Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   nicht erklärbare ausgehende Verbindung (https://www.trojaner-board.de/15677-erklaerbare-ausgehende-verbindung.html)

Tom2000 21.03.2005 20:10
nicht erklärbare ausgehende Verbindung
 
Ich hatte mir auf einer Webseite irgendwie spyware eingefangen.
Diese konnte ich aber dank adware wieder entfernen, allerdings meldet meine Firewall plötzlich eine unerklärbare ausgehende Verbindung:

[21/3/2005 19:57:39]
Richtung: abgehend
Lokaler Punkt: 0.0.0.0, port 2064
Adapter: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
Remotepunkt: hosting-68.76.rev.fr.colt.net [213.41.76.68], port http [80]
Protokoll: TCP
Anwendungspfad: C:\WINDOWS\EXPLORER.EXE
Beschreibung: Windows Explorer
Dateiversion: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
Erstellt: 2002/9/4, 20:32:41
Geändert: 2004/8/3, 22:57:54
Zugriff: 2005/3/21, 18:27:10
RuleId = 603980775

Bei mir laufen keine Unbekannten Prozesse, welche die Ursache sein können.
Hat jemand ne Ahnung was das sein kann?

Danke & Gruß
Tom

Tom2000 21.03.2005 21:38
mit hijackthis fand ich diese Einträge, die vermutlich für das Theater verantwortlich sind:

O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\o4pq0e75eh.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\kydno1.dll

im Abgesicherten Modus läst sich die Datei nicht löschen und wenn ich sie unter der Wiederherstellungskonsole löschen will, tauchen sie unter anderem Namen wieder auf.

Ich werd irre:headbang:

Gigamail 21.03.2005 21:46
Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Haui45 21.03.2005 21:48
Überprüfe die Dateien (sofern vorhanden) mal online bei http://virusscan.jotti.org/de/

Falls du die Dateien nicht finden kannst, nimm bitte die folgenden Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Cidre 21.03.2005 21:54
Arbeite diesen Thread ab und danach sollte das Problem eigentlich gelöst sein.

Anschliessend die nützlichen Links unter 'Lesenswerte Lektüre...' lesen und ebenso die 12 Punkte beherzigen.

Tom2000 21.03.2005 22:12
hier der logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:10:55, on 21.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109960960820
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\lv0m09d1e.dll
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131