| |
| |||||||
Log-Analyse und Auswertung: rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log encWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
30.09.2006, 16:02
| #1 |
| |  rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Ich habe das Gefühl, ich habe ein Problem. mein Rechner (Win XP) versucht, sofort nach dem booten alle möglichen Verbindungen aufzubauen. es sind jedes mal andere adressen, aber es ist eine ganze menge. sperre ich die entsprechenden ports im router (zyxel 650), dann sucht er neue ports. jetzt habe ich den firewall fuer die ip-adresse komplett gesperrt, und es scheint nichts mehr nach draussen zu gehen. das o.g. leite ich aus netstat und dem log des routers ab. beide habe ich mal unten angefügt mein virenscanner (antivir classic) fand nur einen netrunner.25, der jetzt in quarantäne ist, aber das hat nichts geändert. (ich habe auch das gefühl, dass netrunner gar keine malware ist, aber lassen wir das). adaware hat nichts gemeldet. wie lange das problem besteht kann ich nicht sagen. als letzte sw habe ich gestern spybot search and destroy installiert, und auch gleich wieder gelöscht. ich habe jetzt HijackThis laufen lassen und unten steht das log. ich wäre für jeden hinweis dankbar, bin mit meinem latein am ende. thanx, bikerle ******************************hijackthis-log Logfile of HijackThis v1.99.1 Scan saved at 16:11:07, on 30.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Skype\Phone\Skype.exe C:\Programme\HPQ\SHARED\HPQWMI.exe I:\softarchive\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: ClearProg.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: *.gmx.de O15 - Trusted Zone: *.gmx.net O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} (Hewlett-Packard Online Support Services) - https://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ******************************************ende HijackThis log ***********************************************beginn firewall log 1 01/02/2000 14:46:32Firewall rule match: TCP (L to W, rule:2)192.168.1.33:393667.10.105.179:80ACCESS BLOCK2 01/02/2000 14:46:34Firewall rule match: TCP (L to W, rule:2)192.168.1.33:393784.202.48.34:443ACCESS BLOCK3 01/02/2000 14:46:35Firewall rule match: TCP (L to W, rule:2)192.168.1.33:393884.202.48.34:80ACCESS BLOCK4 01/02/2000 14:46:34Firewall rule match: TCP (L to W, rule:2)192.168.1.33:393981.226.29.61:30137ACCESS BLOCK5 01/02/2000 14:46:37Firewall rule match: TCP (L to W, rule:2)192.168.1.33:393981.226.29.61:30137ACCESS BLOCK6 01/02/2000 14:46:43Firewall rule match: TCP (L to W, rule:2)192.168.1.33:393981.226.29.61:30137ACCESS BLOCK7 01/02/2000 14:46:44Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3940217.208.83.36:47734ACCESS BLOCK8 01/02/2000 14:46:35Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3940217.208.83.36:47734ACCESS BLOCK9 01/02/2000 14:46:38Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3940217.208.83.36:47734ACCESS BLOCK10 01/02/2000 14:46:35Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394166.36.229.204:29334ACCESS BLOCK11 01/02/2000 14:46:44Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394166.36.229.204:29334ACCESS BLOCK12 01/02/2000 14:46:38Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394166.36.229.204:29334ACCESS BLOCK13 01/02/2000 14:46:38Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394281.232.162.54:29337ACCESS BLOCK14 01/02/2000 14:46:44Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394281.232.162.54:29337ACCESS BLOCK15 01/02/2000 14:46:35Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394281.232.162.54:29337ACCESS BLOCK16 01/02/2000 14:46:40Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394381.232.162.54:443ACCESS BLOCK17 01/02/2000 14:46:37Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394381.232.162.54:443ACCESS BLOCK18 01/02/2000 14:46:46Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394381.232.162.54:443ACCESS BLOCK19 01/02/2000 14:46:46Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3944212.149.204.78:1536ACCESS BLOCK20 01/02/2000 14:46:40Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3944212.149.204.78:1536ACCESS BLOCK21 01/02/2000 14:46:37Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3944212.149.204.78:1536ACCESS BLOCK22 01/02/2000 14:46:41Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394585.225.6.192:17247ACCESS BLOCK23 01/02/2000 14:46:39Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394585.225.6.192:17247ACCESS BLOCK24 01/02/2000 14:46:47Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394585.225.6.192:17247ACCESS BLOCK25 01/02/2000 14:46:39Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394672.19.126.99:2881ACCESS BLOCK26 01/02/2000 14:46:41Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394672.19.126.99:2881ACCESS BLOCK27 01/02/2000 14:46:47Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394672.19.126.99:2881ACCESS BLOCK28 01/02/2000 14:46:41Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394781.232.162.54:80ACCESS BLOCK29 01/02/2000 14:46:44Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394781.232.162.54:80ACCESS BLOCK30 01/02/2000 14:46:50Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394781.232.162.54:80ACCESS BLOCK31 01/02/2000 14:46:50Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394872.19.126.99:443ACCESS