Unerwünschte TCP Verbindungen

QDuck · 08.11.2009, 13:59

Hallo,
ich hoffe mir kann jemand helfen.
Ich habe ein D-link DIR-300.
Wenn ich mir die Aktiven Sitzungen angucke, sehe ich sowas:

IP-Adresse	TCP-Sitzung	UDP-Sitzung
192.168.0.101	178	0

Im Deteil sieht es dann so aus:

Protokoll	Quell-IP-Adresse	Quellport	Ziel-IP-Adresse	Zielport
TCP	192.168.0.101	49527	94.100.189.179	80
TCP	192.168.0.101	49394	94.100.189.179	80
TCP	192.168.0.101	49518	94.100.179.72	80
TCP	192.168.0.101	49494	94.100.189.179	80
TCP	192.168.0.101	49546	94.100.179.72	80
TCP	192.168.0.101	49450	94.100.178.50	80
TCP	192.168.0.101	49383	85.13.143.91	80
TCP	192.168.0.101	49278	192.168.0.1	80
TCP	192.168.0.101	49537	94.100.189.179	80
TCP	192.168.0.101	49358	74.125.43.100	80
TCP	192.168.0.101	49499	81.95.156.181	80
TCP	192.168.0.101	49525	94.100.189.179	80
TCP	192.168.0.101	49560	85.13.143.91	80
TCP	192.168.0.101	49503	94.100.189.179	80
TCP	192.168.0.101	49461	94.100.182.66	80
TCP	192.168.0.101	49535	94.100.189.179	80
TCP	192.168.0.101	49479	77.238.172.11	80
TCP	192.168.0.101	49471	213.180.204.190	80
TCP	192.168.0.101	49466	94.100.188.48	80
TCP	192.168.0.101	49281	192.168.0.1	80
TCP	192.168.0.101	49542	77.238.172.11	80
TCP	192.168.0.101	49488	94.100.189.179	80
TCP	192.168.0.101	49522	94.100.189.179	80
TCP	192.168.0.101	49569	192.168.0.1	80
TCP	192.168.0.101	49550	87.238.81.154	80
TCP	192.168.0.101	49511	77.238.172.11	80
TCP	192.168.0.101	49509	77.238.174.11	80
TCP	192.168.0.101	49502	94.100.189.179	80
TCP	192.168.0.101	49467	88.212.196.102	80
TCP	192.168.0.101	49413	199.7.59.72	80
TCP	192.168.0.101	49538	94.100.189.179	80
TCP	192.168.0.101	49440	94.100.179.178	80
TCP	192.168.0.101	49563	217.69.128.53	80
TCP	192.168.0.101	49551	74.125.39.113	80
TCP	192.168.0.101	49552	74.125.39.113	80
TCP	192.168.0.101	49526	94.100.189.179	80
TCP	192.168.0.101	49483	94.100.179.20	80
TCP	192.168.0.101	49544	77.238.172.11	80
TCP	192.168.0.101	49456	94.100.188.48	80
TCP	192.168.0.101	49477	92.122.188.27	80
TCP	192.168.0.101	49561	217.69.128.53	80
TCP	192.168.0.101	49389	94.100.189.179	80
TCP	192.168.0.101	49455	94.100.188.48	80
TCP	192.168.0.101	49447	94.100.189.179	80
TCP	192.168.0.101	49408	94.100.179.178	80
TCP	192.168.0.101	49391	94.100.189.179	80
TCP	192.168.0.101	49565	192.168.0.1	80
TCP	192.168.0.101	49473	77.238.172.11	80
TCP	192.168.0.101	49386	94.100.189.179	80
TCP	192.168.0.101	49368	74.125.39.113	80
TCP	192.168.0.101	49531	81.95.156.181	80
TCP	192.168.0.101	49463	94.100.182.66	80
TCP	192.168.0.101	49403	94.100.189.179	80
TCP	192.168.0.101	49428	94.100.189.179	80
TCP	192.168.0.101	49507	77.238.172.11	80
TCP	192.168.0.101	49441	94.100.189.179	80
TCP	192.168.0.101	49519	94.100.182.15	80
TCP	192.168.0.101	49497	94.100.178.213	80
TCP	192.168.0.101	49485	94.100.179.72	80
TCP	192.168.0.101	49276	192.168.0.1	80
TCP	192.168.0.101	49460	94.100.182.66	80
TCP	192.168.0.101	49387	94.100.189.179	80
TCP	192.168.0.101	49495	94.100.189.179	80
TCP	192.168.0.101	49419	77.88.21.90	80
TCP	192.168.0.101	49426	94.100.182.15	80
TCP	192.168.0.101	49478	92.122.188.18	80
TCP	192.168.0.101	49412	94.100.179.178	80
TCP	192.168.0.101	49510	81.95.156.181	80
TCP	192.168.0.101	49444	94.100.179.178	80
TCP	192.168.0.101	49442	94.100.189.179	80
TCP	192.168.0.101	49400	81.19.66.32	80
TCP	192.168.0.101	49469	77.238.174.11	80
TCP	192.168.0.101	49517	94.100.179.72	80
TCP	192.168.0.101	49417	94.100.189.179	80
TCP	192.168.0.101	49410	94.100.179.178	80
TCP	192.168.0.101	49397	94.100.189.179	80
TCP	192.168.0.101	49279	192.168.0.1	80
TCP	192.168.0.101	49418	94.100.182.15	80
TCP	192.168.0.101	49458	93.158.134.190	80
TCP	192.168.0.101	49420	213.180.204.190	80
TCP	192.168.0.101	49489	94.100.189.179	80
TCP	192.168.0.101	49438	94.100.189.179	80
TCP	192.168.0.101	49553	74.125.39.113	80
TCP	192.168.0.101	49481	94.100.189.179	80
TCP	192.168.0.101	49566	192.168.0.1	80
TCP	192.168.0.101	49521	94.100.182.15	80
TCP	192.168.0.101	49424	217.69.128.53	80
TCP	192.168.0.101	49402	94.100.189.179	80
TCP	192.168.0.101	49384	217.69.128.41	80
TCP	192.168.0.101	49468	81.95.156.181	80
TCP	192.168.0.101	49462	94.100.182.66	80
TCP	192.168.0.101	49487	94.100.189.179	80
TCP	192.168.0.101	49547	94.100.179.72	80
TCP	192.168.0.101	49512	213.180.204.190	80

Ich hab schon alles durchprobiert.
Spybot S&D findet nichts.
Ich habe es auch schon mit Nortoon 360 probiert, der aber auch nichts findet.
Ich habe auch schon nachgegoogelt, aber nichts gefunden.
Hab gestern mein System neu aufgesetzt, aber irgendwie scheint das nicht geholfen zu haben.
Bitte helft mir.

Ich habe Windows 7 x64 auf meinem Notebook.
Hier mein HijackThis log file.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:44, on 08.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avscan.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files (x86)\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6738 bytes

cosinus · 08.11.2009, 16:34

Hallo und

Wann hast Du die Verbindungen überprüft, hast Du da gerade gesurft? Wenn ja, sind solche Verbindungen mehr oder weniger normal.

=> http://whois.domaintools.com/199.7.59.72
=> http://whois.domaintools.com/94.100.189.179

Den letzteren kann ich aber so nicht nachvollziehen

Code:

ATTFilter

IP Information for 94.100.189.179
IP Location: 	Russian Federation Russian Federation Moscow Mailru-net
Resolve Host: 	img.mail.ru
IP Address: 	94.100.189.179 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
Blacklist Status: 	Clear

Was für ein Windows7 ist das? Noch der RC? Aus welcher Quelle hast Du oder ist das eine Original-DVD?

QDuck · 08.11.2009, 16:53

Ich habe eine Original CD von Winows 7. Ich habe sie von der Schule bekommen.
Version 6.1 (Build 7600)
Winsows 7 Professional
hab grad Kaspersky internet security laufen der findet auch nichts.
Auch wenn ich grad den browser anmache und sofort die verbindungen guck, sind da mindestens 9 aufgelistet.
Oder mache ich mir unnötig Sorgen?

cosinus · 08.11.2009, 17:01

Du machst Dir - denke ich - unnötig Sorgen. Die Verbindungen zum russischen Server könnten von der russischen Software Kaspersky stammen.

QDuck · 08.11.2009, 17:22

Danke für die hilfe!

Werde das Thema jetzt schließen.

08.11.2009, 17:01	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Unerwünschte TCP Verbindungen Du machst Dir - denke ich - unnötig Sorgen. Die Verbindungen zum russischen Server könnten von der russischen Software Kaspersky stammen. __________________ Logfiles bitte immer in CODE-Tags posten

Unerwünschte TCP Verbindungen

Log-Analyse und Auswertung: Unerwünschte TCP Verbindungen