Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: svchost horcht an ports 554 und 49152-491??

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.10.2009, 15:42   #1
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Hallo,

Ich habe schon seit längerem Probleme mit
geöffneten Ports im bereich 491**, die meisten
werden von der SVCHost.exe geöffnet, und alle horchen
in richtung WAN. Irgendwie macht mir das einige Sorgen
und ich hoffe ihr könnt mir da weiterhelfen falls eine Infektion
vorliegen sollte, oder mich beruhigen falls nicht.

Auch die Ports 135, 445, 5357, 10243, 2869 (und weitere)
sind richtung Internet geöffnet. Im moment helfe ich mir
indem ich alle Ports außer 80 und 53 Sperre (Netlimiter),
um unerwünschte Verbindunsversuche zu unterbinden.

Auch ein Prozess (Ohne ausführbare Datei) namens System
öffnet hier munter Ports und lauscht.

Mittlerweile trau ich mich schon nichtmal mehr mich an meinem Mailaccount
anzumelden, geschweige denn Onlinebanking.
Hoffentlich kann mir jemand von euch Helfen, bin wirklich
kurz vorm ausrasten.

Hier meine HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:14, on 06.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\NetLimiter 3\NLClientApp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\_Java\jre6.0.0.0\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [NetLimiter] C:\Program Files\NetLimiter 3\NLClientApp.exe /tray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NetLimiter 3 Service (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 3\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 4620 bytes

Danke schonmal im Vorraus an eventuelle Retter

Geändert von benth (06.10.2009 um 16:05 Uhr)

Alt 06.10.2009, 20:29   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Hallo und

Zitat:
Auch die Ports 135, 445, 5357, 10243, 2869 (und weitere)
sind richtung Internet geöffnet.
Geöffnet (LISTENING) oder was anderes? Bei 135 und 445 ist das normal. Jedenfalls bis Windows XP, deswegen konnten sich auch bis zum SP2 auch Würmer so rasant verbreiten.
Für genauere Aussagen müsstest Du die Ausgabe (von netstat oder woher hast Du die Erkenntnis) posten.

Was ist das für ne Win7 Version, es ist offiziell nämlich noch garnicht draußen!
__________________

__________________

Alt 06.10.2009, 21:20   #3
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Danke für die Antwort

Ist eine Ultimate beta (MSDN), die ich über unsere Firma
zum Testen bekommen habe. Ich hab mir das jetzt halt auch Privat
auf den PC gemacht. In den letzten 3 Wochen hab ich schon 3 mal neu Installiert,
und hab blöderweise nicht vor der Verbindung zum Router die Ports gesperrt.
Also hatte das Rootkit/der Trojaner auf dem zweiten Laptop einfaches Spiel beim neu Infizieren