BLOCK32 01/02/2000 14:46:44Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394872.19.126.99:443ACCESS BLOCK33 01/02/2000 14:46:41Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394872.19.126.99:443ACCESS BLOCK34 01/02/2000 14:46:51Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394972.19.126.99:80ACCESS BLOCK35 01/02/2000 14:46:45Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394972.19.126.99:80ACCESS BLOCK36 01/02/2000 14:46:42Firewall rule match: TCP (L to W, rule:2)192.168.1.33:394972.19.126.99:80ACCESS BLOCK37 01/02/2000 14:46:52Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395066.131.162.72:40575ACCESS BLOCK38 01/02/2000 14:46:43Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395066.131.162.72:40575ACCESS BLOCK39 01/02/2000 14:46:46Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395066.131.162.72:40575ACCESS BLOCK40 01/02/2000 14:46:45Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395185.166.235.119:13549ACCESS BLOCK41 01/02/2000 14:46:53Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395185.166.235.119:13549ACCESS BLOCK42 01/02/2000 14:46:48Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395185.166.235.119:13549ACCESS BLOCK43 01/02/2000 14:46:55Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395285.166.235.119:443ACCESS BLOCK44 01/02/2000 14:46:49Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395285.166.235.119:443ACCESS BLOCK45 01/02/2000 14:46:46Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395285.166.235.119:443ACCESS BLOCK46 01/02/2000 14:46:48Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3953208.190.152.220:1412ACCESS BLOCK47 01/02/2000 14:46:57Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3953208.190.152.220:1412ACCESS BLOCK48 01/02/2000 14:46:51Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3953208.190.152.220:1412ACCESS BLOCK49 01/02/2000 14:46:55Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395485.166.235.119:80ACCESS BLOCK50 01/02/2000 14:46:58Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395485.166.235.119:80ACCESS BLOCK51 01/02/2000 14:47:04Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395485.166.235.119:80ACCESS BLOCK52 01/02/2000 14:47:05Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395568.188.101.65:10741ACCESS BLOCK53 01/02/2000 14:46:59Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395568.188.101.65:10741ACCESS BLOCK54 01/02/2000 14:46:56Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395568.188.101.65:10741ACCESS BLOCK55 01/02/2000 14:46:57Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3956142.161.164.55:56391ACCESS BLOCK56 01/02/2000 14:47:06Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3956142.161.164.55:56391ACCESS BLOCK57 01/02/2000 14:47:00Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3956142.161.164.55:56391ACCESS BLOCK58 01/02/2000 14:47:00Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3957165.230.171.96:7800ACCESS BLOCK59 01/02/2000 14:47:06Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3957165.230.171.96:7800ACCESS BLOCK60 01/02/2000 14:46:57Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3957165.230.171.96:7800ACCESS BLOCK61 01/02/2000 14:47:00Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395868.188.101.65:443ACCESS BLOCK62 01/02/2000 14:46:57Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395868.188.101.65:443ACCESS BLOCK63 01/02/2000 14:47:06Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395868.188.101.65:443ACCESS BLOCK64 01/02/2000 14:47:08Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395924.64.214.42:52377ACCESS BLOCK65 01/02/2000 14:46:59Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395924.64.214.42:52377ACCESS BLOCK66 01/02/2000 14:47:02Firewall rule match: TCP (L to W, rule:2)192.168.1.33:395924.64.214.42:52377ACCESS BLOCK67 01/02/2000 14:46:59Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396068.188.101.65:80ACCESS BLOCK68 01/02/2000 14:47:08Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396068.188.101.65:80ACCESS BLOCK69 01/02/2000 14:47:02Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396068.188.101.65:80ACCESS BLOCK70 01/02/2000 14:47:00Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396167.190.247.81:35433ACCESS BLOCK71 01/02/2000 14:47:03Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396167.190.247.81:35433ACCESS BLOCK72 01/02/2000 14:47:09Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396167.190.247.81:35433ACCESS BLOCK73 01/02/2000 14:47:09Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396224.64.214.42:443ACCESS BLOCK74 01/02/2000 14:47:01Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396224.64.214.42:443ACCESS BLOCK75 01/02/2000 14:47:03Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396224.64.214.42:443ACCESS BLOCK76 01/02/2000 14:47:02Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396367.190.247.81:443ACCESS BLOCK77 01/02/2000 14:47:04Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396367.190.247.81:443ACCESS BLOCK78 01/02/2000 14:47:10Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396367.190.247.81:443ACCESS BLOCK79 01/02/2000 14:47:11Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396424.229.198.143:61125ACCESS BLOCK80 