Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unerwünschte TCP Verbindungen (https://www.trojaner-board.de/79237-unerwuenschte-tcp-verbindungen.html)

QDuck 08.11.2009 13:59
Unerwünschte TCP Verbindungen
 
Hallo,
ich hoffe mir kann jemand helfen.
Ich habe ein D-link DIR-300.
Wenn ich mir die Aktiven Sitzungen angucke, sehe ich sowas:
IP-AdresseTCP-SitzungUDP-Sitzung
192.168.0.1011780 

Im Deteil sieht es dann so aus:

Protokoll Quell-IP-Adresse Quellport Ziel-IP-Adresse Zielport
TCP 192.168.0.101 49527 94.100.189.179 80
TCP 192.168.0.101 49394 94.100.189.179 80
TCP 192.168.0.101 49518 94.100.179.72 80
TCP 192.168.0.101 49494 94.100.189.179 80
TCP 192.168.0.101 49546 94.100.179.72 80
TCP 192.168.0.101 49450 94.100.178.50 80
TCP 192.168.0.101 49383 85.13.143.91 80
TCP 192.168.0.101 49278 192.168.0.1 80
TCP 192.168.0.101 49537 94.100.189.179 80
TCP 192.168.0.101 49358 74.125.43.100 80
TCP 192.168.0.101 49499 81.95.156.181 80
TCP 192.168.0.101 49525 94.100.189.179 80
TCP 192.168.0.101 49560 85.13.143.91 80
TCP 192.168.0.101 49503 94.100.189.179 80
TCP 192.168.0.101 49461 94.100.182.66 80
TCP 192.168.0.101 49535 94.100.189.179 80
TCP 192.168.0.101 49479 77.238.172.11 80
TCP 192.168.0.101 49471 213.180.204.190 80
TCP 192.168.0.101 49466 94.100.188.48 80
TCP 192.168.0.101 49281 192.168.0.1 80
TCP 192.168.0.101 49542 77.238.172.11 80
TCP 192.168.0.101 49488 94.100.189.179 80
TCP 192.168.0.101 49522 94.100.189.179 80
TCP 192.168.0.101 49569 192.168.0.1 80
TCP 192.168.0.101 49550 87.238.81.154 80
TCP 192.168.0.101 49511 77.238.172.11 80
TCP 192.168.0.101 49509 77.238.174.11 80
TCP 192.168.0.101 49502 94.100.189.179 80
TCP 192.168.0.101 49467 88.212.196.102 80
TCP 192.168.0.101 49413 199.7.59.72 80
TCP 192.168.0.101 49538 94.100.189.179 80
TCP 192.168.0.101 49440 94.100.179.178 80
TCP 192.168.0.101 49563 217.69.128.53 80
TCP 192.168.0.101 49551 74.125.39.113 80
TCP 192.168.0.101 49552 74.125.39.113 80
TCP 192.168.0.101 49526 94.100.189.179 80
TCP 192.168.0.101 49483 94.100.179.20 80
TCP 192.168.0.101 49544 77.238.172.11 80
TCP 192.168.0.101 49456 94.100.188.48 80
TCP 192.168.0.101 49477 92.122.188.27 80
TCP 192.168.0.101 49561 217.69.128.53 80
TCP 192.168.0.101 49389 94.100.189.179 80
TCP 192.168.0.101 49455 94.100.188.48 80
TCP 192.168.0.101 49447 94.100.189.179 80
TCP 192.168.0.101 49408 94.100.179.178 80
TCP 192.168.0.101 49391 94.100.189.179 80
TCP 192.168.0.101 49565 192.168.0.1 80
TCP 192.168.0.101 49473 77.238.172.11 80
TCP 192.168.0.101 49386 94.100.189.179 80
TCP 192.168.0.101 49368 74.125.39.113 80
TCP 192.168.0.101 49531 81.95.156.181 80
TCP 192.168.0.101 49463 94.100.182.66 80
TCP 192.168.0.101 49403 94.100.189.179 80
TCP 192.168.0.101 49428 94.100.189.179 80
TCP 192.168.0.101 49507 77.238.172.11 80
TCP 192.168.0.101 49441 94.100.189.179 80
TCP 192.168.0.101 49519 94.100.182.15 80
TCP 192.168.0.101 49497 94.100.178.213 80
TCP 192.168.0.101 49485 94.100.179.72 80
TCP 192.168.0.101 49276 192.168.0.1 80
TCP 192.168.0.101 49460 94.100.182.66 80
TCP 192.168.0.101 49387 94.100.189.179 80
TCP 192.168.0.101 49495 94.100.189.179 80
TCP 192.168.0.101 49419 77.88.21.90 80
TCP 192.168.0.101 49426 94.100.182.15 80
TCP 192.168.0.101 49478 92.122.188.18 80
TCP 192.168.0.101 49412 94.100.179.178 80
TCP 192.168.0.101 49510 81.95.156.181 80
TCP 192.168.0.101 49444 94.100.179.178 80
TCP 192.168.0.101 49442 94.100.189.179 80
TCP 192.168.0.101 49400 81.19.66.32 80
TCP 192.168.0.101 49469 77.238.174.11 80
TCP 192.168.0.101 49517 94.100.179.72 80
TCP 192.168.0.101 49417 94.100.189.179 80
TCP 192.168.0.101 49410 94.100.179.178 80
TCP 192.168.0.101 49397 94.100.189.179 80
TCP 192.168.0.101 49279 192.168.0.1 80
TCP 192.168.0.101 49418 94.100.182.15 80
TCP 192.168.0.101 49458 93.158.134.190 80
TCP 192.168.0.101 49420 213.180.204.190 80
TCP 192.168.0.101 49489 94.100.189.179 80
TCP 192.168.0.101 49438 94.100.189.179 80
TCP 192.168.0.101 49553 74.125.39.113 80
TCP 192.168.0.101 49481 94.100.189.179 80
TCP 192.168.0.101 49566 192.168.0.1 80
TCP 192.168.0.101 49521 94.100.182.15 80
TCP 192.168.0.101 49424 217.69.128.53 80
TCP 192.168.0.101 49402 94.100.189.179 80
TCP 192.168.0.101 49384 217.69.128.41 80
TCP 192.168.0.101 49468 81.95.156.181 80
TCP 192.168.0.101 49462 94.100.182.66 80
TCP 192.168.0.101 49487 94.100.189.179 80
TCP 192.168.0.101 49547 94.100.179.72 80
TCP 192.168.0.101 49512 213.180.204.190 80