Code:
ATTFilter
Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:135            VeraNB:0               ABHÖREN
  TCP    0.0.0.0:445            VeraNB:0               ABHÖREN
  TCP    0.0.0.0:554            VeraNB:0               ABHÖREN
  TCP    0.0.0.0:2869           VeraNB:0               ABHÖREN
  TCP    0.0.0.0:5357           VeraNB:0               ABHÖREN
  TCP    0.0.0.0:10243          VeraNB:0               ABHÖREN
  TCP    0.0.0.0:49152          VeraNB:0               ABHÖREN
  TCP    0.0.0.0:49153          VeraNB:0               ABHÖREN
  TCP    0.0.0.0:49154          VeraNB:0               ABHÖREN
  TCP    0.0.0.0:49155          VeraNB:0               ABHÖREN
  TCP    0.0.0.0:49164          VeraNB:0               ABHÖREN
  TCP    127.0.0.1:49159        www:49160              HERGESTELLT
  TCP    127.0.0.1:49160        www:49159              HERGESTELLT
  TCP    127.0.0.1:49162        www:49163              HERGESTELLT
  TCP    127.0.0.1:49163        www:49162              HERGESTELLT
  TCP    192.168.178.22:139     VeraNB:0               ABHÖREN
  TCP    192.168.178.27:139     VeraNB:0               ABHÖREN
  TCP    192.168.178.27:49210   fritz:49000            HERGESTELLT
  TCP    192.168.178.27:49624   bw-in-f105:http        HERGESTELLT
  TCP    192.168.178.27:49677   62.156.238.26:http     WARTEND
  TCP    192.168.178.27:49691   62.156.238.59:http     HERGESTELLT
  TCP    192.168.178.27:49692   62.156.238.59:http     HERGESTELLT
  TCP    192.168.178.27:49693   62.156.238.59:http     HERGESTELLT
  TCP    192.168.178.27:49694   62.156.238.59:http     HERGESTELLT
  TCP    192.168.178.27:49695   62.156.238.59:http     HERGESTELLT
  TCP    192.168.178.27:49696   62.156.238.59:http     HERGESTELLT
  TCP    192.168.178.27:49721   dd17134:http           WARTEND
  TCP    192.168.178.27:49728   bw-in-f139:http        HERGESTELLT
  TCP    192.168.178.27:49729   bw-in-f139:http        HERGESTELLT
  TCP    [::]:135               VeraNB:0               ABHÖREN
  TCP    [::]:445               VeraNB:0               ABHÖREN
  TCP    [::]:554               VeraNB:0               ABHÖREN
  TCP    [::]:2869              VeraNB:0               ABHÖREN
  TCP    [::]:5357              VeraNB:0               ABHÖREN
  TCP    [::]:10243             VeraNB:0               ABHÖREN
  TCP    [::]:49152             VeraNB:0               ABHÖREN
  TCP    [::]:49153             VeraNB:0               ABHÖREN
  TCP    [::]:49154             VeraNB:0               ABHÖREN
  TCP    [::]:49155             VeraNB:0               ABHÖREN
  TCP    [::]:49164             VeraNB:0               ABHÖREN
  UDP    0.0.0.0:3544           *:*
  UDP    0.0.0.0:3702           *:*
  UDP    0.0.0.0:3702           *:*
  UDP    0.0.0.0:5004           *:*
  UDP    0.0.0.0:5005           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    0.0.0.0:59615          *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:61649        *:*
  UDP    192.168.178.22:137     *:*
  UDP    192.168.178.22:138     *:*
  UDP    192.168.178.22:1900    *:*
  UDP    192.168.178.27:137     *:*
  UDP    192.168.178.27:138     *:*
  UDP    192.168.178.27:1900    *:*
  UDP    192.168.178.27:57046   *:*
  UDP    [::]:3702              *:*
  UDP    [::]:3702              *:*
  UDP    [::]:5004              *:*
  UDP    [::]:5005              *:*
  UDP    [::]:5355              *:*
  UDP    [::]:59616             *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:61648            *:*
  UDP    [fe80::91b:402b:3e45:929c%11]:546  *:*
  UDP    [fe80::91b:402b:3e45:929c%11]:546  *:*
  UDP    [fe80::91b:402b:3e45:929c%11]:1900  *:*
  UDP    [fe80::d4fe:695b:623f:f154%12]:546  *:*
  UDP    [fe80::d4fe:695b:623f:f154%12]:546  *:*
  UDP    [fe80::d4fe:695b:623f:f154%12]:1900  *:*
         
Hab jetzt mittlerweile auch eine mchlnjdrv.sys (/??/ Versteckt)
und eine
\??\C:\Windows\system32\30B1.tmp
mit dem Rootkit-Hook-Analyzer gefunden.
MBAM findet nichts, RootkitBuster auch nicht.

Ich denke dass es möglicherweise RKIT-Agent.GO und/oder TR/Crypt.XPACK.Gen ist/sind.

Kann man da überhaupt noch was machen ? Wenn irgendwelche
EXE-Files infiziert sein sollten (Bspw. auf einer Externen Platte),
kann man die Reparieren oder auf irgendeine Art rausfinden welche
Infiziert sind ?

Tut mir leid wenn ich zuviel frage aber ich rupf mir bald die Haare raus
weil ich echt nicht anderes mehr mache.
__________________

Alt 07.10.2009, 07:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Zitat:
und hab blöderweise nicht vor der Verbindung zum Router die Ports gesperrt.
Also hatte das Rootkit/der Trojaner auf dem zweiten Laptop einfaches Spiel beim neu Infizieren
Wenn Du hinter einem Router bist, musst Du eigentlich Portforwarding einstellen, damit man denn auf die mutmaßlichen Backdoordienste von außen zugreifen kann.
Sofern es denn überhaupt durch Backdoordienste geöffnete Ports sind, dazu müsste die Hintertür "dumm" genug sein, dass man ihre Verbindungen via netstat -an sehen kann.

