Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
svchost veranstaltet ungewollten netzverkehr

svchost veranstaltet ungewollten netzverkehr


Log-Analyse und Auswertung: svchost veranstaltet ungewollten netzverkehr

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.05.2010, 22:52   #1
miw
 
svchost veranstaltet ungewollten netzverkehr - Unglücklich

svchost veranstaltet ungewollten netzverkehr


Hallo liebes Trojaner-Board-Team,

seit knapp einer Woche beobachte ich unregelmäßigen Abständen folgenden Netzverkehr:

23:03:22,0071232 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
23:03:28,0426054 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
23:03:40,0242080 svchost.exe 1468 TCP Disconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0

ich habe das komplette subnetz, zu dem die Domain auflöst in meiner externen Firewall (Astaro) gesperrt, daher die Reconnect-Versuche.

Ab und zu kommen auch Versuche auf folgende IPs vor:
61.61.20.132
112.121.181.26
91.212.226.6

Auch die habe ich im Packetfilter gesperrt.

Antivir und Eset finden nichts.
Auch Spybot und Malwarebytes Anti-Malware zeigen keinen Übeltäter an.

Ich habe verzweifelt nach dem Urheber der Verbindungen gesucht und alle DLLs, die vom betreffenden svchost geladen sind mittels MD5 über den Dateiinhalt gegen die selben Dateien von einem garantiert sauberen System geprüft, und keine Unregelmäßigkeit festgestellt.

Ich bin jetzt ehrlich gesagt mit meinem Latein (und mit meinen Nerven) am Ende.

Hier mein HJT-Log:

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:23:31, on 24.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\WINXP\system32\spoolsv.exe
H:\Avira\AntiVir Desktop\sched.exe
H:\Avira\AntiVir Desktop\avguard.exe
H:\Avira\AntiVir Desktop\avshadow.exe
H:\NVIDIA\nTune\nTuneService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\RTHDCPL.EXE
H:\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
H:\Eraser\eraser.exe
H:\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\rundll32.exe
H:\D-Tools\DAEMON Tools Lite\daemon.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\dllhost.exe
H:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.100:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [avgnt] "H:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [NVIDIA nTune] "H:\NVIDIA\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] H:\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [TrueCrypt] "H:\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\D-Tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://H:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://H:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://H:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://H:\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINXP\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - H:\NVIDIA\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 5136 bytes
falls es hilft auch noch ein Startup-Log:

Code:
ATTFilter
StartupList report, 24.05.2010, 22:21:55
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.EXE
Detected: Windows XP SP3 (WinNT 5.01.2600)
Detected: Internet Explorer v8.00 (8.00.6001.18702)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\WINXP\system32\spoolsv.exe
H:\Avira\AntiVir Desktop\sched.exe
H:\Avira\AntiVir Desktop\avguard.exe
H:\Avira\AntiVir Desktop\avshadow.exe
H:\NVIDIA\nTune\nTuneService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\RTHDCPL.EXE
H:\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
H:\Eraser\eraser.exe
H:\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\rundll32.exe
H:\D-Tools\DAEMON Tools Lite\daemon.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\dllhost.exe
H:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINXP\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
SystemTray = SysTray.Exe
avgnt = "H:\Avira\AntiVir Desktop\avgnt.exe" /min
nwiz = C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
NvCplDaemon = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

NVIDIA nTune = "H:\NVIDIA\nTune\nTuneCmd.exe" clear
ctfmon.exe = C:\WINXP\system32\ctfmon.exe
Eraser = H:\Eraser\eraser.exe -hide
TrueCrypt = "H:\TrueCrypt\TrueCrypt.exe" /q preferences
DAEMON Tools Lite = "H:\D-Tools\DAEMON Tools Lite\daemon.exe" -autorun
SpybotSD TeaTimer = h:\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
 = 

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINXP\system32\ieudinit.exe

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINXP\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\WINXP\system32\ie4uinit.exe -UserIconConfig

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = "C:\WINXP\system32\rundll32.exe" "C:\WINXP\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINXP\system32\ie4uinit.exe -BaseSettings

