Hallo,

ich habe heute eine Neuinstallation von Windows 7 Home Premium 32 bit durchgeführt. Ich hatte gestern einen Trojaner drauf Meredrop war das. Avira Antivir Premium 10 hatte das Teil in die Quarantäne geschickt. Ausserdem wollte ich mein System sowieso neu installieren. Ich habe ein Backup durchgeführt, wichtige Daten auf externe Datenträger gesichert. Nachdem Avira 10 den Trojaner aus dem Systemstart (msconfig.exe) entfernt hat, habe ich kein Komplettscan mehr durchgeführt. Ich wollte mit MTDVD wo Acronis Wipe, WipePro und dban 1.07 drauf ist mein System gründlich reinigen. Nicht weil illegales Zeug drauf war, habe nichts mit dem schmutzigen Geschäft von Pädophilen zu tun. Hab auch nicht das Bedürfnis dazu, ich verachte solche Leute. Naja, zu meinem System, es ist ein HP Pavilion dv7 2070eg, jedenfalls wenn ich mit latest dban 2.2.6b mein System löschen möchte oder mit den in MTDVD befindlichen Tools dies versuche habe ich mehrere Probleme auf der MTDVD befindliche Tool funktioniert zwar aber ich sehe während des Löschvorgangs nichts an der Harddrive Diode, das macht mich skeptisch ob das Ding überhaupt was nutzt. mit dban 1.0.7 auf der MTDVD bricht das Program an der Stelle ab wo die Meldung kommt BadSectors, ich habe bereits eine neue Festplatte drin, daran kann es wohl nicht liegen, und defekte Arbeitsspeicher Module habe ich auch nicht. DBAN 2.2.6b vermisst eine Konfigurationsdatei und funktioniert deshalb auch nicht obwohl der Vorteil der neueren dban Version gegenüber 1.0.7 ist das dass neuere Doppelkern Architektur unterstützt.

Jedenfalls beendet sich der Laptop von alleine weil Lüfter volle kanne läuft und das System zu heiss wird. Das ist schon mal ein genereller Nachteil eine Notebooks, das Notebook ist von 2009, frühere Notebooks mit 1,2 GHZ oder so bzw. mit 80GB HDs konnte man noch problemlos löschen, jetzt habe ich keinen Kumpel oder jemanden den ich kenn damit ich die Festplatte ausbaue S-ATA II und an sein Desktop PC anschliessen kann und mit dban die Platte zu löschen. Die DBAN Geschichte habe ich so im Kopf weil Trojaner manchmal selbst Neuinstallationen von Windows überleben (hab ich gehört) und noch aus dem Grund weil ich von Prinzip her, eher der Sicherheitsbewusste Anwender bin (möchte selbst kleinste Datenschnippsel mit heidi.ie Eraser mit DoD 5220 Algorhytmus löschen). Obwohl wie man weiter unten lesen kann diesmal der Fehler vor dem Bildschirm saß. :-(

zum Trojaner, den hab ich mir aus nachlässigkeit eingefangen, wollte über emule einen seltenen Soundtrack der so nicht zu finden ist im Internet herunterladen, das funktionierte auch wenn auch nur langsam, jedoch vermute ich das ich beim Connecten zu den verschiedenen emule Server (wie sie auch immer heissen) mir den Trojaner eingefangen habe, der download funktionierte auch ohne die aktualisierte server.met von diversen Seiten, also blanke emule installation ohne neue server.met, ich hatte auch mein Avira Antivir 10 Premium deaktiviert gehabt, wegen ein paar Keygens wo ich weiss das die aus Vertrauenswürdiger Stelle sind deaktiviert.

Jedenfalls habe ich jetzt alles neu aufgesetzt und habe in netstat -ano folgende zwei Einträge gesehen die ich nicht zuordnen kann, google findet auch nichts, Malwarebytes habe ich schon ausgeführt mit keinem Ergebis, später wenn der Akku voll aufgeladen ist werde ich mal einen Scan mit Avira machen, Windows Defender habe ich deaktiviert wegen (zwei Malware Scanner behindern sich sonst nur.)

Hier die netstat -ano Einträge

UDP [fe80::91d0:4d8d:c312:6d57%10]:1900 *:*
1792
UDP [fe80::91d0:4d8d:c312:6d57%10]:51313 *:*
1792

die PIDs 1792 gibt es aber wie kann ich rausfinden zu welchem Dienst die gehören?

sysinternals vll.

Sorry für den langen Text, aber ich wollte mein Anliegen so genau wie möglich beschreiben.

Danke

CU

P.S. Die Neuinstallation habe ich trotzdem obwohl wipe beendet würde wegen Lüfter und Temparatur auf einem nicht zu Ende gebrachten Wipe durchgeführt.

Hallo,

ich habe jetzt rausgefunden was die letzten zwei Einträge von netstat.exe -ano ist. Ich habe im taskmgr.exe bei Dienste die PID nachgesehen.