Wie siehts denn mit der Windows-Firewall aus? Ich glaub kaum, dass Microsoft den gleichen Fehler wie bei 2000/XP nochmal machen würde - seit dem SP2 für XP ist nämlich standardmäßig die Windows-Firewall an, sodass nicht mal eben einfach so auf die Netzwerkfreigaben aus dem Internet zugegriffen werden kann. Hast Du die immer aktiviert gehabt? Ist zwar bei einem Router nicht wirklich nötig, interessiert mich aber trotzdem. Welchen Router hast Du da eigenbtlich und wie ist der konfiguriert? Ich kann mich da an manchen Einstellungen wie zB DMZ entsinnen...weiß ich jetzt aber nicht, ob das alle Router anbieten.

Zitat:
Ist eine Ultimate beta (MSDN)
Wenn die Quelle vetrauenswürdig/sauber ist, dann bringt "Deine" Win7-Version also keine Haustiere mit
Ist das denn auch direkt nach dem Neuaufsetzen schon so? Ich frag mich nämlich ein "wenig" was Du denn da so installierst, wenn Du sowas findest:

Zitat:
Hab jetzt mittlerweile auch eine mchlnjdrv.sys (/??/ Versteckt)
und eine
\??\C:\Windows\system32\30B1.tmp
mit dem Rootkit-Hook-Analyzer gefunden.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2009, 17:39   #5
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Die Windows-Firewall scheint aktiviert gewesen zu sein,
allerdings werden die Ports ja über "System" und "svchost.exe" geöffnet,
und die stehen dann leider in der Ausnahmeliste da sie ja zum OS gehören.
Die Verbindungen die Aufgebaut werden kommen zum Größten teil von
Außen, aber die Initiierung der Verbindungen geschieht von Innen.
Das nennt sich "LAN-Bypass" und sorgt dafür dass kein Portforwarding
mehr benötigt wird. Nur durch Sperren aller Ports und Adressen
und das selektive Freigeben erlaubter Verbindungen bin ich Sicher.

Es hat ungefähr (Direkt nach der ersten Verbindung mit dem Router) 4-5
Stunden gedauert bis eine neue Infektion aufgetreten war.
(Zu erkennen an mehreren svchost.exe Prozessen und lokal geöffneten
Ports in den genannten Bereichen)

Die Infektion kam eindeutig übers LAN vom anderen Laptop,
ich hatte gehofft das bessere Passwörter den Laptop schützen würden,
leider falsch gedacht.

Ich habe auch schon einige Spam-Mails (von Viagra bis Afrikanische Finanzierungsvermittler)
über meinen Wireshark aufgezeichnet,
also nehme ich an dass der Rechner Teil eines Botnets ist.

Natürlich hab ich gleich nach dem Neuaufsetzen versucht den Rechner
zu Schützen, und Software wie SpyBot SD, MBAM, HiJackThis,
SpyWare Doctor (Welches wie ich rausgefunden hab auch einen DLL-Injection Treiber installiert,
evtl kam der Mad Code Hook Injection Driver von hier,
wird manchmal von Virenschreiben Mißbraucht), Spyware Terminator,
Avira Antivir... Schutz brachte das allerdings leider auch nicht.

Ich vermute dass sich das Programm übers LAN auf ein Standartshare des
zweitbenutzers Kopiert hat (War für ca. 10 Minuten ohne PWD).

Wenn der Trojaner/der Schädling tatsächlich Crypted sein sollte hab
ich ja warscheinlich keine Chance jemals die Infizierten .EXE Dateien zu finden, oder ?


Alt 07.10.2009, 17:55   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Zitat:
Die Infektion kam eindeutig übers LAN vom anderen Laptop,
ich hatte gehofft das bessere Passwörter den Laptop schützen würden,
leider falsch gedacht.
Über das eigene LAN? Schonmal die anderen Rechner, die bei Dir im eigenen Netzwerk sind, überprüft?
__________________
--> svchost horcht an ports 554 und 49152-491??