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINXP\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINXP\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINXP\Explorer\Explorer.exe: not present
C:\WINXP\System\Explorer.exe: not present
C:\WINXP\System32\Explorer.exe: not present
C:\WINXP\Command\Explorer.exe: not present
C:\WINXP\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - H:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINXP\system32\Macromed\Flash\Flash10b.ocx
CODEBASE = hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Programme\Bonjour\mdnsNSP.dll
NameSpace #5: C:\WINXP\system32\wshbth.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Warndienst: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Avira AntiVir Planer: "H:\Avira\AntiVir Desktop\sched.exe" (autostart)
Avira AntiVir Guard: "H:\Avira\AntiVir Desktop\avguard.exe" (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
avgntflt: system32\DRIVERS\avgntflt.sys (autostart)
BrSplService: C:\WINXP\system32\brsvc01a.exe (autostart)
Computerbrowser: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DHCP-Client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
NetGroup Packet Filter Driver: system32\drivers\npf.sys (autostart)
nTune Service: H:\NVIDIA\nTune\nTuneService.exe /StartService (autostart)
NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\system32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: system32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINXP\system32\SHELL32.dll
CDBurn: C:\WINXP\system32\SHELL32.dll
WebCheck: C:\WINXP\system32\webcheck.dll
SysTray: C:\WINXP\system32\stobject.dll
WPDShServiceObj: C:\WINXP\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 9.795 bytes
Report generated in 0,063 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only
und die Liste der geladenen DLLs:

Code:
ATTFilter
Description:	Generic Host Process for Win32 Services
Company:	Microsoft Corporation
Name:	svchost.exe
Version:	5.1.2600.5512
Path:	C:\WINXP\System32\svchost.exe
Command Line:	C:\WINXP\System32\svchost.exe -k netsvcs
PID:	1416
Parent PID:	952
Session ID:	0
User:	NT-AUTORITÄT\SYSTEM
Auth ID:	00000000:000003e7
Architecture:	32-bit
Virtualized:	n/a
Integrity:	n/a
Started:	24.05.2010 00:27:10
Ended:	(Running)
Modules:
Normaliz.dll	0x760000	0x9000	C:\WINXP\system32\Normaliz.dll	Microsoft Corporation
xpsp2res.dll	0xb90000	0x2d9000	C:\WINXP\System32\xpsp2res.dll	Microsoft Corporation
svchost.exe	0x1000000	0x6000	C:\WINXP\System32\svchost.exe	Microsoft Corporation
mdnsNSP.dll	0x16080000	0x19000	C:\Programme\Bonjour\mdnsNSP.dll	Apple Computer, Inc.
WININET.dll	0x408b0000	0xe6000	C:\WINXP\system32\WININET.dll	Microsoft Corporation
iertutil.dll	0x40f50000	0x1e8000	C:\WINXP\system32\iertutil.dll	Microsoft Corporation
wmiprvsd.dll	0x42160000	0x72000	C:\WINXP\system32\wbem\wmiprvsd.dll	Microsoft Corporation
urlmon.dll	0x452e0000	0x133000	C:\WINXP\system32\urlmon.dll	Microsoft Corporation
eappprxy.dll	0x47700000	0xe000	c:\winxp\system32\eappprxy.dll	Microsoft Corporation
wscsvc.dll	0x4c170000	0x17000	c:\winxp\system32\wscsvc.dll	Microsoft Corporation
WINHTTP.dll	0x4d5c0000	0x59000	C:\WINXP\System32\WINHTTP.dll	Microsoft Corporation
RASQEC.DLL	0x4db70000	0x13000	C:\WINXP\System32\RASQEC.DLL	Microsoft Corporation
wmisvc.dll	0x4f110000	0x28000	c:\winxp\system32\wbem\wmisvc.dll	Microsoft Corporation
wuauserv.dll	0x50000000	0x5000	c:\winxp\system32\wuauserv.dll	Microsoft Corporation
wuaueng.dll	0x50040000	0x1d9000	C:\WINXP\system32\wuaueng.dll	Microsoft Corporation
wuapi.dll	0x506a0000	0x8e000	C:\WINXP\system32\wuapi.dll	Microsoft Corporation
unimdm.tsp	0x58030000	0x36000	C:\WINXP\System32\unimdm.tsp	Microsoft Corporation
ndptsp.tsp	0x58090000	0x10000	C:\WINXP\System32\ndptsp.tsp	Microsoft Corporation
kmddsp.tsp	0x580b0000	0xb000	C:\WINXP\System32\kmddsp.tsp	Microsoft Corporation
ipconf.tsp	0x580c0000	0x8000	C:\WINXP\System32\ipconf.tsp	Microsoft Corporation
hidphone.tsp	0x580d0000	0xa000	C:\WINXP\System32\hidphone.tsp	Microsoft Corporation
h323.tsp	0x580e0000	0x46000	C:\WINXP\System32\h323.tsp	Microsoft Corporation
6to4svc.dll	0x583c0000	0x1d000	c:\winxp\system32\6to4svc.dll	Microsoft Corporation
wship6.dll	0x590b0000	0x7000	C:\WINXP\System32\wship6.dll	Microsoft Corporation
NETAPI32.dll	0x597d0000	0x55000	C:\WINXP\System32\NETAPI32.dll	Microsoft Corporation
UxTheme.dll	0x5b0f0000	0x38000	C:\WINXP\System32\UxTheme.dll	Microsoft Corporation
ShimEng.dll	0x5cf00000	0x26000	C:\WINXP\System32\ShimEng.dll	Microsoft Corporation
comctl32.dll	0x5d450000	0x9a000	C:\WINXP\system32\comctl32.dll	Microsoft Corporation
ESENT.dll	0x5e200000	0x110000	c:\winxp\system32\ESENT.dll	Microsoft Corporation
dot3api.dll	0x5f8f0000	0xa000	c:\winxp\system32\dot3api.dll	Microsoft Corporation
ncprov.dll	0x5fb30000	0xe000	C:\WINXP\system32\wbem\ncprov.dll	Microsoft Corporation
NCObjAPI.DLL	0x5fb60000	0xc000	C:\WINXP\system32\NCObjAPI.DLL	Microsoft Corporation
mspatcha.dll	0x604a0000	0xb000	C:\WINXP\System32\mspatcha.dll	Microsoft Corporation
QUtil.dll	0x61900000	0x16000	c:\winxp\system32\QUtil.dll	Microsoft Corporation
hnetcfg.dll	0x66710000	0x59000	C:\WINXP\System32\hnetcfg.dll	Microsoft Corporation
ipnathlp.dll	0x668d0000	0x56000	c:\winxp\system32\ipnathlp.dll	Microsoft Corporation
rsaenh.dll	0x68000000	0x36000	C:\WINXP\System32\rsaenh.dll	Microsoft Corporation