01/02/2000 14:47:02Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396424.229.198.143:61125ACCESS BLOCK81 01/02/2000 14:47:05Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396424.229.198.143:61125ACCESS BLOCK82 01/02/2000 14:47:11Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396524.64.214.42:80ACCESS BLOCK83 01/02/2000 14:47:05Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396524.64.214.42:80ACCESS BLOCK84 01/02/2000 14:47:02Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396524.64.214.42:80ACCESS BLOCK85 01/02/2000 14:47:03Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396669.109.231.14:8065ACCESS BLOCK86 01/02/2000 14:47:12Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396669.109.231.14:8065ACCESS BLOCK87 01/02/2000 14:47:06Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396669.109.231.14:8065ACCESS BLOCK88 01/02/2000 14:47:12Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396767.190.247.81:80ACCESS BLOCK89 01/02/2000 14:47:06Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396767.190.247.81:80ACCESS BLOCK90 01/02/2000 14:47:03Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396767.190.247.81:80ACCESS BLOCK91 01/02/2000 14:47:04Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3968165.123.153.122:20317ACCESS BLOCK92 01/02/2000 14:47:13Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3968165.123.153.122:20317ACCESS BLOCK93 01/02/2000 14:47:07Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3968165.123.153.122:20317ACCESS BLOCK94 01/02/2000 14:47:09Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396968.224.251.222:27678ACCESS BLOCK95 01/02/2000 14:47:12Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396968.224.251.222:27678ACCESS BLOCK96 01/02/2000 14:47:18Firewall rule match: TCP (L to W, rule:2)192.168.1.33:396968.224.251.222:27678ACCESS BLOCK97 01/02/2000 14:47:16Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397069.248.85.243:12194ACCESS BLOCK98 01/02/2000 14:47:19Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397069.248.85.243:12194ACCESS BLOCK99 01/02/2000 14:47:25Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397069.248.85.243:12194ACCESS BLOCK10001/02/2000 14:47:27Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397166.176.107.168:31264ACCESS BLOCK10101/02/2000 14:47:18Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397166.176.107.168:31264ACCESS BLOCK10201/02/2000 14:47:21Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397166.176.107.168:31264ACCESS BLOCK10301/02/2000 14:47:18Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397268.107.203.107:52573ACCESS BLOCK10401/02/2000 14:47:27Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397268.107.203.107:52573ACCESS BLOCK10501/02/2000 14:47:21Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397268.107.203.107:52573ACCESS BLOCK10601/02/2000 14:47:23Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397366.42.152.190:6030ACCESS BLOCK10701/02/2000 14:47:20Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397366.42.152.190:6030ACCESS BLOCK10801/02/2000 14:47:29Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397366.42.152.190:6030ACCESS BLOCK10901/02/2000 14:47:23Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397465.94.94.23:47667ACCESS BLOCK11001/02/2000 14:47:26Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397465.94.94.23:47667ACCESS BLOCK11101/02/2000 14:47:32Firewall rule match: TCP (L to W, rule:2)192.168.1.33:397465.94.94.23:47667ACCESS BLOCK11201/02/2000 14:47:33Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3975209.240.117.118:49986ACCESS BLOCK11301/02/2000 14:47:27Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3975209.240.117.118:49986ACCESS BLOCK11401/02/2000 14:47:24Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3975209.240.117.118:49986ACCESS BLOCK11501/02/2000 14:47:26Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3976209.240.117.118:443ACCESS BLOCK11601/02/2000 14:47:35Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3976209.240.117.118:443ACCESS BLOCK11701/02/2000 14:47:29Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3976209.240.117.118:443ACCESS BLOCK11801/02/2000 14:47:30Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3977209.240.117.118:80ACCESS BLOCK11901/02/2000 14:47:27Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3977209.240.117.118:80ACCESS BLOCK12001/02/2000 14:47:36Firewall rule match: TCP (L to W, rule:2)192.168.1.33:3977209.240.117.118:80ACCESS BLOCK12101/02/2000 14:47:54Firewall rule match: UDP (L to W, rule:2)192.168.1.33:4737487.122.218.163:46879ACCESS BLOCK12201/02/2000 14:47:54Firewall rule match: UDP (L to W, rule:2)192.168.1.33:4737489.241.57.28:60783ACCESS BLOCK12301/02/2000 14:47:54Firewall rule match: UDP (L to W, rule:2)192.168.1.33:4737482.139.86.164:49749ACCESS BLOCK12401/02/2000 14:47:54Firewall rule match: UDP (L to W, rule:2)192.168.1.33:4737486.129.151.8:3740ACCESS BLOCK12501/02/2000 14:47:53Firewall rule match: UDP (L to W, rule:2)192.168.1.33:4737481.65.218.171:34234ACCESS BLOCK *************************end firewall log |
|
30.09.2006, 21:13
| #2 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc habe in der zwischenzeit blck light ausgeführt (wie in einem anderen thread empfohlen,), nix gefunden.
