Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: iexplore.exe baut verbindung zu 81.214.154.233 Port 1193

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.12.2004, 19:28   #1
_Speedy_
 
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Standard

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193



Hallo!

ich hoffe ihr könnt mir ein Tip geben, ich suche nämlich schon zeit
ein Paar Tagen herauszufinden weshalb die iexplore.exe sobald ich im
Internet bin sofort auf die IP 81.214.154.233 Port 1193 eine
Verbindung aufbaut, und die Verbindung bleibt die ganze Zeit stehen

Wenn ich diese Verbindung im Taskmanager beende baut XP keine Verbindung mehr zu dieser IP bis ich den Rechner neu boote..
Bin mit mein Latein am Ende..

die IExplore.exe habe ich auch shcon online scannen lassen die Datei ist sauber..
Ich weiss echt nicht mehr weiter :-(

Kaspersky findet kein Virus/trojaner (auch im abgesicherte Modus)
F-Prot findet auch nichts
Stinger ebenso.
E-Scan findet auch nichts..
Adawaare ebenso
Spyboot searchandestroy ebenso..
usw.. :-(

hier ein paar Daten:

Netstat sagt sobald ich ins Netz gehe:
TCP 217.227.150.26:1034 81.214.154.223:1193 HERGESTELLT 944

Die IP 81.214.154.223:1193 bleibt immer gleich egal an was für ein Tag
es ist.

Mein System ist eigentlich recht sauber keine komische Software
installiert oder so..

Logfile of HijackThis v1.98.2
Scan saved at 19:12:48, on 4.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxAgent.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\temp\download\1\Tcpview.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\temp\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe
O4 - Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all by Net Transport - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096035334453
O17 - HKLM\System\CCS\Services\Tcpip\..\{35366728-0596-4153-868C-27D608C88628}: NameServer = 217.237.149.225 217.237.151.97

danke für jedem Tip der mich weiter kommen lässt...

Speedy

Alt 04.12.2004, 19:52   #2
chaosman
 
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Standard

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193



@_Speedy_

kuckst du hier
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
http://www.sophos.de/virusinfo/analy...trillianb.html


lade dir escan http://www.mwti.net/antivirus/free_utilities.asp

lese bitte der anleitung genaustens durch
http://www.trojaner-board.de/42731-escan-anleitung.html

scan dauert 1 stunde
Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.

poste danach ein neues HJTlogfile
chaosman
__________________

__________________

Alt 05.12.2004, 12:42   #3
_Speedy_
 
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Standard

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193



Hallo Chaosman!

danke, habe alles gemacht, die Dateien UmxCfg.exe und UmxPol.exe sind sauber.. habe sie auch Online scannen lassen
Ich habe alles mit Escan gescannt, mein system ist komischerweisse sauber..

Das ganze wird immer rätselhafter..

Ich habe ein Sniffer laufen lassen, es werden keine Daten zwischen mein Rechner und diese IP adresse übertragen, aber eine verbíndung steht..
echt komisch..
__________________

Alt 05.12.2004, 12:44   #4
chaosman
 
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Standard

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193



@_Speedy_
arbeitest du seit kürzem mit einen router?
chaosman
__________________
Bonus vir semper tiro

Alt 05.12.2004, 13:01   #5
Cidre
Administrator, a.D.
 
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Standard

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193



Schau mal, vielleicht hilft dir das weiter:
http://www.iks-jena.de/cgi-bin/whois

Zitat:
Suchbegriff: 81.214.154.233
Adresse: whois.ripe.net

Suchergebnis:

% This is the RIPE Whois tertiary server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

inetnum: 81.214.128.0 - 81.214.191.255
netname: TurkTelekom
descr: Turk Telekom
country: tr
admin-c: TTBA1-RIPE
tech-c: TTBA1-RIPE
status: ASSIGNED PA
mnt-by: as9121-mnt
notify: ipg@telekom.gov.tr
changed: ipg@telekom.gov.tr 20030930
source: RIPE

route: 81.214.0.0/16
descr: TurkTelecom
origin: AS9121
mnt-by: AS9121-MNT
changed: ipg@telekom.gov.tr 20021015
source: RIPE

role: TT Administrative Contact Role
address: Turk Telekom
address: Bilisim Aglari Dairesi
address: Aydinlikevler
address: 06103 ANKARA
phone: +90 312 313 1950
fax-no: +90 312 313 1949
e-mail: abuse@ttnet.net.tr
admin-c: BADB3-RIPE
tech-c: ZA66-RIPE
tech-c: ZA196-RIPE
tech-c: LA109-RIPE
tech-c: NO638-RIPE
nic-hdl: TTBA1-RIPE
notify: ipg@turktelekom.com.tr
mnt-by: AS9121-MNT
changed: ipg@telekom.gov.tr 20000608
changed: ipg@telekom.gov.tr 20001020
changed: ipg@telekom.gov.tr 20010615
changed: ipg@turktelekom.com.tr 20040903
source: RIPE



__________________
Gruß, Cidre


Alt 05.12.2004, 13:14   #6
_Speedy_
 
iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Standard

iexplore.exe baut verbindung zu 81.214.154.233 Port 1193



Zitat:
Zitat von Cidre
Schau mal, vielleicht hilft dir das weiter:
http://www.iks-jena.de/cgi-bin/whois
danke, da hatte ich schon nachgeschaut, das ist was mich noch stutziger macht.. ich war noch nie auf irgendein Türkische Server oder so :-) wenn es irgendeine Microsoft IP wärde oder so, würde ich denken, ich hätte einfach irgendein Dienst nicht nicht deaktiviert oder so.. aber so..
Warscheinlich eine Türkische Döner/dialer/mafia

Ein Router habe ich nicht, mein Rechner ist direkt mit dem DSL Moden verbundet..

hier noch ein Auszug von mein Sniffer..

ich habe den Snifer ge4startet und dann sofort eine verbindung ins Inet hergestellt: soweit ich das beurteilen kann, werden echt keine Daten zwischen mein Rechner und dieser IP übertragen..


No. Time Source Destination Protocol Info
38 7.452731 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440

Frame 38 (70 bytes on wire, 70 bytes captured)
Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210)
Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0

0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d..
0010 1d 09 00 32 00 21 45 00 00 30 00 94 40 00 80 06 ...2.!E..0..@...
0020 90 0f 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....).
0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@.......
0040 05 a0 01 01 04 02 ......
No. Time Source Destination Protocol Info
40 10.327591 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440

Frame 40 (70 bytes on wire, 70 bytes captured)
Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210)
Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0

0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d..
0010 1d 09 00 32 00 21 45 00 00 30 00 96 40 00 80 06 ...2.!E..0..@...
0020 90 0d 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....).
0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@.......
0040 05 a0 01 01 04 02 ......
No. Time Source Destination Protocol Info
42 16.343436 80.131.158.248 81.215.40.210 TCP 1052 > 1193 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1440

Frame 42 (70 bytes on wire, 70 bytes captured)
Ethernet II, Src: 00:0e:a6:70:20:11, Dst: 00:90:1a:01:05:36
PPP-over-Ethernet Session
Point-to-Point Protocol
Internet Protocol, Src Addr: 80.131.158.248 (80.131.158.248), Dst Addr: 81.215.40.210 (81.215.40.210)
Transmission Control Protocol, Src Port: 1052 (1052), Dst Port: 1193 (1193), Seq: 0, Ack: 0, Len: 0

0000 00 90 1a 01 05 36 00 0e a6 70 20 11 88 64 11 00 .....6...p ..d..
0010 1d 09 00 32 00 21 45 00 00 30 00 98 40 00 80 06 ...2.!E..0..@...
0020 90 0b 50 83 9e f8 51 d7 28 d2 04 1c 04 a9 29 ec ..P...Q.(.....).
0030 e2 a4 00 00 00 00 70 02 40 00 c3 b8 00 00 02 04 ......p.@.......
0040 05 a0 01 01 04 02 ......

Antwort

Themen zu iexplore.exe baut verbindung zu 81.214.154.233 Port 1193
adobe, bho, dateien, download, excel, explorer, firewall, hijack, hijackthis, iexplore.exe, internet explorer, microsoft, neu, pdf, port, programme, rundll, scan, suche, symantec, system, taskmanager, tcpip, temp, urlsearchhook, virus/trojaner, windows, windows xp



Ähnliche Themen: iexplore.exe baut verbindung zu 81.214.154.233 Port 1193


  1. Zbot.A.1193 eingefangen, lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 01.10.2014 (10)
  2. IE auf WinXP baut keine Seite auf.
    Plagegeister aller Art und deren Bekämpfung - 18.05.2014 (5)
  3. iexplore Verbindung mit Facebook?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (25)
  4. Internetverbindung baut sich sehr langsam auf
    Log-Analyse und Auswertung - 13.07.2012 (17)
  5. iexplore.exe versucht Internet-Verbindung herzustellen
    Log-Analyse und Auswertung - 17.08.2011 (6)
  6. System baut Verbindung auf
    Log-Analyse und Auswertung - 11.05.2011 (3)
  7. Sicherheitsexpertin baut Android-Botnetz
    Nachrichten - 25.01.2011 (0)
  8. Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
    Log-Analyse und Auswertung - 27.12.2009 (6)
  9. Microsoft baut Sandkasten für Office 2010
    Nachrichten - 24.07.2009 (0)
  10. iexplore.exe baut tunnel auf
    Plagegeister aller Art und deren Bekämpfung - 26.05.2009 (0)
  11. Internet Verbindung baut sich manchmal von selbst auf
    Log-Analyse und Auswertung - 05.08.2008 (1)
  12. Verbindung über Port 135
    Log-Analyse und Auswertung - 20.02.2007 (2)
  13. IE baut dauernd ne Seite auf !!
    Plagegeister aller Art und deren Bekämpfung - 09.10.2006 (3)
  14. PC baut keine Internetverbindung auf !HT-Log gepostet!
    Log-Analyse und Auswertung - 15.01.2006 (4)
  15. Wie baut man Trojaner???????
    Log-Analyse und Auswertung - 29.04.2005 (2)
  16. Verbindung mit Port 1025 unter Win XP Home
    Plagegeister aller Art und deren Bekämpfung - 25.04.2004 (5)
  17. Port-Scans, Port 4662
    Plagegeister aller Art und deren Bekämpfung - 27.05.2003 (3)

Zum Thema iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 - Hallo! ich hoffe ihr könnt mir ein Tip geben, ich suche nämlich schon zeit ein Paar Tagen herauszufinden weshalb die iexplore.exe sobald ich im Internet bin sofort auf die IP - iexplore.exe baut verbindung zu 81.214.154.233 Port 1193...
Archiv
Du betrachtest: iexplore.exe baut verbindung zu 81.214.154.233 Port 1193 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.