Alt 07.10.2009, 18:26   #7
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Es gibt 3 Rechner in meinem Netz, 2 Laptops und eine Workstation.
Alle 3 sind Infiziert, und verbreiten sich auch immer wieder übers LAN.

Alt 07.10.2009, 18:46   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Und Du hast alle drei auch schon mal neu aufsetzt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2009, 19:43   #9
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Nein. Das leider nicht. Ich wollte vorerst auf einem Rechner mit
allen möglichen Mitteln versuchen, die Infektion ohne Formatieren
in den Griff zu bekommen, bis jetzt ohne Erfolg.

Kein AV-Programm oder Trojan Removal Tool konnte bis jetzt eindeutig
eine Infektion erkennen, und wenn doch auffällige Dateien gefunden wurden,
konnte ich die entsprechenden Files nicht entfernen.
( \??\C:\Windows\... )

Ich kann nur mit Sicherheit sagen dass die Rechner Infiziert sind, und
gegen Abend für Spam-zwecke Missbraucht wurden. Durch blockieren
der Port-bereiche können die Angreifer aber keine Verbindung mehr ins
interne Netz aufbauen, also sind die Rechner im moment zumindest
solange Geschützt wie die Schädlinge nicht auf die Idee kommen
schlimmeres anzustellen. Hoffentlich gibt es keine Routinen die
schwerwiegendere Schäden anrichten sollen.

Ich würde nur einfach gerne auf einen 100%igen Datenverlust verzichten,
solange es noch Hoffnung geben kann diesen Hartnäckigen kleinen Mistkerl
aus dem System zu ziehen, und aus evtl. infizierten .EXE Dateien zu löschen.

Alt 07.10.2009, 19:47   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Dazu müsstest Du jedes System was im LAN ist erstmal analysieren und dann die gezielt bereinigen/neuaufsetzen, die eben befallen sind. Solange bist Du weißt, welche Geräte das sind, musst Du alle potenziell verseuchten Rechner eben vom Netzwerk ausschließen.

Zitat:
Ich würde nur einfach gerne auf einen 100%igen Datenverlust verzichten,
Wieso Datenverlust, machst Du keine Backups? Als IT-Professionell (nur die bekommen MSDNAA-Accounts!) solltest Du davon aber schon gehört haben.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2009, 20:49   #11
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Natürlich mache ich als Programmierer auch Backups,
aber die mache ich eher bei meinem Arbeitsplatz,
und das auch nur von wichtigen Sourcecodes oder Releases...
Ich bin kein Systemintegrator der jeden Tag Backups von
Serverplatten macht, von daher: Privat eher weniger.

Naja, wie gesagt sind alle 3 Rechner betroffen, was ich durch
Wireshark rausgefunden habe. Wenn ich mich jetzt aber einem
Verhör unterziehen soll warum ich Windows 7 auf meinem Rechner
habe, dann Tut es mir Leid aber dann wende ich mich lieber an jemand
anderes. Kann ja sein dass Ihr hier viel mit illegalen Raubkopien
zu tun habt, als Programmierer stehe ich da aber eher auf der
Seite gegenüber!

Gibt es nun eine möglichkeit die Infektionen zu Identifizieren ?
Also herauszufinden mit welchem Schädling mein Netzwerk
Kompromittiert wurde ? Oder bleibt mir nur die letztlich endgültige Lösung
meine Systeme zu Formatieren ?

Weil wie man hier sehn kann nicht nur ausführbare Dateien genutzt werden:

Zitat:
\??\C:\Windows\system32\30B1.tmp
Und ich ja dann damit sozusagen gezwungen werde alles zu Löschen.
(Natürlich wird es Schwierig eine .tmp Datei auszuführen, aber möglichkeiten
diese Dateien in entsprechende Position zu bringen oder umzubenennen
gibt es sicherlich einige)

Alt 07.10.2009, 21:24   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Zitat:
Ich bin kein Systemintegrator der jeden Tag Backups von
Serverplatten macht, von daher: Privat eher weniger.
Du kannst auch Tischler oder Bäcker sein...der Festplatte ist das ziemlich egal welchen Beruf Du hast, wenn sie kaputt geht *mitdemzaunpfahlwink*

Eine Bereinigung für ein System ist schon aufwendig genug, für drei Systeme...