__________________bikerle |
|
30.09.2006, 21:24
| #3 |
| /// Helfer-Team    | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Das Einzige, was evtl. nicht sein muss:
__________________O15 - Trusted Zone: *.gmx.de O15 - Trusted Zone: *.gmx.net Aber wenn von Dir so gewollt, kann es o.k. sein. Ansonsten sehe nicht zuviele Horrorfilme  Die Firewall arbeitet so, wie Du sie eingestellt hast.
__________________ |
|
30.09.2006, 21:51
| #4 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc ja, aber was in aller welt oeffnet die ganzen verbindungen? muss ich mir sorgen machen, dass -bevor ich jetzt die firewall zugemacht habe- jemand meinen rechner ausgespaeht hat? bikerle |
|
30.09.2006, 21:59
| #5 |
| /// Helfer-Team | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Führe mal in der Dos-Box ipconfig /all aus. Poste mal das ergebnis.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
01.10.2006, 06:17
| #6 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Danke fuer den Hinweis. Habe das mal gemacht (s.u.) Habe auch nochmal netstat gemacht mit pipe (und mache das bildchen oben weg, wenn ich es hinkriege) Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : Saturn Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller Physikalische Adresse . . . . . . : 00-14-C2-E2-CD-68 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.1.33 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.1 DHCP-Server . . . . . . . . . . . : 192.168.1.1 DNS-Server. . . . . . . . . . . . : 192.168.1.1 Lease erhalten. . . . . . . . . . : Sonntag, 1. Oktober 2006 06:35:09 Lease läuft ab. . . . . . . . . . : Mittwoch, 4. Oktober 2006 06:35:09 Ethernetadapter Drahtlose Netzwerkverbindung: Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Beschreibung. . . . . . . . . . . : Broadcom 802.11b/g WLAN Physikalische Adresse . . . . . . : 00-14-A5-60-A7-C0 |
|
01.10.2006, 07:08
| #7 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Hatte ja schon oben erwähnt, dass ich black light versucht habe. hier das log (s.u.) Habe auch mal ewido anti-spyware installiert. habe ich auf einem anderen thread hier gelesen). log ist zu lang, daher habe ich nur die ersten zeilen unten angefügt. weggelassen wurden nur tracking cookies, aber etwas,das mich irritiert steht gleich am anfang. dazu muss ich aber sagen, dass die datei mit diesem "hacktool" nie auf diesem rechner ausgeführt wurde. e ist eine platte, auf der die anderen rechner im netz ihren jeweiligen inhalt spiegeln. beim googeln hatte ich den eindruck, das "hacktool" sei harmlos (h..p://forums.tomcoyote.org/index.php?showtopic=68852) ***************black light*********************** 0 9 / 3 0 / 0 6 2 2 : 0 0 : 5 6 [ I n f o ] : B l a c k L i g h t E n g i n e 1 . 0 . 4 7 i n i t i a l i z e d 0 9 / 3 0 / 0 6 2 2 : 0 0 : 5 6 [ I n f o ] : O S : 5 . 1 b u i l d 2 6 0 0 ( S e r v i c e P a c k 2 ) 0 9 / 3 0 / 0 6 2 2 : 0 0 : 5 7 [ N o t e ] : 7 0 1 9 4 0 9 / 3 0 / 0 6 2 2 : 0 0 : 5 7 [ N o t e ] : 7 0 0 5 0 0 9 / 3 0 / 0 6 2 2 : 0 1 : 0 9 [ N o t e ] : 7 0 0 6 0 0 9 / 3 0 / 0 6 2 2 : 0 1 : 0 9 [ N o t e ] : 7 0 1 1 9 6 4 0 9 / 3 0 / 0 6 2 2 : 0 1 : 0 9 [ N o t e ] : 7 0 2 6 0 0 9 / 3 0 / 0 6 2 2 : 0 1 : 0 9 [ N o t e ] : 7 0 2 6 0 0 9 / 3 0 / 0 6 2 2 : 0 1 : 3 8 [ N o t e ] : F S R A W l i b r a r y v e r s i o n 1 . 7 . 