hidserv.dll	0x68d80000	0x9000	c:\winxp\system32\hidserv.dll	Microsoft Corporation
HID.DLL	0x68d90000	0x9000	c:\winxp\system32\HID.DLL	Microsoft Corporation
eappcfg.dll	0x6db40000	0x22000	c:\winxp\system32\eappcfg.dll	Microsoft Corporation
AcGenral.DLL	0x6fd90000	0x1ca000	C:\WINXP\AppPatch\AcGenral.DLL	Microsoft Corporation
audiosrv.dll	0x70dc0000	0xd000	c:\winxp\system32\audiosrv.dll	Microsoft Corporation
dot3dlg.dll	0x71260000	0x6000	c:\winxp\system32\dot3dlg.dll	Microsoft Corporation
wshtcpip.dll	0x719f0000	0x8000	C:\WINXP\System32\wshtcpip.dll	Microsoft Corporation
WS2HELP.dll	0x71a00000	0x8000	C:\WINXP\System32\WS2HELP.dll	Microsoft Corporation
WS2_32.dll	0x71a10000	0x17000	C:\WINXP\System32\WS2_32.dll	Microsoft Corporation
wsock32.dll	0x71a30000	0xa000	C:\WINXP\System32\wsock32.dll	Microsoft Corporation
SAMLIB.dll	0x71b70000	0x13000	C:\WINXP\System32\SAMLIB.dll	Microsoft Corporation
kerberos.dll	0x71c70000	0x4c000	C:\WINXP\system32\kerberos.dll	Microsoft Corporation
uniplat.dll	0x71f90000	0x7000	C:\WINXP\System32\uniplat.dll	Microsoft Corporation
rasppp.dll	0x721d0000	0x37000	C:\WINXP\System32\rasppp.dll	Microsoft Corporation
sensapi.dll	0x72240000	0x5000	C:\WINXP\System32\sensapi.dll	Microsoft Corporation
sens.dll	0x72260000	0xd000	c:\winxp\system32\sens.dll	Microsoft Corporation
WinSCard.dll	0x72360000	0x1c000	C:\WINXP\System32\WinSCard.dll	Microsoft Corporation
ntlsapi.dll	0x72420000	0x6000	C:\WINXP\System32\ntlsapi.dll	Microsoft Corporation
OneX.DLL	0x72760000	0x28000	c:\winxp\system32\OneX.DLL	Microsoft Corporation
WINSPOOL.DRV	0x72f70000	0x26000	C:\WINXP\System32\WINSPOOL.DRV	Microsoft Corporation
WZCSAPI.DLL	0x72fa0000	0x10000	c:\winxp\system32\WZCSAPI.DLL	Microsoft Corporation
tapisrv.dll	0x73350000	0x40000	c:\winxp\system32\tapisrv.dll	Microsoft Corporation
seclogon.dll	0x73c90000	0x8000	c:\winxp\system32\seclogon.dll	Microsoft Corporation
wbemcons.dll	0x73ca0000	0x17000	C:\WINXP\system32\wbem\wbemcons.dll	Microsoft Corporation
WINIPSEC.DLL	0x742e0000	0xb000	C:\WINXP\System32\WINIPSEC.DLL	Microsoft Corporation
EapolQec.dll	0x745c0000	0xb000	c:\winxp\system32\EapolQec.dll	Microsoft Corporation
msxml3.dll	0x74900000	0x123000	C:\WINXP\system32\msxml3.dll	Microsoft Corporation
POWRPROF.dll	0x74a50000	0x8000	c:\winxp\system32\POWRPROF.dll	Microsoft Corporation
wbemsvc.dll	0x74e50000	0xe000	C:\WINXP\system32\wbem\wbemsvc.dll	Microsoft Corporation
SSDPAPI.dll	0x74e80000	0xc000	C:\WINXP\system32\SSDPAPI.dll	Microsoft Corporation
pchsvc.dll	0x74ec0000	0xc000	c:\winxp\pchealth\helpctr\binaries\pchsvc.dll	Microsoft Corporation
MSIDLE.DLL	0x74ed0000	0x5000	C:\WINXP\System32\MSIDLE.DLL	Microsoft Corporation
ersvc.dll	0x74f00000	0x9000	c:\winxp\system32\ersvc.dll	Microsoft Corporation
dmserver.dll	0x74f10000	0x9000	c:\winxp\system32\dmserver.dll	Microsoft Corp.
wmiutils.dll	0x74fa0000	0x1c000	C:\WINXP\system32\wbem\wmiutils.dll	Microsoft Corporation
trkwks.dll	0x74ff0000	0x19000	c:\winxp\system32\trkwks.dll	Microsoft Corporation
srvsvc.dll	0x75010000	0x1a000	c:\winxp\system32\srvsvc.dll	Microsoft Corporation
RESUTILS.DLL	0x75030000	0x12000	C:\WINXP\System32\RESUTILS.DLL	Microsoft Corporation
MTXCLU.DLL	0x75070000	0x13000	C:\WINXP\system32\MTXCLU.DLL	Microsoft Corporation
colbact.DLL	0x750b0000	0x14000	C:\WINXP\system32\colbact.DLL	Microsoft Corporation
Cabinet.dll	0x750d0000	0x13000	C:\WINXP\System32\Cabinet.dll	Microsoft Corporation
wshbth.dll	0x750f0000	0x1e000	C:\WINXP\system32\wshbth.dll	Microsoft Corporation
srsvc.dll	0x75120000	0x2e000	c:\winxp\system32\srsvc.dll	Microsoft Corporation
