|
Ich weiß nicht... Meine FireWall meldet127.0.0.0 Mehrfach- Verbindungen, ich habe grau unterlegte Schemata, komme ich nach Tagen in bekannte Foren, finde ich keine neuen Beiträge...als ob ich gerade dort gewesen wäre, den Browser muss ich oft 2x beenden....... und S&D und AdAware finden dauernd was.... Ich tippe einfach subjektiv auf einen Highjacker - hm? Den IE nutze ich nur zum Updaten, ansonsten Mozilla. Könnt Ihr hiermit was anfangen? Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Hi, dein Log scheint unauffällig bis auf die Tatsache, dass du eine Umleitung über die Ukraine hast. Was allerdings meist nen ziemlich bösen Rattenschwanz hinter sich herzieht. Daher würde ich dich bitten mal einen Scan mit escan zu machen und das Ergebnis der find.bat hier im Forum zu posten. :) lg myrtille |
Ersteinmal vielen Dank für die schnelle Anteilnahme! - Wenn ich eScan installiert habe, so bringt mich kein Browser(IE, Mozilla) auf irgendeine Seite(z.B. zum Update). Es wird ein Seiten- Ladefehler angezeigt, aber keine richtige Seite. Leider ist eScan auf dem Stand von 6/2006.... Deinstalliere ich eScan, komme ich(und mein Browser-Highjacker:rolleyes: ) überall hin. Eine Datei namens find.bat habe ich gar nicht(mehrmals mit "Suchen" gesucht und auch per Auge gesucht). eScan hat beim Installieren einiges umgestellt bei Logon oder sowas. Weitere Scans mit dieser alten Version brachten aber 0 Auffälligkeiten. Ukraine...scheint mir logisch, da ich im "Kreml- Clan" bin und Russen und Ukrainer....nunja. Woran sieht man, daß ich ne Umleitung nehme? # Gibt es irgendwo eine neuere Version des eScans? |
Hallo arbeite mal dieses hier ab --> http://www.trojaner-board.de/38074-s...tml#post263234 Blacklight findest du hier --> Blacklight poste anschließend das log von Blacklight und ein neues Hijackthis log (editiere aber dieses mal bitte alle aktiven Links). MFG |
Jo, das mach ich. Hier schonmal das log von dem X- Fixwareout: Fixwareout Last edited 4/5/2007 Post this report in the forums please ... »»»»»Prerun check »»»»» System restarted »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... »»»»» Misc files. .... »»»»» Checking for older varients. .... Search five digit cs, dm, kd, jb, other, files. The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. Click browse, find the file then click submit. http://www.virustotal.com/flash/index_en.html Or http://virusscan.jotti.org/ »»»»» Other »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe /logon" "McAfee Guardian"="\"C:\\Programme\\McAfee\\McAfee Shared Components\\Guardian\\CMGrdian.exe\" /SU" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "NWEReboot"="" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» |
Blacklight- Beta fand nix. 05/06/07 17:49:59 [Info]: BlackLight Engine 1.0.61 initialized 05/06/07 17:49:59 [Info]: OS: 5.0 build 2195 (Service Pack 4) 05/06/07 17:50:00 [Note]: 7019 4 05/06/07 17:50:00 [Note]: 7005 0 05/06/07 17:50:02 [Note]: 7006 0 05/06/07 17:50:02 [Note]: 7011 1004 05/06/07 17:50:02 [Note]: 7026 0 05/06/07 17:50:02 [Note]: 7026 0 05/06/07 17:50:04 [Note]: FSRAW library version 1.7.1021 05/06/07 17:52:55 [Note]: 2000 1012 05/06/07 17:52:55 [Note]: 2000 1012 |
Und hier das Highjacklog: mit*** von mir für die Links:) Logfile of HijackThis v1.99.1 Scan saved at 17:55:15, on 06.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\ScanPanel\ScnPanel.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINNT\ISW\alice\signup\Tray.exe C:\WINNT\System32\cidaemon.exe G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*ww.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.alice-dsl.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w*ww.alice-dsl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1D0A04-EEF8-438F-87E3-295B38A295E8}: NameServer = 213.191.92.82 213.191.74.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE |
Hallo in dem Link von oben steht ein wichtiger Satz bezüglich deiner Internetverbindung dieser könnte jetzt zu tragen kommen. Deaktiviere den Teatimer von Spybot S&D. Starte Hijackthis mit der Option - do a system scan only - und hake diese Einträge an : O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file) O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151 klicke nun auf - fix checked - beende Hijackthis, starte dein System neu und kontrolliere per Hijackthis ob die Einträge verschwunden sind. Der Teatimer kann wieder aktiviert werden. Berichte ob es noch Probleme gibt. MFG |
Oha, der TeaTimer...der sollte ansich nicht laufen - hm? Mittlerweile zeigt McAffee 7 Stück an 127.0.0.1- Verbindungen an....2 davon mit sich(mir) selber.... Ich mach das erstmal...Soweit danke! # PS: Der TeaTimer von Spybot S&D sollte zu diesem Zeitpunkt nicht nur nicht laufen.....S&D war und ist deinstalliert, da es eScan behindert(-e).... |
Unten beschriebene Sachen sind erledigt. (Dann kam ich überall hin, nur nicht hierher...nach 3x trennen/verbinden gings dann) TeaTimer kam wieder... Einige S&D- Teile (1 Ordner und 1 Reg.-Eintrag) hab ich noch händisch gelöscht...der Pfad stand ja im Log. Hm...steht immer noch drin...da muß ich wohl nochmal Neustart machen. Der McAfee- Guardian soll eigentlich auch nicht laufen. Die 127.0.0.1 er sind alle noch dabei... # Aktuell: Logfile of HijackThis v1.99.1 Scan saved at 19:50:17, on 06.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\ScanPanel\ScnPanel.exe C:\WINNT\System32\cidaemon.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = #h##p://w*w.alice-dsl.de# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = #h##p://w*w.alice-dsl.de# R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = #h##p://w*w.alice-dsl.de# R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = #h##p://w*w.alice-dsl.de# R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1D0A04-EEF8-438F-87E3-295B38A295E8}: NameServer = 213.191.92.82 213.191.74.11 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE |
So. Das Starten und Beenden scheint mir nun etwas schneller zu verlaufen. Was die 127er bedeuten, ist mir trotzdem ein Rätsel. Was bringt eine(1-2) Verbindung 127.0.0.1 [emphemer]- 127.0.0.1 [emphemer] und etliche(5-6) Verbindungen Me [emphemer] - 127.0.0.1 [emphemer]? Emphemer heißt wohl sowas wie "kurzzeitig, gelegentlich", aber ich mit mir? Ein kleines Progrämmchen namens "G Data Antiwurm (vormals Remover.exe) 1.009.0148"...eine Freeware könnte ich da evl. mal...-oder:confused: Ansonsten: S&D ist weder im Ordner Programme..wie im Log angezeigt, noch in der Registry. Keine Ahnung, was die Anzeige bei highjack.this bedeutet. S&D sowie eScan sind deinstalliert. Letztes Log: Logfile of HijackThis v1.99.1 Scan saved at 20:27:37, on 06.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\ScanPanel\ScnPanel.exe C:\WINNT\System32\cidaemon.exe G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE |
Moin Zitat:
Zitat:
Hast du mal versucht die Einträge (wenn vorhanden) im abgesicherten Modus zu löschen? MFG |
Zitat:
Zitat:
Nun aber ersteinmal "Vielen Dank!" von HH- Südgrenze nach Hamburg selber und natürlich an myrtille für die Meldung über die ukrainische Umleitung. Letztere ist hoffenlich nun weg:confused: Ich werde mich hoffentlich bald wieder blicken lassen hier:knuddel: |
Hallo, Zitat:
Das hieße nämlich du hättest schon wieder Probleme und weiter wäre zu schließen, du hättest nichts gelernt....:blabla: Ein neues Log von Hijackthis könnte Aufschluß darüber geben,ob die Ukrainer nun gegangen sind oder nicht...:rolleyes: Der "netstat -a" Befehl in "ausführen" kann dir Aufschluß über deine Verbindungen geben...... Irrlicht |
Habe zunächst im Abgesichterten Modus geladen. Mit Netzwerktreibern ging es nicht, da das Laden abbrach wg. eines Fehlers der svchost.exe. Dann nochmal ohne Netzwerktreiber...dauerte sehr lange. Per Highjack.this fixte ich den TeaTimer. Danach lud ich normal und hier das Highjack- Log: Logfile of HijackThis v1.99.1 Scan saved at 13:58:43, on 07.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\ScanPanel\ScnPanel.exe C:\WINNT\system32\NOTEPAD.EXE G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE ########## Ich führte auch den Befehl netstat -a im "Ausführen" aus. Kopieren konnte ich folgendes: Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP whiteangel:epmap whiteangel:0 ABHÖREN TCP whiteangel:microsoft-ds whiteangel:0 ABHÖREN TCP whiteangel:1025 whiteangel:0 ABHÖREN TCP whiteangel:1026 whiteangel:0 ABHÖREN TCP whiteangel:2222 whiteangel:0 ABHÖREN TCP whiteangel:epmap e176000047.adsl.alicedsl.de:2498 WARTEND TCP whiteangel:epmap e176082202.adsl.alicedsl.de:1679 WARTEND TCP whiteangel:epmap e176107043.adsl.alicedsl.de:36377 SCHLIESSEND TCP whiteangel:epmap e176180008.adsl.alicedsl.de:3276 WARTEND TCP whiteangel:epmap e176180008.adsl.alicedsl.de:4001 WARTEND TCP whiteangel:epmap e176226100.adsl.alicedsl.de:58344 WARTEND TCP whiteangel:epmap e176239212.adsl.alicedsl.de:41958 WARTEND ## Dann geht das Fenster zu. Es standen beim 1.Mal aber noch sehr viele andere IP drauf, die ich aber nicht kopiert habe(mußte erstmal gucken, wie das geht) Mittlerweile blinkt das Fenster bei Befehl nur noch kurz auf und geht sofort wieder zu.:confused: |
Zitat:
START > Ausführen > cmd netstat -ano Wenn Du die Ausgabe Speichern willst, nehme folgendes Komando: netstat -ano > "%userprofile%\Desktop\netstat.log" Die Ausgabe wird dann in die Datei netstat.log auf Deinem Desktop umgeleitet. Wenn Du netstat mehrere Male ausführen willst und den Output von netstat immer an die gleiche Datei anhängen willst nehme folgendes Kommando: netstat -ano >> "%userprofile%\Desktop\netstat.log" Gruß Marc |
Danke Marc - so ist es komfortabler:) # Derzeit also: Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\Dokumente und Einstellungen\*ich*>netstat -a Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP whiteangel:epmap whiteangel:0 ABHÖREN TCP whiteangel:microsoft-ds whiteangel:0 ABHÖREN TCP whiteangel:1025 whiteangel:0 ABHÖREN TCP whiteangel:1026 whiteangel:0 ABHÖREN TCP whiteangel:2222 whiteangel:0 ABHÖREN TCP whiteangel:epmap e176000175.adsl.alicedsl.de:4415 WARTEND TCP whiteangel:epmap e176036219.adsl.alicedsl.de:4846 WARTEND TCP whiteangel:epmap e176059221.adsl.alicedsl.de:4612 WARTEND TCP whiteangel:epmap e176100254.adsl.alicedsl.de:3229 WARTEND TCP whiteangel:epmap e176107043.adsl.alicedsl.de:10034 WARTEND TCP whiteangel:epmap e176182004.adsl.alicedsl.de:3449 WARTEND TCP whiteangel:epmap e176182004.adsl.alicedsl.de:4298 WARTEND TCP whiteangel:epmap e179048153.adsl.alicedsl.de:4101 WARTEND TCP whiteangel:1128 64.12.24.238:5190 HERGESTELLT TCP whiteangel:1043 whiteangel:1044 HERGESTELLT TCP whiteangel:1044 whiteangel:1043 HERGESTELLT TCP whiteangel:1070 whiteangel:1071 HERGESTELLT TCP whiteangel:1071 whiteangel:1070 HERGESTELLT TCP whiteangel:1122 whiteangel:0 ABHÖREN TCP whiteangel:1122 whiteangel:1142 HERGESTELLT TCP whiteangel:1142 whiteangel:1122 HERGESTELLT TCP whiteangel:netbios-ssn whiteangel:0 ABHÖREN UDP whiteangel:microsoft-ds *:* UDP whiteangel:isakmp *:* UDP whiteangel:4500 *:* UDP whiteangel:1123 *:* UDP whiteangel:netbios-ns *:* UDP whiteangel:netbios-dgm *:* UDP whiteangel:isakmp *:* UDP whiteangel:4500 *:* |
Zum Abschluß(?) noch ein highjack.this- log. Weil hier so viele Leute sind, die etwas(Umleitungen etc.) herauslesen können;) Logfile of HijackThis v1.99.1 Scan saved at 10:52:40, on 08.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\ScanPanel\ScnPanel.exe C:\WINNT\System32\cidaemon.exe C:\WINNT\explorer.exe C:\WINNT\ISW\alice\signup\ConnctAs.exe G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1D0A04-EEF8-438F-87E3-295B38A295E8}: NameServer = 213.191.92.82 213.191.74.11 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE Gruß an ALLE! :o |
Noch ein Log von Fixwareout: Hat evl. die letzte Zeile etwas zu bedeuten:confused: Fixwareout Last edited 4/5/2007 Post this report in the forums please ... »»»»»Prerun check »»»»» System restarted »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... »»»»» Misc files. .... »»»»» Checking for older varients. .... Search five digit cs, dm, kd, jb, other, files. The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. Click browse, find the file then click submit. h**p://www.virustotal.com/flash/index_en.html Or h**p://virusscan.jotti.org/ »»»»» Other »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe /logon" "McAfee Guardian"="\"C:\\Programme\\McAfee\\McAfee Shared Components\\Guardian\\CMGrdian.exe\" /SU" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "NWEReboot"="" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» |
Zitat:
|
Zitat:
Nun wird es sicherlich gut sein damit.:rolleyes: # Ich habe mir nochmal die 127.0.0.1- Verbindungen angesehen. Ich kann sie per Firewall(McAfee) blocken, aber irgendwie läuft es etwas flüssiger ohne Blocken. Die 127.0.0.1er verbinden stets 2 meiner eigenen Ports. Mindestens einer verbindet 127.0.0.1 mit 127.0.0.1 Jetzt z.B. verbinden : Remote: 1029 mit Lokal 1028(127.0.0.1 - 127.0.0.1) Remote: 1028 mit Lokal 1029(Me - 127.0.0.1) Remote: 1030 mit Lokal: 1031(Me - 127.0.0.1) Weiß jemand, wofür sowas gut sein kann:confused: Die Ports wechseln...1037-1041, 3211-3213, 1056-1058, .......... Nachdem ich ICQ aus dem Startmenü nahm, scheint es weniger. Ist evl. TeamSpeak(ähnlich Skype), IRC o.ä.? Wenn ich die 127er blocke, gehen diese trotzdem... |
netstat -abn liefert einen wesentlich aufschlussreicheren Output als netstat -a ;) |
Zitat:
########## ################################# Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\Dokumente und Einstellungen\*ich*>netstat -abn Zeigt Protokollstatistik und aktuelle TCP/IP-Netzwerkverbindungen an. NETSTAT [-a] [-e] [-n] [-s] [-p Proto] [-r] [Intervall] -a Zeigt den Status aller Verbindungen an. (Verbindungen des Servers werden normalerweise nicht angezeigt). -e Zeigt die Ethernetstatistik an. Kann mit der Option -s kombiniert werden. -n Zeigt Adressen und Portnummern numerisch an. -p Proto Zeigt Verbindungen für das mit Proto angegebene Protokoll an. Proto kann TCP oder UDP sein. Bei Verwendung mit der Option -s kann Proto TCP, UDP oder IP sein. -r Zeigt den Inhalt der Routingtabelle an. -s Zeigt Statistik protokollweise an. Standardmäßig werden TCP,UDP und IP angezeigt. Mit der Option -p können Sie dies weiter einschränken. Intervall Zeigt die gewählte Statistik nach der mit Intervall angege- benen Anzahl von Sekunden erneut an. Drücken Sie STRG+C zum Beenden der Intervallanzeige. Ohne Intervallangabe werden die aktuellen Konfigurationsinformationen einmalig angezeigt. C:\Dokumente und Einstellungen\*ich*> ################################# Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\Dokumente und Einstellungen\*ich*>netstat -a Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP whiteangel:epmap whiteangel:0 ABHÖREN TCP whiteangel:microsoft-ds whiteangel:0 ABHÖREN TCP whiteangel:1025 whiteangel:0 ABHÖREN TCP whiteangel:1026 whiteangel:0 ABHÖREN TCP whiteangel:2222 whiteangel:0 ABHÖREN TCP whiteangel:epmap e176087115.adsl.alicedsl.de:1454 WARTEND TCP whiteangel:epmap e176163082.adsl.alicedsl.de:2027 WARTEND TCP whiteangel:epmap e176173075.adsl.alicedsl.de:3616 FIN_WARTEN_2 TCP whiteangel:epmap e176173075.adsl.alicedsl.de:4546 FIN_WARTEN_2 TCP whiteangel:epmap e176224041.adsl.alicedsl.de:3232 WARTEND TCP whiteangel:epmap e176234208.adsl.alicedsl.de:3729 WARTEND TCP whiteangel:epmap e176243038.adsl.alicedsl.de:41284 WARTEND TCP whiteangel:epmap e179202067.adsl.alicedsl.de:3339 WARTEND TCP whiteangel:1028 whiteangel:1029 HERGESTELLT TCP whiteangel:1029 whiteangel:1028 HERGESTELLT TCP whiteangel:1030 whiteangel:1031 HERGESTELLT TCP whiteangel:1031 whiteangel:1030 HERGESTELLT TCP whiteangel:netbios-ssn whiteangel:0 ABHÖREN UDP whiteangel:microsoft-ds *:* UDP whiteangel:isakmp *:* UDP whiteangel:4500 *:* UDP whiteangel:netbios-ns *:* UDP whiteangel:netbios-dgm *:* UDP whiteangel:isakmp *:* UDP whiteangel:4500 *:* C:\Dokumente und Einstellungen\*ich*> ################################# Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\Dokumente und Einstellungen\*ich*>netstat -n Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP 85.176.97.38:135 85.176.24.232:1858 WARTEND TCP 85.176.97.38:135 85.176.85.162:3384 WARTEND TCP 85.176.97.38:135 85.176.125.20:52975 WARTEND TCP 85.176.97.38:135 85.176.126.118:62038 WARTEND TCP 85.176.97.38:135 85.176.154.13:2861 WARTEND TCP 85.176.97.38:135 85.176.237.12:3767 FIN_WARTEN_2 TCP 85.176.97.38:135 85.176.255.151:18423 WARTEND TCP 127.0.0.1:1028 127.0.0.1:1029 HERGESTELLT TCP 127.0.0.1:1029 127.0.0.1:1028 HERGESTELLT TCP 127.0.0.1:1030 127.0.0.1:1031 HERGESTELLT TCP 127.0.0.1:1031 127.0.0.1:1030 HERGESTELLT C:\Dokumente und Einstellungen\*ich*> Seht Ihr da was? |
Zitat:
Schau Dir die Sache mal mit TCPView for Windows v2.4 an. |
Mein Englisch ist echt schon einige -zig(20) Jahre alt... Ich hab ja auch noch W2000... TCP-View...meint wohl, daß es Einzelheiten der Ports anzeigt, für wen auch immer. Muß/kann das überhaupt weg? # edit: Habe gerade die dt. Seite gefunden h**p://www.microsoft.com/germany/technet/sysinternals/utilities/TcpView.mspx Das Programm brauche ich doch also, um die Netstat- Befehle zu geben...warum sollte es weg? Oder soll Windows weg?:eek: |
Zitat:
Ich sagte, Du mögest Dir bitte TCPView runterladen um damit Deine Verbindungen zu überprüfen (da netstat bei XP Home kastriert zu sein scheint). Ich sagte nichts von wegen irgendwas entfernen und schon gar nicht etwas davon, Windows zu entfernen... |
OK. TCPVIEW zeigt: [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176043011.adsl.alicedsl.de:2287 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176112213.adsl.alicedsl.de:1515 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176123239.adsl.alicedsl.de:4588 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176226136.adsl.alicedsl.de:4091 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap 85.176.170.5:2892 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:1046 kr-in-f165.google.com:http TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:1050 au-in-f99.google.com:http TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:1062 81.23.243.153:http TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:1077 85.183.248.197:http TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176152145.adsl.alicedsl.de:3873 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176248027.adsl.alicedsl.de:3036 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176237012.adsl.alicedsl.de:18705 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap 85.176.8.24:4157 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap 85.176.116.0:4823 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:1123 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap e176250119.adsl.alicedsl.de:2950 TIME_WAIT [System Process]:0 TCP e176127064.adsl.alicedsl.de:epmap 85.176.126.204:3635 TIME_WAIT firefox.exe:1364 TCP e176127064.adsl.alicedsl.de:1059 wwwtk2test2.microsoft.com:http ESTABLISHED firefox.exe:1364 TCP e176127064.adsl.alicedsl.de:1060 wwwtk2test2.microsoft.com:http ESTABLISHED firefox.exe:1364 TCP e176127064.adsl.alicedsl.de:1066 81.23.243.145:http ESTABLISHED firefox.exe:1364 TCP e176127064.adsl.alicedsl.de:1067 81.23.243.145:http ESTABLISHED firefox.exe:1364 TCP whiteangel:1028 localhost:1029 ESTABLISHED firefox.exe:1364 TCP whiteangel:1029 localhost:1028 ESTABLISHED firefox.exe:1364 TCP whiteangel:1030 localhost:1031 ESTABLISHED firefox.exe:1364 TCP whiteangel:1031 localhost:1030 ESTABLISHED firefox.exe:1364 TCP e176127064.adsl.alicedsl.de:1126 ed-in-f99.google.com:http ESTABLISHED LEXPPS.EXE:524 TCP whiteangel:1025 whiteangel:0 LISTENING LSASS.EXE:232 UDP e176127064.adsl.alicedsl.de:isakmp *:* LSASS.EXE:232 UDP e176127064.adsl.alicedsl.de:4500 *:* LSASS.EXE:232 UDP whiteangel:isakmp *:* LSASS.EXE:232 UDP whiteangel:4500 *:* mstask.exe:764 TCP whiteangel:1026 whiteangel:0 LISTENING MWAGENT.EXE:740 TCP whiteangel:2222 whiteangel:0 LISTENING svchost.exe:424 TCP e176127064.adsl.alicedsl.de:epmap 85.176.152.227:22917 CLOSING svchost.exe:424 TCP whiteangel:epmap whiteangel:0 LISTENING System:8 TCP whiteangel:microsoft-ds whiteangel:0 LISTENING System:8 TCP whiteangel:netbios-ssn whiteangel:0 LISTENING System:8 UDP whiteangel:microsoft-ds *:* System:8 UDP whiteangel:netbios-ns *:* System:8 UDP whiteangel:netbios-dgm *:* ########### Ab und an blinken einige Zeilen grun, gelb und rot auf.... |
Zitat:
Zitat:
Pst, der TO hat doch Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106):heilig: Gruß cad |
@cad Danke. Ich glaub ich werde alt (schreibe ich heute schon zum zweiten Mal). Windows-Dienste abschalten |
OK. TCPVIEW sieht nun kürzer aus: [System Process]:0 TCP e176097130.adsl.alicedsl.de:1124 omniture.122.2o7.net:https TIME_WAIT [System Process]:0 TCP e176097130.adsl.alicedsl.de:1125 omniture.122.2o7.net:https TIME_WAIT [System Process]:0 TCP e176097130.adsl.alicedsl.de:1131 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176097130.adsl.alicedsl.de:1132 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176097130.adsl.alicedsl.de:1135 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176097130.adsl.alicedsl.de:1136 dd17134.kasserver.com:http TIME_WAIT firefox.exe:896 TCP e176097130.adsl.alicedsl.de:1134 gv-in-f167.google.com:http ESTABLISHED firefox.exe:896 TCP e176097130.adsl.alicedsl.de:1138 ed-in-f147.google.com:http ESTABLISHED firefox.exe:896 TCP whiteangel:1116 localhost:1117 ESTABLISHED firefox.exe:896 TCP whiteangel:1117 localhost:1116 ESTABLISHED firefox.exe:896 TCP whiteangel:1118 localhost:1119 ESTABLISHED firefox.exe:896 TCP whiteangel:1119 localhost:1118 ESTABLISHED MWAGENT.EXE:636 TCP whiteangel:2222 whiteangel:0 LISTENING ########## Die 127.0.0.1 zu 127.0.0.1 -er sind allerdings immer noch dabei.;) |
Zitat:
Mich irritieren (und Dich hoffentlich auch) vielmehr die Systemprozesseinträge (PID 0) mit schrägen Portnummern. Ich meditiere kurz ne Runde darüber. |
Der 122.2o7.net, auch Hasenet genannt, verpaßt mir auch Cookies, wenn nicht so aufpasse. Ich bin bei Hansenet per Alice, nicht bei Hasenet . "Es" wundert mich ergo auch schon länger. :confused: ### Nach bloßem Einloggen per Alice(ohne Browser) sieht es so aus: [System Process]:0 TCP e176121143.adsl.alicedsl.de:1667 ed-in-f104.google.com:http TIME_WAIT [System Process]:0 TCP e176121143.adsl.alicedsl.de:1680 ug-in-f164.google.com:http TIME_WAIT [System Process]:0 TCP whiteangel:1390 localhost:1389 TIME_WAIT dplaysvr.exe:804 TCP whiteangel:47624 whiteangel:0 LISTENING dplaysvr.exe:804 UDP whiteangel:1375 *:* dplaysvr.exe:804 UDP whiteangel:1377 *:* dplaysvr.exe:804 UDP whiteangel:47624 *:* dplaysvr.exe:804 UDP e176103108.adsl.alicedsl.de:39852 *:* MWAGENT.EXE:636 TCP whiteangel:2222 whiteangel:0 LISTENING ##### aktuell: dplaysvr.exe:804 TCP whiteangel:47624 whiteangel:0 LISTENING dplaysvr.exe:804 UDP whiteangel:1375 *:* dplaysvr.exe:804 UDP whiteangel:1377 *:* dplaysvr.exe:804 UDP whiteangel:47624 *:* dplaysvr.exe:804 UDP e176103108.adsl.alicedsl.de:39852 *:* firefox.exe:740 TCP e176103108.adsl.alicedsl.de:1859 nf-in-f99.google.com:http ESTABLISHED firefox.exe:740 TCP e176103108.adsl.alicedsl.de:1861 lm-in-f147.google.com:http ESTABLISHED firefox.exe:740 TCP e176103108.adsl.alicedsl.de:1863 nf-in-f103.google.com:http ESTABLISHED firefox.exe:740 TCP whiteangel:1703 localhost:1704 ESTABLISHED firefox.exe:740 TCP whiteangel:1704 localhost:1703 ESTABLISHED firefox.exe:740 TCP whiteangel:1705 localhost:1706 ESTABLISHED firefox.exe:740 TCP whiteangel:1706 localhost:1705 ESTABLISHED firefox.exe:740 TCP e176103108.adsl.alicedsl.de:1883 ug-in-f93.google.com:http ESTABLISHED MWAGENT.EXE:636 TCP whiteangel:2222 whiteangel:0 LISTENING |