Mach erstmal von einem System, von dem Du sicher weißt, dass es infiziert ist, ein RSIT-Logfile.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2009, 22:09   #13
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Ja, da hast auch wieder recht^^
Werde wohl zukünftig öfters mal ein Backup machen.

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by <Name> at 2009-10-07 22:43:47
Microsoft Windows 7 Ultimate  
System drive C: has 119 GB (78%) free of 153 GB
Total RAM: 895 MB (18% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:21, on 07.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\NetLimiter 3\nlsvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NetLimiter 3\NLClientApp.exe
C:\Program Files\UnHackMe\hackmon.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskmgr.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
c:\program files\windows defender\MpCmdRun.exe
C:\Users\<Name>\Downloads\RSIT(2).exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\<Name>.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\_Java\jre6.0.0.0\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NetLimiter] C:\Program Files\NetLimiter 3\NLClientApp.exe /tray
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Program Files\UnHackMe\hackmon.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9979C41-ACD7-4864-9675-0BB9F0EB5B45}: NameServer = 192.168.178.5
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NetLimiter 3 Service (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 3\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 5772 bytes
         
Fortsetzung folgt

Alt 07.10.2009, 22:10   #14
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Code:
ATTFilter
======Scheduled tasks folder======

C:\Windows\tasks\ParetoLogic Registration.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\_Java\jre6.0.0.0\bin\jp2ssv.dll [2009-10-06 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2009-03-06 13605408]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2009-03-06 92704]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe [2009-10-06 149280]
"PWRISOVM.EXE"=C:\Program Files\PowerISO\PWRISOVM.EXE [2009-07-27 180224]
"ISTray"=C:\Program Files\Spyware Doctor\pctsTray.exe [2009-07-22 1181064]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"NetLimiter"=C:\Program Files\NetLimiter 3\NLClientApp.exe [2009-09-28 1576960]
"UnHackMe Monitor"=C:\Program Files\UnHackMe\hackmon.exe [2009-10-06 238304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EFS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Power]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcEptMapper]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vmms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AppInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AppMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Base]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\BFE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Boot Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Boot file system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\bowser]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Browser]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\CryptSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\DcomLaunch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\dfsc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Dhcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\DnsCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Dot3Svc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Eaphost]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\EFS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\EventLog]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\File system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\HelpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\IKEEXT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ipnat.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\KeyIso]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\LanmanServer]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\LanmanWorkstation]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\LmHosts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Messenger]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MPSDrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MPSSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mrxsmb]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mrxsmb10]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mrxsmb20]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NativeWifiP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NDIS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NDIS Wrapper]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ndiscap]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Ndisuio]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetBIOS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetBIOSGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetBT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetDDEGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Netlogon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetMan]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\netprofm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetworkProvider]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NlaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Nsi]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nsiproxy.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NTDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PCI Configuration]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PlugPlay]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PNP Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PNP_TDI]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PolicyAgent]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Power]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Primary disk]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ProfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rdbss]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rdpencdd.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rdsessmgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\RpcEptMapper]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\RpcSs]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sacsvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SCardSvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SCSI Class]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sermouse.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Streams Drivers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SWPRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\System Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TabletInputService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TBS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Tcpip]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDI]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TrustedInstaller]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VaultSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vga.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vgasave.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vmms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\volmgr.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\volmgrx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wlansvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{36FC9E60-C465-11CF-8056-444553540000}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E965-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E969-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E972-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E973-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E974-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E975-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E977-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E980-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{50DD5230-BA8A-11D1-BF5D-0000F805F530}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=5
"ConsentPromptBehaviorUser"=3
"EnableUIADesktopToggle"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9883af25-b1c8-11de-aef3-806e6f6e6963}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\INDEX.html
         
Fortsetzung folgt

Alt 07.10.2009, 22:11   #15
benth
 
svchost horcht an ports 554 und 49152-491?? - Standard

svchost horcht an ports 554 und 49152-491??



Code:
ATTFilter
======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-10-06 22:40:15 ----D---- C:\Windows\RestoreSafeDeleted
2009-10-06 22:33:03 ----A---- C:\Windows\system32\PARTIZAN.TXT
2009-10-06 22:30:14 ----RASHOT---- C:\Windows\winstart.bat
2009-10-06 22:30:00 ----A---- C:\Windows\system32\Partizan.exe
2009-10-06 22:29:40 ----D---- C:\Program Files\UnHackMe
2009-10-06 21:33:19 ----D---- C:\Program Files\Sophos
2009-10-06 21:26:45 ----D---- C:\Program Files\RootKit Hook Analyzer
2009-10-06 21:25:20 ----D---- C:\Program Files\MultiMon
2009-10-06 21:21:00 ----SHD---- C:\Config.Msi
2009-10-06 21:18:42 ----D---- C:\Windows\system32\appmgmt
2009-10-06 20:13:58 ----D---- C:\Program Files\Common Files\PC Tools
2009-10-06 20:13:37 ----D---- C:\Users\<Name>\AppData\Roaming\PC Tools
2009-10-06 20:13:37 ----D---- C:\ProgramData\PC Tools
2009-10-06 20:13:37 ----D---- C:\Program Files\Spyware Doctor
2009-10-06 20:13:28 ----AD---- C:\ProgramData\TEMP
2009-10-06 19:59:58 ----A---- C:\lopR.txt
2009-10-06 19:59:28 ----D---- C:\Lop SD
2009-10-06 19:06:41 ----A---- C:\rollback.ini
2009-10-06 18:55:44 ----D---- C:\ProgramData\ParetoLogic
2009-10-06 18:55:44 ----D---- C:\Program Files\Common Files\ParetoLogic
2009-10-06 18:39:40 ----D---- C:\Windows\Minidump
2009-10-06 18:07:03 ----D---- C:\rsit
2009-10-06 17:33:09 ----D---- C:\Users\<Name>\AppData\Roaming\Malwarebytes
2009-10-06 17:32:57 ----D---- C:\ProgramData\Malwarebytes
2009-10-06 17:32:57 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-10-06 16:15:46 ----D---- C:\Program Files\Trend Micro
2009-10-06 16:05:56 ----D---- C:\ProgramData\Locktime
2009-10-06 12:11:46 ----D---- C:\DLS
2009-10-06 11:25:12 ----D---- C:\Program Files\PowerISO
2009-10-06 11:18:21 ----D---- C:\Program Files\NetLimiter 3
2009-10-06 11:08:14 ----A---- C:\Windows\system32\javaws.exe
2009-10-06 11:08:14 ----A---- C:\Windows\system32\javaw.exe
2009-10-06 11:08:14 ----A---- C:\Windows\system32\java.exe
2009-10-06 11:08:14 ----A---- C:\Windows\system32\deploytk.dll
2009-10-06 11:07:21 ----D---- C:\Program Files\_Java
2009-10-06 10:04:24 ----D---- C:\Users\<Name>\AppData\Roaming\vlc
2009-10-05 22:57:05 ----D---- C:\Program Files\Common Files\PX Storage Engine
2009-10-05 22:56:13 ----D---- C:\Program Files\DivX
2009-10-05 22:56:13 ----D---- C:\Program Files\Common Files\DivX Shared
2009-10-05 21:49:14 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-10-05 21:49:14 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-10-05 21:47:38 ----D---- C:\ProgramData\Avira
2009-10-05 21:47:38 ----D---- C:\Program Files\Avira
2009-10-05 19:28:13 ----D---- C:\Program Files\VideoLAN
2009-10-05 19:21:55 ----D---- C:\Users\<Name>\AppData\Roaming\Mozilla
2009-10-05 19:20:08 ----D---- C:\Program Files\Mozilla Firefox
2009-10-05 19:02:19 ----D---- C:\Windows\Panther
2009-10-05 19:02:15 ----RASH---- C:\BOOTSECT.BAK
2009-10-05 19:02:12 ----SHD---- C:\Boot
2009-10-05 18:35:39 ----SHD---- C:\Windows\Installer
2009-10-05 18:35:26 ----D---- C:\ProgramData\Kaspersky Lab Setup Files
2009-10-05 18:33:36 ----D---- C:\Users\<Name>\AppData\Roaming\Macromedia
2009-10-05 18:33:36 ----D---- C:\Users\<Name>\AppData\Roaming\Adobe
2009-10-05 18:33:34 ----D---- C:\Windows\system32\Macromed
2009-10-05 18:33:06 ----D---- C:\Users\<Name>\AppData\Roaming\WinRAR
2009-10-05 18:32:49 ----D---- C:\Program Files\WinRAR
2009-10-05 18:26:36 ----D---- C:\ProgramData\NVIDIA
2009-10-05 18:24:23 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-10-05 18:24:09 ----A---- C:\Windows\system32\MRT.exe
2009-10-05 18:23:40 ----A---- C:\Windows\system32\nvuninst.exe
2009-10-05 18:23:40 ----A---- C:\Windows\system32\nvcpluir.dll
2009-10-05 18:23:40 ----A---- C:\Windows\system32\nvcplui.exe
2009-10-05 18:22:29 ----N---- C:\Windows\system32\MpSigStub.exe
2009-10-05 18:18:06 ----D---- C:\Users\<Name>\AppData\Roaming\Identities
2009-10-05 18:17:38 ----SD---- C:\Users\<Name>\AppData\Roaming\Microsoft
2009-10-05 18:17:38 ----D---- C:\Users\<Name>\AppData\Roaming\Media Center Programs
2009-10-05 18:12:46 ----SHD---- C:\Recovery
2009-10-05 18:12:46 ----SHD---- C:\Programme
2009-10-05 18:12:46 ----SHD---- C:\ProgramData\Vorlagen
2009-10-05 18:12:46 ----SHD---- C:\Program Files\Gemeinsame Dateien
2009-10-05 18:12:45 ----SHD---- C:\ProgramData\Startmenü
2009-10-05 18:12:45 ----SHD---- C:\ProgramData\Favoriten
2009-10-05 18:12:45 ----SHD---- C:\ProgramData\Dokumente
2009-10-05 18:12:45 ----SHD---- C:\ProgramData\Anwendungsdaten
2009-10-05 18:12:45 ----SHD---- C:\Dokumente und Einstellungen
2009-10-05 18:06:44 ----D---- C:\Windows\SoftwareDistribution
2009-10-05 18:03:52 ----D---- C:\Windows\Prefetch
2009-10-05 18:03:24 ----SHD---- C:\System Volume Information