repdrvfs.dll	0x75180000	0x2f000	C:\WINXP\system32\wbem\repdrvfs.dll	Microsoft Corporation
wbemcomn.dll	0x75210000	0x37000	C:\WINXP\system32\wbem\wbemcomn.dll	Microsoft Corporation
esscli.dll	0x75290000	0x3f000	C:\WINXP\System32\Wbem\esscli.dll	Microsoft Corporation
certcli.dll	0x752d0000	0x33000	c:\winxp\system32\certcli.dll	Microsoft Corporation
wbemess.dll	0x75310000	0x46000	C:\WINXP\system32\wbem\wbemess.dll	Microsoft Corporation
VSSAPI.DLL	0x75360000	0x6d000	C:\WINXP\system32\VSSAPI.DLL	Microsoft Corporation
rastapi.dll	0x75490000	0x11000	C:\WINXP\System32\rastapi.dll	Microsoft Corporation
RASDLG.dll	0x754d0000	0xab000	C:\WINXP\System32\RASDLG.dll	Microsoft Corporation
netcfgx.dll	0x75580000	0x9d000	C:\WINXP\system32\netcfgx.dll	Microsoft Corporation
FastProx.dll	0x75620000	0x76000	C:\WINXP\System32\Wbem\FastProx.dll	Microsoft Corporation
MSVCP60.dll	0x76020000	0x65000	c:\winxp\system32\MSVCP60.dll	Microsoft Corporation
comsvcs.dll	0x76090000	0x13c000	C:\WINXP\system32\comsvcs.dll	Microsoft Corporation
wbemcore.dll	0x76260000	0x85000	C:\WINXP\System32\Wbem\wbemcore.dll	Microsoft Corporation
WINSTA.dll	0x76300000	0x10000	C:\WINXP\System32\WINSTA.dll	Microsoft Corporation
IMM32.DLL	0x76330000	0x1d000	C:\WINXP\system32\IMM32.DLL	Microsoft Corporation
netshell.dll	0x763a0000	0x1aa000	c:\winxp\system32\netshell.dll	Microsoft Corporation
USERENV.dll	0x76620000	0xb6000	C:\WINXP\system32\USERENV.dll	Microsoft Corporation
cryptdll.dll	0x76740000	0xc000	C:\WINXP\System32\cryptdll.dll	Microsoft Corporation
NTDSAPI.dll	0x76750000	0x13000	c:\winxp\system32\NTDSAPI.dll	Microsoft Corporation
w32time.dll	0x76770000	0x2d000	c:\winxp\system32\w32time.dll	Microsoft Corporation
SCHANNEL.dll	0x767a0000	0x28000	C:\WINXP\System32\SCHANNEL.dll	Microsoft Corporation
CRYPTUI.dll	0x76880000	0x85000	C:\WINXP\System32\CRYPTUI.dll	Microsoft Corporation
SXS.DLL	0x76970000	0xb1000	C:\WINXP\System32\SXS.DLL	Microsoft Corporation
atl.dll	0x76ad0000	0x11000	C:\WINXP\System32\atl.dll	Microsoft Corporation
WINMM.dll	0x76af0000	0x2e000	C:\WINXP\System32\WINMM.dll	Microsoft Corporation
schedsvc.dll	0x76b20000	0x34000	c:\winxp\system32\schedsvc.dll	Microsoft Corporation
sfc.dll	0x76b60000	0x5000	C:\WINXP\System32\sfc.dll	Microsoft Corporation
PSAPI.DLL	0x76bb0000	0xb000	C:\WINXP\System32\PSAPI.DLL	Microsoft Corporation
credui.dll	0x76bc0000	0x2f000	c:\winxp\system32\credui.dll	Microsoft Corporation
WINTRUST.dll	0x76bf0000	0x2e000	C:\WINXP\System32\WINTRUST.dll	Microsoft Corporation
sfc_os.dll	0x76c20000	0x2a000	C:\WINXP\System32\sfc_os.dll	Microsoft Corporation
imagehlp.dll	0x76c50000	0x28000	C:\WINXP\system32\imagehlp.dll	Microsoft Corporation
raschap.dll	0x76ca0000	0x16000	C:\WINXP\System32\raschap.dll	Microsoft Corporation
cryptsvc.dll	0x76cd0000	0x12000	c:\winxp\system32\cryptsvc.dll	Microsoft Corporation
WMI.dll	0x76cf0000	0x4000	c:\winxp\system32\WMI.dll	Microsoft Corporation
MPRAPI.dll	0x76d00000	0x18000	C:\WINXP\System32\MPRAPI.dll	Microsoft Corporation
iphlpapi.dll	0x76d20000	0x19000	c:\winxp\system32\iphlpapi.dll	Microsoft Corporation
CLUSAPI.DLL	0x76d60000	0x12000	C:\WINXP\System32\CLUSAPI.DLL	Microsoft Corporation
upnp.dll	0x76da0000	0x24000	C:\WINXP\system32\upnp.dll	Microsoft Corporation
adsldpc.dll	0x76dd0000	0x25000	C:\WINXP\System32\adsldpc.dll	Microsoft Corporation
wkssvc.dll	0x76e00000	0x23000	c:\winxp\system32\wkssvc.dll	Microsoft Corporation
rtutils.dll	0x76e40000	0xe000	c:\winxp\system32\rtutils.dll	Microsoft Corporation