1 0 2 0 0 9 / 3 0 / 0 6 2 2 : 0 8 : 3 7 [ N o t e ] : 2 0 0 0 1 0 1 2 0 9 / 3 0 / 0 6 2 2 : 1 1 : 1 3 [ N o t e ] : 7 0 0 7 0 ***************end black light*********************** ***************ewido*********************** --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 06:37:00 01.10.2006 + Scan-Ergebnis: E:\softarchive\pda1\OFFICE\MATH\RDCALC PROGRAMMABLE GRAPHING CALCULATOR 2.61A CRACKED BY ZURIUS.RAR/RDcalc Programmable_Graphing Calculator_2.61a_cracked_by_ZuRiUs\patch_RDcalc_v_2[1].6A_ARM_.rar/patch_RDcalc_v_2.6A(ARM).exe -> Not-A-Virus.HackTool.Win32.Patcher.b : Keine Aktion durchgefhrt. E:\softarchive\pda2\SCIENCE\RECHNER\RDCALC PROGRAMMABLE GRAPHING CALCULATOR 2.61A CRACKED BY ZURIUS.RAR/RDcalc Programmable_Graphing Calculator_2.61a_cracked_by_ZuRiUs\patch_RDcalc_v_2[1].6A_ARM_.rar/patch_RDcalc_v_2.6A(ARM).exe -> Not-A-Virus.HackTool.Win32.Patcher.b : Keine Aktion durchgefhrt. :mozilla.265:C:\Dokumente und Einstellungen\(name)\Eigene Dateien\(name)_e-platte\computer backups\Pluto_L_alt\hda3\home\(name)\.mozilla\(name)\1sx0321b.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgefhrt. :mozilla.265:E:\computer_backups\Pluto_L_alt\hda3\home\(name)\.mozilla\(name)\1sx0321b.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgefhrt. :mozilla.266:C:\Dokumente und Einstellungen\(name)\Eigene Dateien\(name)_e-platte\computer backups\Pluto_L_alt\hda3\home\(name)\.mozilla\(name)\1sx0321b.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgefhrt. :mozilla.266:E:\computer_backups\Pluto_L_alt\hda3\home\(name)\.mozilla\(name)\1sx0321b.slt\cookies.txt :mozilla.93:E:\computer_backups\Pluto_L_alt\hda3\home\(name)\.mozilla\(name)\1sx0321b.slt\cookies.txt (hier wurden einige tracking cookies weggelassen) -> TrackingCookie.Yieldmanager : Keine Aktion durchgefhrt. ::Berichtende ***************end ewido*********************** |
|
01.10.2006, 11:10
| #8 |
| /// Helfer-Team | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Du kannst die Datei auch nochmal online prüfen lassen. Benutze dazu die Links in meiner Signatur. Ansonsten sehe ich auch in dem Log des Routers nichts aufregendes. Er blockt Zugriffe ab, was er auch tun soll.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
01.10.2006, 15:22
| #9 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Danke Felix, dass du am Ball bleibst. ja, der router tut was er soll. in der tat nicht beunruhigend. Das ist es was mich beunruhigt: ****************log netstat*************************** Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP Saturn:1030 localhost:18350 HERGESTELLT TCP Saturn:18350 localhost:1030 HERGESTELLT TCP Saturn:1354 ip240.pelto9.opintanner.fi:41185 SYN_GESENDET TCP Saturn:1355 ip68-100-100-236.dc.dc.cox.net:62659 SYN_GESENDET TCP Saturn:1356 c-24-21-70-135.hsd1.or.comcast.net:47261 SYN_GESENDET TCP Saturn:1357 c-13dae155.106-2-64736c11.cust.bredbandsbolaget.se:1578 SYN_GESENDET TCP Saturn:1358 wollie.csbnet.se:44610 SYN_GESENDET TCP Saturn:1359 132.247.216.81.static.nykop.siwnet.net:57377 SYN_GESENDET TCP Saturn:1360 c-1b7471d5.018-103-67766c1.cust.bredbandsbolaget.se:46115 SYN_GESENDET TCP Saturn:1361 ip68-230-131-235.ri.ri.cox.net:29079 SYN_GESENDET TCP Saturn:1362 ppp-71-139-45-27.dsl.snfc21.pacbell.net:1399 SYN_GESENDET TCP Saturn:1363 c-13dae155.106-2-64736c11.cust.bredbandsbolaget.se:https SYN_GESENDET TCP Saturn:1364 wollie.csbnet.se:https SYN_GESENDET TCP Saturn:1365 ip68-230-131-235.ri.ri.cox.net:https SYN_GESENDET TCP Saturn:1366 c-13dae155.106-2-64736c11.cust.bredbandsbolaget.se:http SYN_GESENDET