Das ist das Sicherheitscenter,
TCP/IP-NetBIOS-Hilfsdienst
Heimnetzgruppen-Anbieter
Windows-Ereignisprotokoll
DHCP-Client
Windows Audio

die andere PID ist
UPNP-Gerätehost
SSDP-Suche
Windows-Dienst für Schriftartencache
Funktionssuche-Ressourcenveröffentlichung

wobei jetzt die PIDs zwei andere sind wie im ersten Post.

einen Avira Scan habe ich durchgeführt und folgende drei Meldungen erhalten

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot11\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000009\00000000\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot11\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000009\00000000\data
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
         

und die Suche nach Rootkits und aktiver Malware hat diese Ergebnisse gebracht

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Search\Tracing\EventThrottleState\000003f5
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\CMF\Config\system-lp
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\AppCompatCache\rate
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
         

alle Laufwerke waren angeschlossen, sind die Avira Meldungen unbedenklich?

das sind die Avira Versionsinformationen

BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 04.03.2011 12:36:12
AVSCAN.DLL : 10.0.3.0 56168 Bytes 04.03.2011 12:36:31
LUKE.DLL : 10.0.3.2 104296 Bytes 04.03.2011 12:36:19
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:36:27
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:36:28
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 11:55:49
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 11:55:49
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 11:55:49
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 11:55:49
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 11:55:49
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 11:55:49
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 11:55:49
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 11:55:49
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 11:55:49
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 11:55:49
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 11:55:50
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 11:55:50
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 11:55:50
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 11:55:50
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 11:55:50
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 11:55:50
VBASE019.VDF : 7.11.6.238 2048 Bytes 22.04.2011 11:55:51
VBASE020.VDF : 7.11.6.239 2048 Bytes 22.04.2011 11:55:51
VBASE021.VDF : 7.11.6.240 2048 Bytes 22.04.2011 11:55:51
VBASE022.VDF : 7.11.6.241 2048 Bytes 22.04.2011 11:55:51
VBASE023.VDF : 7.11.6.242 2048 Bytes 22.04.2011 11:55:51
VBASE024.VDF : 7.11.6.243 2048 Bytes 22.04.2011 11:55:51
VBASE025.VDF : 7.11.6.244 2048 Bytes 22.04.2011 11:55:51
VBASE026.VDF : 7.11.6.245 2048 Bytes 22.04.2011 11:55:51
VBASE027.VDF : 7.11.6.246 2048 Bytes 22.04.2011 11:55:51
VBASE028.VDF : 7.11.6.247 2048 Bytes 22.04.2011 11:55:51
VBASE029.VDF : 7.11.6.248 2048 Bytes 22.04.2011 11:55:51
VBASE030.VDF : 7.11.6.249 2048 Bytes 22.04.2011 11:55:51
VBASE031.VDF : 7.11.6.253 18944 Bytes 24.04.2011 11:55:52
Engineversion : 8.2.4.214
AEVDF.DLL : 8.1.2.1 106868 Bytes 04.03.2011 12:36:09
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 24.04.2011 11:55:56
AESCN.DLL : 8.1.7.2 127349 Bytes 04.03.2011 12:36:08
AESBX.DLL : 8.1.3.2 254324 Bytes 04.03.2011 12:36:08
AERDL.DLL : 8.1.9.9 639347 Bytes 24.04.2011 11:55:55
AEPACK.DLL : 8.2.6.0 549237 Bytes 24.04.2011 11:55:55
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 24.04.2011 11:55:55
AEHEUR.DLL : 8.1.2.105 3453303 Bytes 24.04.2011 11:55:55
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.03.2011 12:36:01
AEGEN.DLL : 8.1.5.4 397684 Bytes 24.04.2011 11:55:53
AEEMU.DLL : 8.1.3.0 393589 Bytes 04.03.2011 12:36:01
AECORE.DLL : 8.1.20.2 196982 Bytes 24.04.2011 11:55:52
AEBB.DLL : 8.1.1.0 53618 Bytes 04.03.2011 12:36:00
AVWINLL.DLL : 10.0.0.0 19304 Bytes 04.03.2011 12:36:13
AVPREF.DLL : 10.0.0.0 44904 Bytes 04.03.2011 12:36:11
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 12:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 04.03.2011 12:36:12
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 04.03.2011 12:36:12
AVARKT.DLL : 10.0.22.6 231784 Bytes 04.03.2011 12:36:09
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 04.03.2011 12:36:10
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 12:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 04.03.2011 12:36:12
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 12:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 04.03.2011 12:36:33
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.03.2011 12:36:33

Malwarebytes ist auch aktuell.

Greetz

Zitat:

Hier die netstat -ano Einträge

UDP [fe80::91d0:4d8d:c312:6d57%10]:1900 *:*
1792
UDP [fe80::91d0:4d8d:c312:6d57%10]:51313 *:*
1792

IPv6 sagt dir rein garnichts?
Tipp => IPv6 ? Wikipedia

Zitat:

Zitat von Calahan

ich hatte auch mein Avira Antivir 10 Premium deaktiviert gehabt, wegen ein paar Keygens wo ich weiss das die aus Vertrauenswürdiger Stelle sind deaktiviert.

Das sind immer die besten Aussagen. Hast Du die Dinger selber geschrieben? Falls nicht, dann muss man natürlich das Antivirenprogramme abschalten, damit die Viren auch in Ruhe ihr Werk verrichten können

Ich würde Dir nahelegen, dein System platt zu machen und mit einer ordentlichen Neuinstallation anzufangen. Vorher noch die "vertrauenswürdigen" Keygens löschen.

"Vertrauenswürdige Keygens" sind die besten
So vertrauenswürdig, dass man zwar den Virenscanner abstellt aber hinterher doch mit netstat "prüft"