ständig ungewollte Einwahl ins Internet

#0
19.07.2004, 15:15
...neu hier

Beiträge: 3
#1 Hallo zusammen.

Ich habe einen Rechner Win2000, angeschlossen via DSL-Router SMC 7008BR ans Internet.

Ich habe das Problem, das er sich ständig ins Internet einwählt.

Ich wollte mich mal im abgesicherten Modus einloggen und einen Virenscan machen. Ich komme bis zum Login-Screen. Tastatur und Maus funktionieren jedoch nicht.

Ich habe mit eScan einen Durchlauf gemacht, der findet nur 2 Errors ASUSWHIO und was mit mtxvd im Bereich Services.

Ich hänge euch mal das Log von HijackThis mal ran.
Vielleicht könnt Ihr mir ja helfen. Danke schon mal.


###
Logfile of HijackThis v1.98.0
Scan saved at 14:53:13, on 19.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und
Einstellungen\Kaiser.VEWBM\Desktop\downloads_quint\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe
/Autolaunch
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame
Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk =
C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search -
res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links -
res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -
res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages -
res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -
http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vewbm
O17 -
HKLM\System\CCS\Services\Tcpip\..\{12A5881A-0260-4147-BD63-9C85A29BFD36}:
NameServer = 10.0.0.1,10.0.0.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vewbm
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vewbm
Seitenanfang Seitenende
19.07.2004, 20:47
Member

Beiträge: 686
#2 Grüß dich, Mozart,

ich bin kein HijackThis-Experte, aber wenn die anderen feststellen, dass dein System sauber ist, dann kann es auch an fehlenden Einträgen in der HOSTS-Datei liegen. Das Problem hatte ich nämlich auch bei meinem SMC7004. Der kannte, warum weiß ich nicht, die Namen der am Routernetz beteiligten Rechner nicht und ging dann erstmal ins Netz, um eine DNS-Anfrage zu starten.
Dieser Mist hörte sofort auf, als ich alle Rechner mit ihrem Namen und ihrer IP in die Datei HOSTS aller Rechner eingetragen hatte. Allerdings musste ich dabei auf die Zuweisung der IPs über DHCP verzichten, bzw. ich habe DHCP gelassen, aber die MAC-Adresse jedes Rechners an eine feste IP gebunden.

Gruß Reinhart
Seitenanfang Seitenende
20.07.2004, 08:07
...neu hier

Themenstarter

Beiträge: 3
#3 Also die Rechner sind alle mit festen IP's im Netz. DHCP ist aus.
Im Log vom 1und1 - Zugang ist ein kontinuierlicher Rhytmus zu sehen.
Alle paar Minuten (zwischen 4-und 12 Min) geht er für ein paar Minuten ins Netz.
Seitenanfang Seitenende
20.07.2004, 11:52
Moderator

Beiträge: 7805
#4 Schon mal mit tcpview kontrolliert, was ins internet geht?
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.07.2004, 11:42
...neu hier

Themenstarter

Beiträge: 3
#5 Also ich hab jetzt mal über Nacht den Rechner laufen lassen und ich sehe jetzt welche Prozesse laufen. Er greift also intervallmäßig auf die IP 192.175.48.1 zu. Ist was von IANA. Nun weiss ich nicht mehr weiter.

Vielleicht könnt Ihr ja weiterhelfen.
Ich komme ausserdem immer noch nicht in den abgesicherten Modus?

hier also das Log.