rasman.dll	0x76e50000	0x12000	C:\WINXP\System32\rasman.dll	Microsoft Corporation
TAPI32.dll	0x76e70000	0x2f000	C:\WINXP\System32\TAPI32.dll	Microsoft Corporation
RASAPI32.dll	0x76ea0000	0x3c000	C:\WINXP\System32\RASAPI32.dll	Microsoft Corporation
DNSAPI.dll	0x76ee0000	0x27000	c:\winxp\system32\DNSAPI.dll	Microsoft Corporation
WTSAPI32.dll	0x76f10000	0x8000	c:\winxp\system32\WTSAPI32.dll	Microsoft Corporation
WLDAP32.dll	0x76f20000	0x2d000	C:\WINXP\system32\WLDAP32.dll	Microsoft Corporation
winrnr.dll	0x76f70000	0x8000	C:\WINXP\System32\winrnr.dll	Microsoft Corporation
rasadhlp.dll	0x76f80000	0x6000	C:\WINXP\System32\rasadhlp.dll	Microsoft Corporation
CLBCATQ.DLL	0x76f90000	0x7f000	C:\WINXP\System32\CLBCATQ.DLL	Microsoft Corporation
COMRes.dll	0x77010000	0xd3000	C:\WINXP\System32\COMRes.dll	Microsoft Corporation
OLEAUT32.dll	0x770f0000	0x8b000	C:\WINXP\system32\OLEAUT32.dll	Microsoft Corporation
browser.dll	0x772f0000	0x16000	c:\winxp\system32\browser.dll	Microsoft Corporation
comctl32.dll	0x773a0000	0x103000	C:\WINXP\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll	Microsoft Corporation
ole32.dll	0x774b0000	0x13d000	C:\WINXP\system32\ole32.dll	Microsoft Corporation
NTMARTA.DLL	0x77660000	0x21000	C:\WINXP\System32\NTMARTA.DLL	Microsoft Corporation
AUTHZ.dll	0x77690000	0x12000	c:\winxp\system32\AUTHZ.dll	Microsoft Corporation
shsvcs.dll	0x776b0000	0x23000	c:\winxp\system32\shsvcs.dll	Microsoft Corporation
es.dll	0x776e0000	0x44000	c:\winxp\system32\es.dll	Microsoft Corporation
SETUPAPI.DLL	0x778f0000	0xf4000	C:\WINXP\System32\SETUPAPI.DLL	Microsoft Corporation
CRYPT32.dll	0x77a50000	0x96000	c:\winxp\system32\CRYPT32.dll	Microsoft Corporation
MSASN1.dll	0x77af0000	0x12000	c:\winxp\system32\MSASN1.dll	Microsoft Corporation
Apphelp.dll	0x77b10000	0x22000	C:\WINXP\system32\Apphelp.dll	Microsoft Corporation
MSACM32.dll	0x77bb0000	0x15000	C:\WINXP\System32\MSACM32.dll	Microsoft Corporation
VERSION.dll	0x77bd0000	0x8000	C:\WINXP\system32\VERSION.dll	Microsoft Corporation
msvcrt.dll	0x77be0000	0x58000	C:\WINXP\system32\msvcrt.dll	Microsoft Corporation
msv1_0.dll	0x77c40000	0x25000	C:\WINXP\system32\msv1_0.dll	Microsoft Corporation
ACTIVEDS.dll	0x77c90000	0x32000	C:\WINXP\System32\ACTIVEDS.dll	Microsoft Corporation
netman.dll	0x77cd0000	0x33000	c:\winxp\system32\netman.dll	Microsoft Corporation
ADVAPI32.dll	0x77da0000	0xaa000	C:\WINXP\system32\ADVAPI32.dll	Microsoft Corporation
RPCRT4.dll	0x77e50000	0x92000	C:\WINXP\system32\RPCRT4.dll	Microsoft Corporation
GDI32.dll	0x77ef0000	0x49000	C:\WINXP\system32\GDI32.dll	Microsoft Corporation
SHLWAPI.dll	0x77f40000	0x76000	C:\WINXP\system32\SHLWAPI.dll	Microsoft Corporation
Secur32.dll	0x77fc0000	0x11000	C:\WINXP\system32\Secur32.dll	Microsoft Corporation
kernel32.dll	0x7c800000	0x108000	C:\WINXP\system32\kernel32.dll	Microsoft Corporation
ntdll.dll	0x7c910000	0xb9000	C:\WINXP\system32\ntdll.dll	Microsoft Corporation
msi.dll	0x7d1f0000	0x2bc000	c:\winxp\system32\msi.dll	Microsoft Corporation
dhcpcsvc.dll	0x7d4c0000	0x22000	c:\winxp\system32\dhcpcsvc.dll	Microsoft Corporation
rastls.dll	0x7d4f0000	0x27000	C:\WINXP\System32\rastls.dll	Microsoft Corporation
wzcsvc.dll	0x7db20000	0x8c000	c:\winxp\system32\wzcsvc.dll	Microsoft Corporation
rasmans.dll	0x7dee0000	0x32000	C:\WINXP\System32\rasmans.dll	Microsoft Corporation
USER32.dll	0x7e360000	0x91000	C:\WINXP\system32\USER32.dll	Microsoft Corporation
SHELL32.dll	0x7e670000	0x821000	C:\WINXP\system32\SHELL32.dll	Microsoft Corporation
Hat jemand ne Idee wer der Übeltäter sein könnte ?