TCP Saturn:1367 142.204.89.56:60526 SYN_GESENDET TCP Saturn:4812 192.168.1.29:netbios-ssn HERGESTELLT ******************* end log netstat **************************** wenn ich jetzt am router (ausgehend von einer offenen firewall) die oben sichtbaren ports 1350-1370 schliesse, sucht sich der rechner neue ports, um diese obskuren verbindungen aufzubauen. schliesse ich die neuen ports auch, dann sucht er sich wieder neue ports. das geht so lange, bis alles zu ist (selbst http und https), das heisst, bis ich mit dem rechner nicht mehr ans netz kann. konsequenz: der rechner ist nutzlos, solange ich nicht weiss, welches programm diese verbindungen oeffnen will und was die adressaten geschickt bekommen sollen. kenne mich mit win xp nicht so aus. ich bin verwirrt. hat jemand eine idee? ein glueck dass ich noch eine funktionierende linux-maschine habe. aber der rechner der mir die probleme macht muss weiterhin unter xp laufen, wegen job und so. bin fuer jeden hinweis dankbar. bikerle in der zwischenzeit mache ich gerade ein backup der festplatte (tar.gz). danach (also so in 1 woche) werde ich den rechner wohl neu aufsetzen, falls bis dahin keine eingebungen kommen. das backup behalte ich, für forensische zwecke, falls jemand noch rausfinden will, was das fuer ein stueck software ist, das so eklige probleme macht. |
|
01.10.2006, 15:24
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™  | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Die vielen Verbindungen kommen durchs Filesharing zustande Edit: Besorg dir mal tcpview und erstell damit ein Logfile, damit gehts etwas übersichtlicher als mit netstat.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.10.2006, 15:31
| #11 |
| /// Helfer-Team | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Lade und installiere mal Ethereal. Lasse das Programm mal mitschneiden, was auf der Netzwerkkarte so abläuft: http://www.zdnet.de/downloads/prg/k/6/deNZK6-wc.html Edit by Felix @Cosinus Moin, moin Hatte nicht bemerkt, dass Du Dich angeschlichen hattest 
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
01.10.2006, 16:14
| #12 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc @ felix @ cosinus Danke fuer die Hinweise habe beide programme runtergeladen. das sorgenkind läuft gerade unter knoppix, um die c-platte zu sichern. aber irgendwann heute abend werde ich das mal probieren und die ergebnisse hier posten. @ cosinus: filesharing programme laufen bei mir auf der maschine nicht. zumindest nicht dass ich wuesste..... bikerle |
|
01.10.2006, 16:20
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc Diese Einträge kommen mir aber so vor, dass sie vom Filesharing zustande kamen. Ich hoffe wir sehen durch tcpview mehr.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.10.2006, 19:07
| #14 |
| | rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc also, ich habe mal tcpview installiert, und eine menge gelernt. the winner is... ...............SKYPE damit können wir den thread schliessen. und ein bier trinken. bikerle  |
|
| Themen zu rechner öffnet beim booten verbindungen, alle ports, hijack this und firewall-log enc |
| adobe, antivir, avira, bho, booten, drivers, explorer, gesperrt, hijack, hijack this, hijackthis, internet, internet explorer, ip-adresse, komplett gesperrt, launch, malware, netstat, quara, scan, security, software, symantec, system, tcp, udp, windows, windows xp, öffnet |
Linear-Darstellung