Danke für Eure Hilfe

[21.07.2004 02:32:41] UDP 0.0.0.0 :3453 0.0.0.0 :0 LISTENING
[21.07.2004 02:33:11] TCP 10.0.0.111 :3457 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:33:11] TCP 10.0.0.111 :3459 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:33:11] TCP 10.0.0.111 :3461 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:37:45] UDP 0.0.0.0 :3463 0.0.0.0 :0 LISTENING
[21.07.2004 02:38:16] TCP 10.0.0.111 :3467 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:38:16] TCP 10.0.0.111 :3469 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:38:16] TCP 10.0.0.111 :3471 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:43:20] TCP 0.0.0.0 :3472 0.0.0.0 :0 LISTENING
[21.07.2004 02:43:20] TCP 10.0.0.111 :3472 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 02:44:21] TCP 10.0.0.111 :3472 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 02:44:21] TCP 10.0.0.111 :3479 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:44:21] TCP 10.0.0.111 :3481 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:44:21] TCP 10.0.0.111 :3482 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:47:23] TCP 0.0.0.0 :3487 0.0.0.0 :0 LISTENING
[21.07.2004 02:47:23] TCP 10.0.0.111 :3483 10.0.0.1 :epmap TIME_WAIT
[21.07.2004 02:47:23] TCP 10.0.0.111 :3484 10.0.0.1 :1026 TIME_WAIT
[21.07.2004 02:47:23] TCP 10.0.0.111 :3486 10.0.0.1 :epmap TIME_WAIT
[21.07.2004 02:47:23] TCP 10.0.0.111 :3487 10.0.0.1 :1026 ESTABLISHED
[21.07.2004 02:47:23] TCP 10.0.0.111 :3488 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:47:23] TCP 10.0.0.111 :3489 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:48:25] TCP 10.0.0.111 :3487 10.0.0.1 :1026 TIME_WAIT
[21.07.2004 02:48:25] TCP 10.0.0.111 :3497 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:48:25] TCP 10.0.0.111 :3499 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:48:25] TCP 10.0.0.111 :3501 192.175.48.1 :domain TIME_WAIT
[21.07.2004 02:51:28] TCP 10.0.0.111 :3502 10.0.0.1 :epmap TIME_WAIT
[21.07.2004 02:51:28] TCP 10.0.0.111 :3503 10.0.0.1 :1026 TIME_WAIT
[21.07.2004 02:51:28] TCP 10.0.0.111 :3506 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:51:28] TCP 10.0.0.111 :3507 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 02:53:00] UDP 0.0.0.0 :3510 0.0.0.0 :0 LISTENING
[21.07.2004 02:58:34] TCP 0.0.0.0 :3513 0.0.0.0 :0 LISTENING
[21.07.2004 02:58:34] TCP 10.0.0.111 :3513 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 02:59:05] TCP 10.0.0.111 :3513 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 03:13:17] TCP 0.0.0.0 :3517 0.0.0.0 :0 LISTENING
[21.07.2004 03:13:17] TCP 10.0.0.111 :3517 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 03:14:48] TCP 10.0.0.111 :3517 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 03:28:30] TCP 0.0.0.0 :3520 0.0.0.0 :0 LISTENING
[21.07.2004 03:28:30] TCP 10.0.0.111 :3520 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 03:29:30] TCP 10.0.0.111 :3520 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 03:43:12] TCP 0.0.0.0 :3523 0.0.0.0 :0 LISTENING
[21.07.2004 03:43:12] TCP 10.0.0.111 :3523 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 03:44:43] TCP 10.0.0.111 :3523 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 03:48:16] UDP 0.0.0.0 :3527 0.0.0.0 :0 LISTENING
[21.07.2004 03:48:47] TCP 10.0.0.111 :3531 192.175.48.1 :domain TIME_WAIT
[21.07.2004 03:48:47] TCP 10.0.0.111 :3535 192.175.48.1 :domain TIME_WAIT
[21.07.2004 03:53:51] TCP 10.0.0.111 :3541 192.175.48.1 :domain TIME_WAIT
[21.07.2004 03:53:51] TCP 10.0.0.111 :3543 192.175.48.1 :domain TIME_WAIT
[21.07.2004 03:53:51] TCP 10.0.0.111 :3545 192.175.48.1 :domain TIME_WAIT
[21.07.2004 03:58:25] TCP 0.0.0.0 :3546 0.0.0.0 :0 LISTENING
[21.07.2004 03:58:25] TCP 10.0.0.111 :3546 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 03:59:26] TCP 10.0.0.111 :3546 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 04:03:59] TCP 10.0.0.111 :3553 192.175.48.1 :domain TIME_WAIT