Beste Grüße

Michael


PS: hab noch was interessantes vergessen.

bevor die Probleme angefangen sind gabs bei Anti-Malware zwei Funde:
Code:
ATTFilter
Infizierte Dateien:
C:\WINXP\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> No action taken.
hab die Dinger per hand gelöscht. Die Probleme fingen erst danach an. (ca. 2 Wochen vorher)

Und Antivir meldet hin und wieder mal:

Code:
ATTFilter
In der Datei 'H:\System Volume Information\_restore{E0E48CA0-AB7E-41D5-A3FD-47E6EAC6A94E}\RP255\A0101733.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.54272.BY' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'H:\System Volume Information\_restore{E0E48CA0-AB7E-41D5-A3FD-47E6EAC6A94E}\RP255\A0101734.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.539136.B' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
das war aber auch schon vor dem Problem so.
Geändert von miw (25.05.2010 um 23:28 Uhr)

Alt 26.05.2010, 16:42   #2
miw
 
svchost veranstaltet ungewollten netzverkehr - Standard

svchost veranstaltet ungewollten netzverkehr


Habe gerade festgestellt, daß ich auch kein automatisches Windows-Update mehr fahren kann, werde es manuell durchführen.
__________________
Alt 28.05.2010, 17:19   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost veranstaltet ungewollten netzverkehr - Standard

svchost veranstaltet ungewollten netzverkehr


Hallo und

Poste bitte das Malwarebytes Logfile, auch wenn keine Funde dabei waren.
Ich würde auch gern Logs von OTL.exe sowie GMER und OSAM sehen. Bitte alle posten, am besten alle Logs in ein ZIP Datei packen und hier anhängen oder zB bei file-upload.net hoachladen und hier verlinken.
__________________
__________________
Alt 29.05.2010, 10:09   #4
miw
 
svchost veranstaltet ungewollten netzverkehr - Standard

svchost veranstaltet ungewollten netzverkehr


Vielen Dank für die antwort.

Hier sind die gewünschten Logs.

Alt 30.05.2010, 15:31   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost veranstaltet ungewollten netzverkehr - Standard

svchost veranstaltet ungewollten netzverkehr


Mach mal bitte einen Vollscan mit Malwarebytes. Quickscans reichen idR aus, ich möchte aber lieber gründliche Scans sehen

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.05.2010, 20:46   #6
miw
 
svchost veranstaltet ungewollten netzverkehr - Standard

svchost veranstaltet ungewollten netzverkehr


Hallo Arne,

anbei ein Komplettscan der OS-Partition (C.

Ich habe einen Scan über alle Partitionen versucht (der bei den vorhandenen 700 GB wohl über 20 Stunden dauern würde), bin aber folgendermaßen gescheitert:

nach ca. 1,5 Stunden kam ein BlueScreen:

Zitat:
DRIVER_CORRUPTED_MMPOOL
*** STOP: 0x000000D0 (0x322E3108,0x00000002,0x00000000,0x80548FBC)
Habe ich vorher noch nie gehabt. Kann mir auch nicht erklären woher das kommt, habe weder an Hardware noch an Treibern Änderungen vorgenommen.

Könnte es sein daß sich der Virus in einem Treiber versteckt ?

Einen Eintrag im Systemlog gab es zu dem Absturz nicht. Scheinbar wurde auch kein automatischer Dump (o.Ä.) erzeugt.

