|
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 Hallo! ich hoffe ihr könnt mir ein Tip geben, ich suche nämlich schon zeit ein Paar Tagen herauszufinden weshalb die iexplore.exe sobald ich im Internet bin sofort auf die IP 81.214.154.233 Port 1193 eine Verbindung aufbaut, und die Verbindung bleibt die ganze Zeit stehen :( Wenn ich diese Verbindung im Taskmanager beende baut XP keine Verbindung mehr zu dieser IP bis ich den Rechner neu boote.. Bin mit mein Latein am Ende.. die IExplore.exe habe ich auch shcon online scannen lassen die Datei ist sauber.. Ich weiss echt nicht mehr weiter :-( Kaspersky findet kein Virus/trojaner (auch im abgesicherte Modus) F-Prot findet auch nichts Stinger ebenso. E-Scan findet auch nichts.. Adawaare ebenso Spyboot searchandestroy ebenso.. usw.. :-( hier ein paar Daten: Netstat sagt sobald ich ins Netz gehe: TCP 217.227.150.26:1034 81.214.154.223:1193 HERGESTELLT 944 Die IP 81.214.154.223:1193 bleibt immer gleich egal an was für ein Tag es ist. Mein System ist eigentlich recht sauber keine komische Software installiert oder so.. Logfile of HijackThis v1.98.2 Scan saved at 19:12:48, on 4.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe C:\Programme\Tiny Firewall Pro\UmxAgent.exe C:\Programme\Tiny Firewall Pro\UmxTray.exe C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\temp\download\1\Tcpview.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\temp\download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file) O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe O4 - Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download all by Net Transport - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Download by Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096035334453 O17 - HKLM\System\CCS\Services\Tcpip\..\{35366728-0596-4153-868C-27D608C88628}: NameServer = 217.237.149.225 217.237.151.97 danke für jedem Tip der mich weiter kommen lässt... Speedy |
@_Speedy_ kuckst du hier C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe http://www.sophos.de/virusinfo/analy...trillianb.html lade dir escan http://www.mwti.net/antivirus/free_utilities.asp lese bitte der anleitung genaustens durch http://www.trojaner-board.de/42731-escan-anleitung.html scan dauert 1 stunde Escan anweisungen löschen "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten. poste danach ein neues HJTlogfile chaosman |
Hallo Chaosman! danke, habe alles gemacht, die Dateien UmxCfg.exe und UmxPol.exe sind sauber.. habe sie auch Online scannen lassen Ich habe alles mit Escan gescannt, mein system ist komischerweisse sauber.. Das ganze wird immer rätselhafter.. :nixda: Ich habe ein Sniffer laufen lassen, es werden keine Daten zwischen mein Rechner und diese IP adresse übertragen, aber eine verbíndung steht.. echt komisch.. |
@_Speedy_ arbeitest du seit kürzem mit einen router? chaosman |
Schau mal, vielleicht hilft dir das weiter: http://www.iks-jena.de/cgi-bin/whois Zitat:
|
Zitat:
Warscheinlich eine Türkische Döner/dialer/mafia :lach: Ein Router habe ich nicht, mein Rechner ist direkt mit dem DSL Moden verbundet.. hier noch ein Auszug von mein Sniffer.. ich habe den Snifer ge4startet und dann sofort eine verbindung ins Inet hergestellt: soweit ich das beurteilen kann, werden echt keine Daten zwischen mein Rechner und dieser IP übertragen.. No. Time Source Destination Protocol Info 38 7.452731 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440 Frame 38 (70 bytes on wire, 70 bytes captured) Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36 PPP-over-Ethernet Session Point-to-Point Protocol Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210) Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0 0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d.. 0010 1d 09 00 32 00 21 45 00 00 30 00 94 40 00 80 06 ...2.!E..0..@... 0020 90 0f 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....). 0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@....... 0040 05 a0 01 01 04 02 ...... No. Time Source Destination Protocol Info 40 10.327591 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440 Frame 40 (70 bytes on wire, 70 bytes captured) Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36 PPP-over-Ethernet Session Point-to-Point Protocol Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210) Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0 0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d.. 0010 1d 09 00 32 00 21 45 00 00 30 00 96 40 00 80 06 ...2.!E..0..@... 0020 90 0d 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....). 0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@....... 0040 05 a0 01 01 04 02 ...... No. Time Source Destination Protocol Info 42 16.343436 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440 Frame 42 (70 bytes on wire, 70 bytes captured) Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36 PPP-over-Ethernet Session Point-to-Point Protocol Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210) Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0 0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d.. 0010 1d 09 00 32 00 21 45 00 00 30 00 98 40 00 80 06 ...2.!E..0..@... 0020 90 0b 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....). 0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@....... 0040 05 a0 01 01 04 02 ...... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board