![]() |
2 Winlogon Prozesse - 100kb Uploadtraffic - fremde RemoteIP Guten Tag zusammen! Kurze Vorgeschichte: Ich habe letztens an meinem Windows Rechner bemerkt, wie von Geisterhand nach Paypal gegoogelt und auch auf die Seite gegangen wurde. Danach war erstmal nichts zu erkennen. Über die Netzwerk Trafficanzeige habe ich bemerkt, dass ca. 100kb Upload stattfinden/fanden. Da ich auf meiner Systempartition sowieso nichts wichtiges habe, wurde der PC neu aufgesetzt. Direkt nachdem Installieren von Windows habe ich sporadisch die Prozesse angeschaut und 2 Winlogon Prozesse gefunden (einer davon läuft unter App/Temp..) Ich kann diesen beenden, ohne dass ein Bluescreen kommt oder dass sich dieser neustartet. Einmal beendet ist Ruhe. Gerade habe ich wieder bemerkt, dass der Prozess mit 100kb Uploadtraffic am arbeiten ist. Die RemoteIP zum Prozess lautet: 62.141.39.160 -> hxxp://ip-lookup.net/index.php Mittels AntiVir habe ich erst gestern einen vollständigen Systemscan vollzogen. Kein Ergebnis. Malewarebytes hat ebenfalls nichts auszusetzen. |
:hallo: Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen. |
Servus, hört sich nicht unbedingt schlimm an... die IP deutet auf "fibre one networks gmbh" hin. Willst du deinen Rechner auf Malware überprüfen? Wenn ja, dann geht es so los: Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: ![]() (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hey, danke für die schnelle Antwort! Ich kann gar nicht sagen, ob es komisch oder nicht komisch ist. Das Verhalten mit Paypal vor dem Neuaufsetzen finde ich zumindest nicht normal :). Die aktuelle Sache mit dem outgoing Traffic finde ich beunruhigend aber vielleicht ist es auch nur ein Update oder ähnliches. Die IP geht ja in ein Rechenzentrum von der myloc managed IT AG, die laut meinen Informationen auch mit Microsoft zusammenarbeiten. Habe die IP-Adresse trotzdem mal in der hosts auf 127.0.... gesetzt. Hier kommen die Logfiles: FRST.txt FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 27-09-2013 01 --- --- --- Addition.txt Zitat:
|
Servus, du bist ja lustig... :rolleyes: Zitat:
|
Zitat:
Code: [QUOTE]==================== One Month Created Files and Folders ======== |
Code: C:\Windows\system32\UIRibbonRes.dll |
Servus, Scan mit Combofix
|
weitergehts :) Code: ComboFix 13-09-28.01 - Chris 28.09.2013 18:29:51.1.2 - x86 Combofix - Quarantäne Code: 2013-09-28 16:34:30 . 2013-09-28 16:34:30 4,608 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg |
Servus, ComboFix macht weitaus mehr als man in den Logdateien sehen kann. ;) Wir kontrollieren nochmal alles: Schritt 1 Downloade Dir bitte ![]()
Schritt 2 ESET Online Scanner
Schritt 3 Downloade Dir bitte ![]()
Bitte poste mit deiner nächsten Antwort
|
Hey, ich wollte nur kurz Bescheid geben, dass ich die letzten Tage beruflich unterwegs war. Werde wahrscheinlich erst morgen zu den restlichen Checks kommen. Erstmal vielen Dank - ich melde mich! |
Servus, dann bis heute. ;) |
Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen! |
Sorry! Hat doch alles länger gedauert als erwartet. Die restlichen Checks waren alle ohne Befund! Vielen Dank für die kompetente Hilfe :) und noch ein schönes Wochenende! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board