(Anm.: habe ProtectNonPagedPool in der Registry auf 1 gesetzt, damit sollte es kein Treiber mehr schaffen den Pool zu korumpieren -> sagt zumindest das Microsoft-TechNet)

Nach dem Reboot hat sich Spybot gemeldet, daß folgende Registrierungschlüssel im Bereich "System Startup user entry" gelöscht und anschliessend wieder eingefügt werden sollen:

- NoFolderOptions = 0
- NoRun = 0
- DisallowRun = 0
- NoControlPanel = 0
- NoViewContextMenu = 0
- NoPropertiesMyComputer = 0

Ich habe sowohl das Löschen als auch das Neueinfügen unterbunden.
(Da ich keinen Schimmer habe wer der Verursacher ist, und ausserdem stehen die Werte schon so in der Registry)

Falls doch ein Scan anderer Partitionen notwendig ist, könnte ich die einzeln scannen und/oder Notfalls die Partition mit meinen Sicherungen (ca. 400 GB) weglassen ?


Während ich das hier gerade tippe habe ich nochmal die Logs meines Internetgateways überprüft und festgestellt, daß seit Gestern keine Verbindungsversuche zu irgendeiner panamamails.com-URL mehr stattfinden und auch sonst keine der beobachteten Zieladressen mehr angesteuert wurde.
Kann es sein, daß sich der Virus selbst deaktiviert hat, da er keine Verbindung zu seiner Dropzone mehr bekommt ?

Gruß

Michael

Alt 31.05.2010, 21:42   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost veranstaltet ungewollten netzverkehr - Standard

svchost veranstaltet ungewollten netzverkehr


Das sieht alles ziemlich unauffällig aus. Hast Du den Proxy auf 192.168.2.100 gelegt??
Dann probier jetzt mal Logs mit GMER und OSAM zu erstellen. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu svchost veranstaltet ungewollten netzverkehr
antivir guard, antivir meldet, avgntflt.sys, avira, bho, bonjour, browser, desktop, einstellungen, eraser, explorer, firefox, firewall, flacor.dat, free download, gesperrt, hijack, hijackthis, hkus\s-1-5-18, infizierte dateien, internet, internet explorer, mozilla, netzwerk, object, outlook express, panamamails.com, registry, registry value, rundll, saver, software, svchost, system, trojan.downloader, updates, verbindungen, windows, windows xp


« Einige Internetseiten lassen sich nicht öffnen (web.de,msn.de...) | Java-Virus JAVA/Agent.F.1 »


Ähnliche Themen: svchost veranstaltet ungewollten netzverkehr


  1. svchost.exe
    Log-Analyse und Auswertung - 06.05.2013 (12)
  2. Komische Netzverkehr nach einer Erpressung vom Hacker
    Log-Analyse und Auswertung - 02.04.2013 (1)
  3. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  4. Redirecting zu ungewollten websites beim Surfen (Inet geht nicht mehr nach Defogger-scan)
    Log-Analyse und Auswertung - 31.07.2011 (16)
  5. 10x svchost.exe
    Log-Analyse und Auswertung - 13.04.2011 (1)
  6. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  7. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  8. svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 09.03.2010 (1)
  9. Svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 08.02.2010 (7)
  10. Öffnen von ungewollten Internetseiten mit modziall auf windows xp
    Log-Analyse und Auswertung - 20.09.2008 (10)
  11. Ungewollten Popups nach angeblicher Windows Warnug
    Log-Analyse und Auswertung - 27.07.2008 (8)
  12. svchost.exe
    Mülltonne - 21.10.2007 (1)
  13. Svchost.exe
    Log-Analyse und Auswertung - 25.09.2007 (11)
  14. Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten
    Plagegeister aller Art und deren Bekämpfung - 23.07.2007 (15)
  15. Svchost again !
    Log-Analyse und Auswertung - 07.04.2007 (1)
  16. Selbständiges Öffnen von ungewollten I-Seiten
    Plagegeister aller Art und deren Bekämpfung - 31.08.2006 (7)
  17. XP macht ca alle 160 Minuten ungewollten Neustart
    Alles rund um Windows - 28.01.2006 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema svchost veranstaltet ungewollten netzverkehr - Hallo liebes Trojaner-Board-Team, seit knapp einer Woche beobachte ich unregelmäßigen Abständen folgenden Netzverkehr: 23:03:22,0071232 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0 23:03:28,0426054 svchost.exe 1468 TCP - svchost veranstaltet ungewollten netzverkehr...
Archiv
Du betrachtest: svchost veranstaltet ungewollten netzverkehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131