Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)
-   -   Unter Netstat eine Verbindung zu 62.128.100.41 gefunden (https://www.trojaner-board.de/122368-netstat-verbindung-62-128-100-41-gefunden.html)

jadixx 18.08.2012 14:21
Unter Netstat eine Verbindung zu 62.128.100.41 gefunden
 
Hallo Leute,

ich habe grade mal in Netstat und TCPview meine aktuellen Vebindungen nachgeschaut und mir ist eine Verbindung zu einer Ip aus der Urkaine aufgefallen..

Die IP Adresse steht oben und ich habe diese dann bei whois ip nachgeschaut..

Mir ist etwas mulmig zumute und ich würde gerne mal eine andere Meinung dazu hören, ob es eine normale Verbindung ist, oder ob dies ein Versuch ist, mich auszuspionieren..

Zusatzinformationen..
-Benutze Win7 Ultimate 64 Bit
-Mein Rechner ist als "Öffentliches Netzwerk" angemeldet.
-Pc habe ich neuaufgesetzt und bin mit eingeschränktem Benutzerkonto nun hier online..
-Das Standardbenutzerkonto/Eingeschränkte Benutzerkonto, habe ich unter Lokale Sicherheitsrichtlinien so eingeschränkt, dass keine Programme gelöscht oder installiert werden dürfen, die Systemsteuerung tabu ist und man eigentlich nur ins Internet gehen kann..

-Nach dem Neuaufsetzen des Rechners, habe ich die Festplatte auch partitioniert, sodass Windows seine eigene Partition hat und für Programme und Spiele usw. die Andere genutzt werden kann..
-Zusätzlich ist die Windowspartition per TrueCrypt verschlüsselt!

cosinus 21.08.2012 14:23
Hast du mal nachgesehen was tcpview zu dieser Eintrag noch ausspuckt? Da müsste auch zumindest stehten, welchem Prozess das zugeordnet ist
Taucht diese IP-Adresse schon direkt beim neugestarten Windows auf bzw. taucht sie immer auf?

Zitat:
-Mein Rechner ist als "Öffentliches Netzwerk" angemeldet.
Wieso das :wtf:
Bist du direkt im Internet ohne Router?

jadixx 22.08.2012 16:54
Also diese Adresse ist einem SystemProcess zugeordnet und kommt immer dann, wenn ich Windows hochgefahren habe und sogesehen online bin und gehe, wobei die Adresse nicht immer zum gleichen Zeitpunkt angezeigt wird.
Ich habe auch schon eine Adresse vom USAIC in Huachaka in Amerika in meiner Liste gehabt.. Die fing mit 55..... an! Also dem US Verteidigungsministerium beim Stützpunkt in Huachaka..:wtf: Beide habe ich jeweils angepingt, wobei der Ping beim USAIC beim 3ten Mal nicht mehr funktionierte..

Bezüglich des Öffentlichen Netzwerks..
Also ich bin in einem öffentlichen Netzwerk angemeldet, weil ich dachte, das es vielleicht noch sicherer ist als ein Heimnetzwerk, wobei ich mich gerne berichtigen lasse.. Nein ich bin mit einem Router im Internet drin, natürlich über ein eingeschränktes Benutzerkonto und verschlüsselter Windows Partition.

cosinus 30.08.2012 13:03
AFAIK unterscheidet Win7 bei den Profilen "Öffentliches Netzwerk" und "Privates Netzwerk" v.a. bei der Windows-Firewall, man hat völlig andere Regeln wenn man in seinem Privaten Netz ist aber das Profil auf öffentliches Netz gestellt hat.
Soviel selbst hab ich da mit Windows7 noch garnicht rumgespielt, ich hätte einfach privates Netzwerk gelassen da du an einem Router hängst. Am Router hast du in eigentlich allen Fällen eine private Adresse aus zB dem Bereich 192.168.178.x (FritzBox) - derartige private Segmente werden nicht ins Internet geroutet und selbst wenn du die Windows-Firewall deaktiviert hättest wäre das Dank des Routers auch nicht weiter schlimm

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

jadixx 31.08.2012 16:11
Hi Cosinus.. Danke nochmal für deine Antwort und Hilfe!

Also mit Malwarebytes habe ich folgendes Log und den darin enthaltenen Registry Eintrag nach Neustart gekillt..

Der Scan mit Eset folgt nun dann.. weiss aber nicht wie lange es dauert..

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Database version: v2012.08.29.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jadixx :: PACKIE [limited]

30.08.2012 15:35:43
mbam-log-2012-08-31 (17-04-27).txt

Scan type: Full scan (C:\|D:\|G:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 406562
Time elapsed: 55 minute(s), 14 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus 31.08.2012 19:41
Ist ESET immer noch nicht fertig?

jadixx 31.08.2012 21:07
ne leider ist ESET immernoch nicht fertig.. der läuft schon ca. 4:49 Stunden! Ist bei 99 Prozent aber der scannt noch grosse Archive.. Kann sich nur noch um Stunden handeln:daumenrunter:Das ist echt der Hammer, dass des so lange dauert, aber bisher hat der keine threats gefunden!

So ESET ist fertig! Hier nun die Log Datei..

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=00ebe3648ee69349ba8e4bbe859b0e17
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-31 10:16:31
# local_time=2012-09-01 12:16:31 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 793 98056099 0 0
# compatibility_mode=8192 67108863 100 0 127 127 0 0
# scanned=264446
# found=3
# cleaned=0
# scan_time=25141
D:\Spiele\Adventure (Point& Click)\Overclocked German -ovcl\gns-ovcl.iso        probably a variant of Win32/Spy.Agent.ENQHBUH trojan (unable to clean)        00000000000000000000000000000000        I
D:\Spiele\Anno 1404\Anno 1404 - Venedig -\de-a14v.iso        Win32/Packed.VMProtect.D trojan (unable to clean)        00000000000000000000000000000000        I
D:\Spiele\CSI Spiele\CSI.Fatal.Conspiracy\cfc.iso        a variant of Win32/Packed.VMProtect.AAD trojan (unable to clean)        00000000000000000000000000000000        I
Wie machen wir nun weiter und was ist dieser Pum.Hijack.Taskmanager Eintrag?
Bin ja mit einem eingeschränkten Benutzerkonto angemeldet und immer im Internet und habe dieses Konto ja soweit eingeschränkt und den Pc so gut es geht abgesichert und dennoch dann dieser Eintrag in der REG!:wtf:

Und wie machen wir nun weiter?

cosinus 01.09.2012 10:23
Code:
D:\Spiele\Anno 1404\Anno 1404 - Venedig -\de-a14v.iso        Win32/Packed.VMProtect.D trojan (unable to clean)       
D:\Spiele\CSI Spiele\CSI.Fatal.Conspiracy\cfc.iso
Du nutzt gecrackte Spiele und wunderst dich dann über merkwürdige Verbindungen?! :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

jadixx 01.09.2012 10:25
Hmm okay hast recht, war eine dumme Idee von mir, habe die Spiele gelöscht.
Ich danke dir trotzdem für die Hilfe und deine Zeit.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19