Ich hab schon alles durchprobiert.
Spybot S&D findet nichts.
Ich habe es auch schon mit Nortoon 360 probiert, der aber auch nichts findet.
Ich habe auch schon nachgegoogelt, aber nichts gefunden.
Hab gestern mein System neu aufgesetzt, aber irgendwie scheint das nicht geholfen zu haben.
Bitte helft mir.

Ich habe Windows 7 x64 auf meinem Notebook.
Hier mein HijackThis log file.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:44, on 08.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avscan.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files (x86)\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6738 bytes

cosinus 08.11.2009 16:34
Hallo und :hallo:

Wann hast Du die Verbindungen überprüft, hast Du da gerade gesurft? Wenn ja, sind solche Verbindungen mehr oder weniger normal.

=> http://whois.domaintools.com/199.7.59.72
=> http://whois.domaintools.com/94.100.189.179

Den letzteren kann ich aber so nicht nachvollziehen :balla:

Code:
IP Information for 94.100.189.179
IP Location:        Russian Federation Russian Federation Moscow Mailru-net
Resolve Host:        img.mail.ru
IP Address:        94.100.189.179 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
Blacklist Status:        Clear
Was für ein Windows7 ist das? Noch der RC? Aus welcher Quelle hast Du oder ist das eine Original-DVD?

QDuck 08.11.2009 16:53
Ich habe eine Original CD von Winows 7. Ich habe sie von der Schule bekommen.
Version 6.1 (Build 7600)
Winsows 7 Professional
hab grad Kaspersky internet security laufen der findet auch nichts.
Auch wenn ich grad den browser anmache und sofort die verbindungen guck, sind da mindestens 9 aufgelistet.
Oder mache ich mir unnötig Sorgen?

cosinus 08.11.2009 17:01
Du machst Dir - denke ich - unnötig Sorgen. Die Verbindungen zum russischen Server könnten von der russischen Software Kaspersky stammen.

QDuck 08.11.2009 17:22
Danke für die hilfe!:applaus:
Werde das Thema jetzt schließen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131