Ich gehe ins Netz und habe inetwa: [System Process]:0 TCP e176104209.adsl.alicedsl.de:1562 66.150.208.54:https TIME_WAIT [System Process]:0 TCP e176115052.adsl.alicedsl.de:1500 ik-in-f104.google.com:http TIME_WAIT [System Process]:0 TCP e176115052.adsl.alicedsl.de:1516 ug-in-f91.google.com:http TIME_WAIT firefox.exe:1148 TCP whiteangel:1548 localhost:1549 ESTABLISHED firefox.exe:1148 TCP whiteangel:1549 localhost:1548 ESTABLISHED firefox.exe:1148 TCP whiteangel:1552 localhost:1553 ESTABLISHED firefox.exe:1148 TCP whiteangel:1553 localhost:1552 ESTABLISHED MWAGENT.EXE:644 TCP whiteangel:2222 whiteangel:0 LISTENING ...wobei oben erstmal 4 Systemprozesse sind...dann werden es weniger.... Bis gar keine mehr angezeigt werden: firefox.exe:1148 TCP whiteangel:1548 localhost:1549 ESTABLISHED firefox.exe:1148 TCP whiteangel:1549 localhost:1548 ESTABLISHED firefox.exe:1148 TCP whiteangel:1552 localhost:1553 ESTABLISHED firefox.exe:1148 TCP whiteangel:1553 localhost:1552 ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1570 ug-in-f93.google.com:http ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1578 kr-in-f164.google.com:http ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1581 ed-in-f99.google.com:http ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1582 kr-in-f164.google.com:http ESTABLISHED MWAGENT.EXE:644 TCP whiteangel:2222 whiteangel:0 LISTENING ######### Dann komme ich hierher und: [System Process]:0 TCP e176104209.adsl.alicedsl.de:1575 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176104209.adsl.alicedsl.de:1573 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176104209.adsl.alicedsl.de:1601 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176104209.adsl.alicedsl.de:1605 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176104209.adsl.alicedsl.de:1607 dd17134.kasserver.com:http TIME_WAIT [System Process]:0 TCP e176104209.adsl.alicedsl.de:1611 dd17134.kasserver.com:http TIME_WAIT firefox.exe:1148 TCP whiteangel:1548 localhost:1549 ESTABLISHED firefox.exe:1148 TCP whiteangel:1549 localhost:1548 ESTABLISHED firefox.exe:1148 TCP whiteangel:1552 localhost:1553 ESTABLISHED firefox.exe:1148 TCP whiteangel:1553 localhost:1552 ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1570 ug-in-f93.google.com:http CLOSE_WAIT firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1578 kr-in-f164.google.com:http ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1581 ed-in-f99.google.com:http ESTABLISHED firefox.exe:1148 TCP e176104209.adsl.alicedsl.de:1582 kr-in-f164.google.com:http ESTABLISHED MWAGENT.EXE:644 TCP whiteangel:2222 whiteangel:0 LISTENING ######### Bleibe ich hier und mache nichts, hören die Pozesse auf. ##### Ist DAS die normale Aktivität von Hansenet-Alice? Dann bitte ich Entschuldigung für die Störung hier:confused: (Warum sich meine Ports über das Internet miteinander verknüpfen müssen, werde ich wohl auch paar Jahre nicht begreifen. Intern gibt es bestimmt schnellere Wege..) Wahrscheinlich sollte aber ein Schwein(ich) nicht so tief ins Uhrwerk(der Kasten hier) gucken:D :rolleyes: |
Zitat:
Zitat:
Zitat:
Bsp.: AntiVir-Updateservice lauscht auf Port xyz auf Kommandos vom AntivIr-Hauptprogramm. Das Hauptprogramm sendet etwas an die Adresse 127.0.0.1 Port xyz. Windows weiss dass 127.0.0.1 (auch localhost genannt) es selbst ist und schickt die Daten nicht raus, sondern leitet sie intern an den Port xyz um. |
Dann bedanke ich mich für die aufschlußreichen Tipps. Ihr kennt hier echt viele Mittelchen. Sie werden hier in Arbeitsreichweite gehalten:) Ich kontaktiere mal das Hansenet/Alice- Nutzerforum in Bezug auf die Ungereimtheiten in Ablauf und Ansicht der Providertechnik. :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board