[21.07.2004 04:03:59] TCP 10.0.0.111 :3555 192.175.48.1 :domain TIME_WAIT
[21.07.2004 04:03:59] TCP 10.0.0.111 :3557 192.175.48.1 :domain TIME_WAIT
[21.07.2004 04:13:07] TCP 0.0.0.0 :3558 0.0.0.0 :0 LISTENING
[21.07.2004 04:13:07] TCP 10.0.0.111 :3558 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 04:14:08] TCP 10.0.0.111 :3558 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 04:28:20] TCP 0.0.0.0 :3560 0.0.0.0 :0 LISTENING
[21.07.2004 04:28:20] TCP 10.0.0.111 :3560 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 04:29:51] TCP 10.0.0.111 :3560 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 04:37:27] TCP 0.0.0.0 :3567 0.0.0.0 :0 LISTENING
[21.07.2004 04:37:27] TCP 10.0.0.111 :3563 10.0.0.1 :epmap TIME_WAIT
[21.07.2004 04:37:27] TCP 10.0.0.111 :3564 10.0.0.1 :1026 TIME_WAIT
[21.07.2004 04:37:27] TCP 10.0.0.111 :3566 10.0.0.1 :epmap TIME_WAIT
[21.07.2004 04:37:27] TCP 10.0.0.111 :3567 10.0.0.1 :1026 ESTABLISHED
[21.07.2004 04:37:27] TCP 10.0.0.111 :3568 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 04:37:27] TCP 10.0.0.111 :3569 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 04:38:29] TCP 10.0.0.111 :3567 10.0.0.1 :1026 TIME_WAIT
[21.07.2004 04:42:32] TCP 10.0.0.111 :3571 10.0.0.1 :epmap TIME_WAIT
[21.07.2004 04:42:32] TCP 10.0.0.111 :3572 10.0.0.1 :1026 TIME_WAIT
[21.07.2004 04:42:32] TCP 10.0.0.111 :3575 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 04:42:32] TCP 10.0.0.111 :3577 10.0.0.1 :ldap TIME_WAIT
[21.07.2004 04:43:32] TCP 0.0.0.0 :3579 0.0.0.0 :0 LISTENING
[21.07.2004 04:43:32] TCP 10.0.0.111 :3579 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 04:44:33] TCP 10.0.0.111 :3579 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 04:58:12] TCP 10.0.0.111 :3582 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 04:58:12] TCP 10.0.0.111 :3583 0.0.0.0 :0 LISTENING
[21.07.2004 04:58:12] TCP 10.0.0.111 :3583 10.0.0.1 :netbios-ssn ESTABLISHED
[21.07.2004 04:59:12] TCP 10.0.0.111 :3583 10.0.0.1 :netbios-ssn TIME_WAIT
[21.07.2004 05:04:16] TCP 10.0.0.111 :3591 192.175.48.1 :domain TIME_WAIT
[21.07.2004 05:04:16] TCP 10.0.0.111 :3593 192.175.48.1 :domain TIME_WAIT
[21.07.2004 05:09:19] UDP 0.0.0.0 :3595 0.0.0.0 :0 LISTENING
[21.07.2004 05:13:21] TCP 0.0.0.0 :3596 0.0.0.0 :0 LISTENING
[21.07.2004 05:13:21] TCP 10.0.0.111 :3596 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 05:14:22] TCP 10.0.0.111 :3596 10.0.0.1 :microsoft-ds TIME_WAIT
[21.07.2004 05:19:25] UDP 0.0.0.0 :3599 0.0.0.0 :0 LISTENING
[21.07.2004 05:19:55] TCP 10.0.0.111 :3603 192.175.48.1 :domain TIME_WAIT
[21.07.2004 05:19:55] TCP 10.0.0.111 :3605 192.175.48.1 :domain TIME_WAIT
[21.07.2004 05:19:55] TCP 10.0.0.111 :3607 192.175.48.1 :domain TIME_WAIT
[21.07.2004 05:28:31] TCP 0.0.0.0 :3608 0.0.0.0 :0 LISTENING
[21.07.2004 05:28:31] TCP 10.0.0.111 :3608 10.0.0.1 :microsoft-ds ESTABLISHED
[21.07.2004 05:29:31] TCP 10.0.0.111 :3608 10.0.0.1 :microsoft-ds TIME_WAIT
Seitenanfang Seitenende
22.07.2004, 19:20
Member

Beiträge: 686
#6 Ich kann aus diesem Log nicht so viel erkennen, denn man braucht die Informationen: Wer geht mit welchem Protokoll zuerst ins Netz und welche Verbindung wird dann hergestellt? Ich nehme mal an, du bist die 10.0.0.111, dann gibts da noch n Server oder nen anderen mit ...1 in einer Workgroup. Die Verbindung könnte gut eine DNS-Anfrage sein, aber genaues weiß man nicht.

Für solche Sachen brauchst du nen Sniffer, der sagt dir genau welcher Prozess mit welchem Port und welchem Ziel und so weiter du Traffic hast. Der Haken ist: Durch nen Sniffer muss man erstmal durchsteigen, dessen Logs sind nicht einfach zu verstehen.
Zur Not tuts auch das Log einer guten Firewall, also meine (Outpost PRO) zeigt schon ziemlich genau an, wer wie ins Netz geht.

Gruß Reinhart
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: