungut (botnetz?!)

floeins · 03.05.2010, 10:32

hxxp://www.chip.de/downloads/Free-IP-Tools_33076170.html

probiers mal hiermit - konnte leider keinen screenshot finden, müsste aber passen das programm

am besten von nem anderen PC laden und auf CD-r brennen (keine usb-sticks, speicherkarten etc. bitte!)

edit:

die funktion die ich suche ist da natürlich ausgegraut.
nimm stattdessen das da:
hxxp://www.chip.de/downloads/System-Explorer_32436381.html

da haben wir zwar nicht den traffic aber zumindest die verbindungen.

nach der installation links auf verbindungen, dann im menü auf datei-->speichere liste als datei. das ding dann hier reinkopieren.

SonixDBG · 03.05.2010, 14:04

Ah super das sich jemand mal meinem problem widmet

Ich lade mir das tool mal runter - gebe dann nachher mal bescheid was bei raus kam.
Hier der link zum alten thread:
http://www.trojaner-board.de/85399-v...unbekannt.html

EDIT:

Code:

ATTFilter

Name	PID	Typ	Von	Zu	Status	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19090	www.vrr.de:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19085	fx-in-f113.1e100.net:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19081	mu-in-f149.1e100.net:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19079	mu-in-f148.1e100.net:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19073	img.snv.mediaplex.com:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19067	mu-in-f143.1e100.net:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19024	rover.ebay.com:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	SonixDBG-PC:19023	rover.ebay.com:http	ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18532	localhost:18531	ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18531	localhost:18532	ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18529	localhost:18528	ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18528	localhost:18529	ESTABLISHED	
lsass.exe	544	TCP/IP	localhost:1030	localhost:0	LISTENING	
services.exe	532	TCP/IP	SonixDBG-PC:17299	rr.esams.wikimedia.org:http	CLOSE_WAIT	
services.exe	532	TCP/IP	localhost:1032	localhost:0	LISTENING	
svchost.exe	1216	UDP	localhost:llmnr	localhost:0	   	
svchost.exe	952	TCP/IP	localhost:1027	localhost:0	LISTENING	
svchost.exe	880	TCP/IP	localhost:1026	localhost:0	LISTENING	
svchost.exe	776	TCP/IP	localhost:epmap	localhost:0	LISTENING	
System	4	UDP	SonixDBG-PC:138	localhost:0	   	
System	4	UDP	SonixDBG-PC:netbios-ns	localhost:0	   	
System	4	TCP/IP	localhost:microsoft-ds	localhost:0	LISTENING	
System	4	TCP/IP	SonixDBG-PC:netbios-ssn	localhost:0	LISTENING	
wininit.exe	432	TCP/IP	localhost:1025	localhost:0	LISTENING

SonixDBG · 03.05.2010, 16:37

Code:

ATTFilter

Name	PID	Typ	Von	Zu	Status	
firefox.exe	2592	TCP/IP	192.168.1.7:59223	dd23820.kasserver.com:http	SYN_SENT	
firefox.exe	2592	TCP/IP	192.168.1.7:59222	dd23820.kasserver.com:http	SYN_SENT	
firefox.exe	2592	TCP/IP	192.168.1.7:59207	dd23820.kasserver.com:http	SYN_SENT	
firefox.exe	2592	TCP/IP	192.168.1.7:59206	dd23820.kasserver.com:http	SYN_SENT	
firefox.exe	2592	TCP/IP	192.168.1.7:59203	dd23820.kasserver.com:http	SYN_SENT	
firefox.exe	2592	TCP/IP	192.168.1.7:59202	dd23820.kasserver.com:http	SYN_SENT	
firefox.exe	2592	TCP/IP	192.168.1.7:59163	72.14.221.165:http		ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18532		localhost:18531			ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18531		localhost:18532			ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18529		localhost:18528			ESTABLISHED	
firefox.exe	2592	TCP/IP	localhost:18528		localhost:18529			ESTABLISHED	
javaw.exe	4012	TCP/IP	192.168.1.7:59115	85.131.179.83:http		ESTABLISHED	
javaw.exe	4012	TCP/IP	SonixDBG-PC:31115	netload.in:http			CLOSE_WAIT	
javaw.exe	4012	TCP/IP	SonixDBG-PC:31109	netload.in:http			CLOSE_WAIT	
javaw.exe	4012	TCP/IP	SonixDBG-PC:20026	netload.in:http			CLOSE_WAIT	
javaw.exe	4012	TCP/IP	localhost:9666		localhost:0			LISTENING	
javaw.exe	4012	TCP/IP	SonixDBG-PC:19941	localhost:0			LISTENING	
lsass.exe	544	TCP/IP	localhost:1030		localhost:0			LISTENING	
services.exe	532	TCP/IP	192.168.1.7:59225	82.115.157.70:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59221	207.111.237.8:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59220	209.85.218.64:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59219	213.165.64.102:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59218	213.165.64.102:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59216	*216.32.180.22:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59215	64.18.7.11:smtp			ESTABLISHED	
services.exe	532	TCP/IP	192.168.1.7:59213	mail.global.frontbridge.com:smtp	SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59212	203.89.189.1:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59211	203.89.189.1:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59209	*216.163.188.57:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59205	209.85.210.61:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59201	128.138.128.150:smtp		SYN_SENT	
services.exe	532	TCP/IP	192.168.1.7:59109	200.40.204.211:smtp		CLOSING	
services.exe	532	TCP/IP	192.168.1.7:58469	rr.esams.wikimedia.org:http	CLOSE_WAIT	
services.exe	532	TCP/IP	localhost:1032		localhost:0			LISTENING	
svchost.exe	1216	UDP	localhost:64198		localhost:0	   	
svchost.exe	1216	UDP	localhost:63620		localhost:0	   	
svchost.exe	1216	UDP	localhost:61811		localhost:0	   	
svchost.exe	1216	UDP	localhost:59099		localhost:0	   	
svchost.exe	1216	UDP	localhost:49304		localhost:0	   	
svchost.exe	1216	UDP	localhost:63229		localhost:0	   	
svchost.exe	1216	UDP	localhost:60867		localhost:0	   	
svchost.exe	1216	UDP	localhost:60585		localhost:0	   	
svchost.exe	1216	UDP	localhost:59737		localhost:0	   	
svchost.exe	1216	UDP	localhost:55736		localhost:0	   	
svchost.exe	1216	UDP	localhost:49892		localhost:0	   	
svchost.exe	1216	UDP	localhost:49593		localhost:0	   	
svchost.exe	1216	UDP	localhost:63911		localhost:0	   	
svchost.exe	1216	UDP	localhost:62202		localhost:0	   	
svchost.exe	1216	UDP	localhost:55382		localhost:0	   	
svchost.exe	1216	UDP	localhost:53292		localhost:0	   	
svchost.exe	1216	UDP	localhost:50353		localhost:0	   	
svchost.exe	1216	UDP	localhost:57516		localhost:0	   	
svchost.exe	1216	UDP	localhost:60464		localhost:0	   	
svchost.exe	1216	UDP	localhost:62414		localhost:0	   	
svchost.exe	1216	UDP	localhost:61600		localhost:0	   	
svchost.exe	1216	UDP	localhost:60269		localhost:0	   	
svchost.exe	1216	UDP	localhost:59643		localhost:0	   	
svchost.exe	1216	UDP	localhost:53224		localhost:0	   	
svchost.exe	1216	UDP	localhost:60348		localhost:0	   	
svchost.exe	1216	UDP	localhost:59826		localhost:0	   	
svchost.exe	1216	UDP	localhost:55581		localhost:0	   	
svchost.exe	1216	UDP	localhost:58651		localhost:0	   	
svchost.exe	1216	UDP	localhost:53642		localhost:0	   	
svchost.exe	1216	UDP	localhost:61278		localhost:0	   	
svchost.exe	1216	UDP	localhost:60271		localhost:0	   	
svchost.exe	1216	UDP	localhost:52900		localhost:0	   	
svchost.exe	1216	UDP	localhost:52371		localhost:0	   	
svchost.exe	1216	UDP	localhost:50639		localhost:0	   	
svchost.exe	1216	UDP	localhost:49505		localhost:0	   	
svchost.exe	3512	UDP	localhost:57657		localhost:0	   	
svchost.exe	3512	UDP	SonixDBG-PC:ssdp	localhost:0	   	
svchost.exe	3512	UDP	localhost:ssdp		localhost:0	   	
svchost.exe	1216	UDP	localhost:llmnr		localhost:0	   	
svchost.exe	952	TCP/IP	localhost:1027		localhost:0	LISTENING	
svchost.exe	880	TCP/IP	localhost:1026		localhost:0	LISTENING	
svchost.exe	776	TCP/IP	localhost:epmap		localhost:0	LISTENING	
System		4	UDP	SonixDBG-PC:138		localhost:0	   	
System		4	UDP	SonixDBG-PC:netbios-ns	localhost:0	   	
System		4	TCP/IP	localhost:microsoft-ds	localhost:0	LISTENING	
System		4	TCP/IP	SonixDBG-PC:netbios-ssn	localhost:0	LISTENING	
wininit.exe	432	TCP/IP	localhost:1025		localhost:0	LISTENING	
Xfire.exe	3672	UDP	localhost:54356		localhost:0	   	
Xfire.exe	3672	UDP	localhost:57082		localhost:0	   	
Xfire.exe	3672	TCP/IP	SonixDBG-PC:20088	cs.xfire.com:25999	ESTABLISHED	
Xfire.exe	3672	UDP	localhost:64431		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64430		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64429		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64428		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64427		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64426		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64425		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64424		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64423		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64422		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64421		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64420		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64419		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64418		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64417		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64416		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64415		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64414		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64413		localhost:0	   	
Xfire.exe	3672	UDP	localhost:64412		localhost:0	   	
Xfire.exe	3672	TCP/IP	localhost:39123		localhost:0	LISTENING

Dieser Log kam zustande wärend ich mal wieder keine verbindung zum internet bekam was seit meinem thread den ich gepostet hatte fast alle paar minuten vorkommt.

floeins · 04.05.2010, 08:20

C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

TuneUp=

bereits alle möglichen probleme wurden davon schon verursacht, auch netzwerkprobleme. auch wenns unwahrscheinlich ist dass der traffic daher kommt...

Die funde von antivir lassen nix gutes vermuten

services.exe 532 TCP/IP 192.168.1.7:59213 mail.global.frontbridge.com:smtp SYN_SENT

sieht stark danach aus dass dein PC gerade Spam versendet. die ganzen andern smtp-verbindungen lassen dies ebenfalls stark vermuten.

hast du irgend ne java-anwendung am laufen?

dafür dass der kollege nach ner formatierung wiederkommt gibt es mehrere möglichkeiten:

a) das ding hat sich im mbr eingenistet
b) irgendein stick hatte ne verkorkste autorun.inf
c) auf irgendner gesicherten datei war das drauf (download, möglicherweise aber auch ne infektion mit nem fileinfector)
d) du hast dir das ding wieder eingefangen

fangen wir mal mit variante b an. (ist am einfachsten zu überprüfen)

lade dir ubuntu runter (am besten 9.04) - am besten von nem anderen PC - und brenne das iso-abbild auf cd (NICHT die datei, sondern im brennprogramm "iso-abbild brennen" oder so wählen). von der cd booten wir dann und kontrollieren die dateien (später mehr dazu). wenn du damit ins netz kommst wär das tendenziell auch ganz gut. denn jedesmal wenn du mit deinem windoof ins netz gehst freuen sich einige leute über spam. wenn du pech hast sogar deine kontakte.

und übrigens: lass dir bloß keinen vom pferd erzählen, von wegen virus im ram oder festplatte neu kaufen. das ist tinnef. ein virus im ram heißt nix anderes als ein virus der ausgeführt wird. strom aus, virus weg. und im mainboard oder so kann der sich nicht festsetzen. auch wenn einige ach so kompetente händler einem das erzählen wollen. generell gilt: wo schädliche daten draufkommen kommen auch saubere hin. egal ob mbr, normales dateisystem oder sonstwas. du kannst dem rat eines händlers folgen, dir nen neuen pc inklusive tastatur, monitor, maus und am besten noch schreibtisch zulegen (vielleicht isses ja kein virus sondern ein [holz]wurm

) - wenn du nen infizierten stick anschließt hast du das ding wieder an der backe. eine virusinfektion erforderd in keinem fall das ersetzen bestimmter hardware. und vor allem: das bringt nicht mal was.

Virus? Empfange massig Pakete - Unnormal

Plagegeister aller Art und deren Bekämpfung: Virus? Empfange massig Pakete - Unnormal