Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Netzwerk Ein- und Ausgangsverkehr (https://www.trojaner-board.de/73606-netzwerk-ausgangsverkehr.html)

xeed 28.05.2009 22:21
Netzwerk Ein- und Ausgangsverkehr
 
Moin,
ich hab mir nun leider auch endlich ma was ordentliches eingefangen.

Syptome sind hauptsächlich verdammt hohe Netzwerkauslastung und subtile Änderungen an Software Einstellungen (Anti Vir aus, andere Progs gestartet)

Ich hab mal Fport genutzt und mir den Datenverkehr anzusehen.

Code:
Pid  Process            Port  Proto Path
2424                ->  1026  TCP
1412                ->  135  TCP
4    System        ->  139  TCP
0    System        ->  1844  TCP
4    System        ->  445  TCP
1740  firefox        ->  1354  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1355  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1356  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1357  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1793  TCP  C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin        ->  1693  TCP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1704  TCP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1853  TCP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1868  TCP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1881  TCP  C:\Programme\Pidgin\pidgin.exe

1412                ->  445  UDP
2424                ->  917  UDP
0    System        ->  137  UDP
0    System        ->  138  UDP
4    System        ->  1856  UDP
0    System        ->  1884  UDP
0    System        ->  1900  UDP
4    System        ->  500  UDP
1740  firefox        ->  1127  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  123  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1874  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4040  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4500  UDP  C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin        ->  123  UDP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1857  UDP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1873  UDP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1885  UDP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1900  UDP  C:\Programme\Pidgin\pidgin.exe


C:\>fport.exe /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid  Process            Port  Proto Path
2424                ->  1026  TCP
1412                ->  135  TCP
4    System        ->  139  TCP
0    System        ->  1844  TCP
4    System        ->  445  TCP
1740  firefox        ->  1354  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1355  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1356  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1357  TCP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1793  TCP  C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin        ->  1853  TCP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1868  TCP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1881  TCP  C:\Programme\Pidgin\pidgin.exe

1412                ->  445  UDP
2424                ->  917  UDP
0    System        ->  123  UDP
0    System        ->  137  UDP
0    System        ->  138  UDP
4    System        ->  1856  UDP
0    System        ->  1873  UDP
0    System        ->  1900  UDP
4    System        ->  500  UDP
1740  firefox        ->  1127  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  123  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  1857  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4040  UDP  C:\Programme\Mozilla Firefox\firefox.exe
1740  firefox        ->  4500  UDP  C:\Programme\Mozilla Firefox\firefox.exe
3984  pidgin        ->  1874  UDP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1884  UDP  C:\Programme\Pidgin\pidgin.exe
3984  pidgin        ->  1885  UDP  C:\Programme\Pidgin\pidgin.exe


C:\>
C:\>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse        Remoteadresse          Status
  TCP    pcname:epmap    pcname:0        ABHÖREN
  TCP    pcname:microsoft-ds  pc-alexander:0        ABHÖREN
  TCP    pcname:1026      pcname:0        ABHÖREN
  TCP    pcname:1354      localhost:1355        HERGESTELLT
  TCP    pcname:1355      localhost:1354        HERGESTELLT
  TCP    pcname:1356      localhost:1357        HERGESTELLT
  TCP    pcname:1357      localhost:1356        HERGESTELLT
  TCP    pcname:netbios-ssn  pcname:0        ABHÖREN
  TCP    pcname:1853      205.188.7.210:5190    HERGESTELLT
  TCP    pcname:1868      buddychat-d01b.blue.aol.com:5190  HERGESTELLT
  TCP    pcname:1881      205.188.13.16:5190    HERGESTELLT
  TCP    pcname:1909      213.95.1.55:http      WARTEND
  UDP    pcname:microsoft-ds  *:*
  UDP    pcname:isakmp    *:*
  UDP    pcname:917      *:*
  UDP    pcname:4040      *:*
  UDP    pcname:4500      *:*
  UDP    pcname:ntp      *:*
  UDP    pcname:1127      *:*
  UDP    pcname:1856      *:*
  UDP    pcname:1857      *:*
  UDP    pcname:1873      *:*
  UDP    pcname:1874      *:*
  UDP    pcname:1884      *:*
  UDP    pcname:1885      *:*
  UDP    pcname:1900      *:*
  UDP    pcname:ntp      *:*
  UDP    pcname:netbios-ns  *:*
  UDP    pcname:netbios-dgm  *:*
  UDP    pcname:1900      *:*

C:\>
Hjoa... ich find vor allem:

Code:
TCP    pcname:epmap    pcname:0        ABHÖREN
TCP    pcname:microsoft-ds  pc-alexander:0        ABHÖREN 
TCP    pcname:1909      213.95.1.55:http      WARTEND
ziemlich bedenklich...

Vielleicht kann ja schon wer damit was anfangen, ansonsten HiJack ich das jetz ma...

Dank an euch ^^

xeed 28.05.2009 22:41
So HiJackFile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:13, on 28.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\NSLU2 Flash Map Utility\StorageLink.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Erinnerung\erinnerung.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Pidgin\pidgin.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {59C71D45-A613-437C-AB95-E563F5A8B614} - C:\WINDOWS\system32\ssqQjJDs.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {8C57CB69-EC1F-4FF3-916F-52151AABC187} - C:\WINDOWS\system32\awtqrsPH.dll (file missing)
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM17d5754b] Rundll32.exe "C:\WINDOWS\system32\jbdibkhf.dll",s
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NSLU2 Flash Map Utility] D:\Programme\NSLU2 Flash Map Utility\StorageLink.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSetup] C:\DOKUME~1\***\LOKALE~1\Temp\QuickCam_11.0.0\setup.exe /skip_all_checks /p  /start /restart /l:deu
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Erinnerung.lnk = C:\Programme\Erinnerung\erinnerung.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: awtqrsPH - awtqrsPH.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Hoffe hab alles gut rausgestrichen...

xeed 29.05.2009 00:52
Kann mir keiner helfen?

Wenn ihr mehr Daten braucht, sagt bescheid... Da muss ja was zu machen sein...


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:40 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129