======List of files/folders modified in the last 1 months======

2009-10-07 22:44:15 ----D---- C:\Windows\Temp
2009-10-07 09:50:10 ----D---- C:\Windows\system32\config
2009-10-06 22:47:38 ----D---- C:\Windows\System32
2009-10-06 22:47:38 ----D---- C:\Windows\inf
2009-10-06 22:42:27 ----D---- C:\Windows\system32\drivers
2009-10-06 22:40:15 ----D---- C:\Windows
2009-10-06 22:39:21 ----D---- C:\Windows\system32\catroot2
2009-10-06 22:33:03 ----RD---- C:\Program Files
2009-10-06 22:29:53 ----D---- C:\Windows\system32\Tasks
2009-10-06 21:58:49 ----SD---- C:\ProgramData\Microsoft
2009-10-06 21:21:29 ----HD---- C:\ProgramData
2009-10-06 21:20:26 ----D---- C:\Windows\Tasks
2009-10-06 20:13:58 ----D---- C:\Program Files\Common Files
2009-10-06 19:47:05 ----D---- C:\Windows\Downloaded Program Files
2009-10-06 16:07:03 ----D---- C:\Windows\system32\wdi
2009-10-06 11:18:40 ----D---- C:\Windows\system32\catroot
2009-10-06 11:18:39 ----D---- C:\Windows\system32\DriverStore
2009-10-06 06:25:20 ----D---- C:\Windows\Logs
2009-10-05 22:56:31 ----D---- C:\Windows\winsxs
2009-10-05 22:04:39 ----SHD---- C:\$Recycle.Bin
2009-10-05 22:04:17 ----RD---- C:\Users
2009-10-05 21:45:27 ----D---- C:\Program Files\Common Files\microsoft shared
2009-10-05 19:26:13 ----D---- C:\Windows\system32\LogFiles
2009-10-05 19:01:55 ----D---- C:\Windows\Setup
2009-10-05 18:36:03 ----D---- C:\Windows\system32\CodeIntegrity
2009-10-05 18:25:04 ----D---- C:\Windows\AppPatch
2009-10-05 18:24:10 ----D---- C:\Windows\debug
2009-10-05 18:23:32 ----D---- C:\Windows\Help
2009-10-05 18:22:38 ----D---- C:\Program Files\Internet Explorer
2009-10-05 18:20:18 ----D---- C:\Windows\system32\restore
2009-10-05 18:14:45 ----D---- C:\Windows\system32\wbem
2009-10-05 18:12:46 ----D---- C:\Program Files\Windows NT
2009-10-05 18:11:17 ----D---- C:\Windows\rescache
2009-10-05 18:07:14 ----D---- C:\Windows\system32\sysprep
2009-10-05 18:04:28 ----D---- C:\Windows\CSC
         

Hier ist RSIT mit der folgenden Messagebox abgeschmiert.

---------------------------
AutoIt Error
-------------------
Line -1:

Error: Variable used without being declared.
--------------------------------------------

Nameserver auf 192.168.178.5 ist OK, das ist die IP der Fritz!Box.

Antwort

Themen zu svchost horcht an ports 554 und 49152-491??
antivir, antivir guard, ausführbare datei, avg, avira, bho, desktop, dll, explorer, firefox, hijack, internet, internet explorer, micro, microsoft, mozilla, nvidia, object, poweriso, prozess, rundll, safer networking, security, software, spyware, spyware terminator, svchost, svchost.exe, windows



Ähnliche Themen: svchost horcht an ports 554 und 49152-491??


  1. TR/Drop Agent 49152.19
    Plagegeister aller Art und deren Bekämpfung - 25.02.2013 (5)
  2. Windows 7 x86 / 32-Bit Offene Ports es werden keine Dienste zu den Ports angezeigt! Trojaner?
    Alles rund um Windows - 31.12.2012 (11)
  3. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  4. TR/Crypt.ULPM.Gen Trojan & BDS/Agent.49152.G
    Plagegeister aller Art und deren Bekämpfung - 08.03.2011 (111)
  5. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  6. Avira Fund: Trojaner TR/Agent.49152.BE
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (1)
  7. Ports
    Alles rund um Windows - 23.02.2009 (1)
  8. Ports gesperrt?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2008 (8)
  9. Trojaner TR/Agent.49152.BE
    Log-Analyse und Auswertung - 02.08.2008 (20)
  10. ports freigeben
    Netzwerk und Hardware - 03.09.2007 (7)
  11. Hilfe: WORM/Rbot.49152.4 + Generic.Botget.A9E80763
    Log-Analyse und Auswertung - 30.08.2007 (1)
  12. Ports schließen.
    Antiviren-, Firewall- und andere Schutzprogramme - 15.08.2006 (6)
  13. Ports
    Antiviren-, Firewall- und andere Schutzprogramme - 19.06.2006 (34)
  14. ports 139 & 445
    Antiviren-, Firewall- und andere Schutzprogramme - 05.07.2005 (3)
  15. UDP komisch Ports (Help)
    Plagegeister aller Art und deren Bekämpfung - 30.06.2005 (7)
  16. Ports
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (4)
  17. ZoneAlarm: SVChost.EXE, welche Ports zulassen?
    Antiviren-, Firewall- und andere Schutzprogramme - 14.08.2003 (4)

Zum Thema svchost horcht an ports 554 und 49152-491?? - Hallo, Ich habe schon seit längerem Probleme mit geöffneten Ports im bereich 491**, die meisten werden von der SVCHost.exe geöffnet, und alle horchen in richtung WAN. Irgendwie macht mir das - svchost horcht an ports 554 und 49152-491??...
Archiv
Du betrachtest: svchost horcht an ports 554 und 49152-491?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.