komischer Traffic auf port 135 - svchost.exe |
||
---|---|---|
#0
| ||
16.01.2007, 23:03
...neu hier
Beiträge: 9 |
||
|
||
17.01.2007, 01:18
Ehrenmitglied
Beiträge: 29434 |
#2
1.
poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. versuche es hiermit rauszufinden: http://virus-protect.org/artikel/tools/portexplorer.html http://virus-protect.org/artikel/tools/tcpview.html IceSword - laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module darstellen http://virus-protect.org/artikel/tools/icesword.html Port Authority Edition , Internet Vulnerability Profiling http://virus-protect.org/portauthority.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.01.2007, 09:23
...neu hier
Themenstarter Beiträge: 9 |
#3
Danke schön. Werd ich heute abend gleich mal testen.
Hab heute nacht mal Knoppicillin drüber gejagt (mit 3 Virenscannern). Er hat 1 Datei gefunden die infiziert war. Aber irgendwie hat er mir nicht verraten welche :/ |
|
|
||
17.01.2007, 09:55
Ehrenmitglied
Beiträge: 29434 |
#4
du kannst das log von combofix hier posten und von allen anderen Proggies, wenn sie etwas aufzeigen - berichten
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.01.2007, 14:09
...neu hier
Themenstarter Beiträge: 9 |
#5
Werd ich tun. Ich bin mir übrigens recht sicher, dass das von innen kommt.
http://virus-protect.org/portauthority.html hab ich nämlich schon gemacht, ( das meinte ich mit externen "Scandiensten" ). Und da war alles grasgrün. Dieses "phänomen" wurde bereits bei 2 PC's im Subnet beobachtet (jeweils mit anderen peer-ip's). Vorgestern bei meinem PC. Gestern bei dem meines Bruders. Ich hatte das problem gestern abend dann erstmal dadurch "gelöst", dass ich auf dem Vigor-Router alles was auf Port 135 nach draußen geht auch gesperrt hab. Ansich sperrt man ja nur alles ungewollte, das von außen rein kommt. Ich hoffe, dass sich auch wieder was rührt, wenn ich den Port wieder öffne. Weil sonst kann ich mit den netten Tools da oben auch nix finden. Eigentlich wär es mir lieber wenn ich was finde, weil sonst bleibt ewig dieser fade beigeschmack, "da ist doch irgendwas...". |
|
|
||
17.01.2007, 16:07
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.01.2007, 21:22
...neu hier
Themenstarter Beiträge: 9 |
#7
Das Problem ist so nicht mehr aufgetreten. Kann auch nix weiter finden. Habe jetzt allerdings eine neue Kuriosität. Auf meinem Router findet sich eine Verbindung von sub-ip 192.168.1.130 auf port 25 nach außen. Die verbindung geht zum yahoo mailserver. Soweit so gut. Es gibt keinen PC mit dieser sub-ip. die pc's hier haben hard kodierte ips und nutzen dhcp nicht. und die .130 ist nicht darunter. WLAN ist auch ausgeschaltet.
Gibt es Trojaner oder sonstewas, die sich über die selbe NW-karte mit einer anderen ip ans netz hängen können !? |
|
|
||
30.01.2007, 18:18
...neu hier
Themenstarter Beiträge: 9 |
#8
Sooo. Konnte den "übeltäter" finden. Es ist die svchost.exe. Nach wie vor:
TCP 192.168.1.11 : 4376 223.1.1.128 : 135 SYN_SENT 1860 C:\WINDOWS\System32\SVCHOST.EXE Was ist das? Symatec antivirus sagt nix. :/. Irgendeine Idee was zu tun ist? |
|
|
||
30.01.2007, 23:39
Member
Beiträge: 647 |
#9
Möglich wäre ein Virus oder Wurm, ich gehe davon aus das du google entsprechend bedienen kannst.
__________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
31.01.2007, 01:00
Ehrenmitglied
Beiträge: 29434 |
#10
borgg
http://virus-protect.org/artikel/tools/svchost_run.html Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt Poste, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2007, 09:38
...neu hier
Themenstarter Beiträge: 9 |
#11
Verzeichnis von c:\WINDOWS\system32
08/04/2004 02:00 PM 14,336 svchost.exe 1 Datei(en) 14,336 Bytes Verzeichnis von c:\WINDOWS\system32\dllcache 08/04/2004 02:00 PM 14,336 svchost.exe 1 Datei(en) 14,336 Bytes Verzeichnis von c:\WINDOWS\I386 08/04/2004 02:00 PM 7,278 SVCHOST.EX_ 1 Datei(en) 7,278 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8OT5UVN 01/31/2007 09:32 AM 12,324 svchost_run[1].htm 1 Datei(en) 12,324 Bytes Anzahl der angezeigten Dateien: 4 Datei(en) 48,274 Bytes 0 Verzeichnis(se), 2,082,406,400 Bytes frei edit: tasklist /SVC geht nicht Der befehl "tasklist" wird garnicht angenommen. Der betreffende PC hat eine XP-Home drauf. Kann es sein, dass das nur unter XP-Prof geht ? edit2: Vielleicht noch interessant: Auf dem Rechnr ist ein SonicWALL VPN client installiert. Zwar ist er gerade nicht aktiviert, aber ich habe einige Forenbeiträge gefunden, die die 223.1.1.128 mit SonicWALL in Verbindung bringen. http://www.governmentsecurity.org/archive/t13559.html http://www.velocityreviews.com/forums/t37778-vpn-error.html http://www.sonicusers.com/forum/display_topic_threads.asp?ForumID=9&TopicID=1653&PagePosition=1 Mit ICESWORD habe ich bei nicht aktiver VPN software folgendes port log bekommen in dem diese Adresse als LOCAL auftaucht.: Protocol Local Address Foreign Address State PID PathName TCP 192.168.1.11 : 2175 64.12.28.200 : 5190 ESTABLISHED 3512 C:\Programme\Trillian\trillian.exe TCP 223.1.1.128 : 2924 223.1.1.128 : 135 SYN_SENT 1864 C:\WINDOWS\System32\SVCHOST.EXE TCP 192.168.1.11 : 2922 223.1.1.128 : 139 TIME_WAIT 0 ---- TCP 223.1.1.128 : 139 192.168.1.11 : 2917 TIME_WAIT 0 ---- TCP 192.168.1.11 : 2923 223.1.1.128 : 139 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2905 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2901 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2909 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2897 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 139 192.168.1.11 : 2922 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2906 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 139 192.168.1.11 : 2923 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2907 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2911 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 223.1.1.128 : 2915 223.1.1.128 : 445 TIME_WAIT 0 ---- TCP 192.168.1.11 : 2917 223.1.1.128 : 139 TIME_WAIT 0 ---- TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel TCP 192.168.1.11 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel TCP 223.1.1.128 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 1864 C:\WINDOWS\System32\SVCHOST.EXE TCP 127.0.0.1 : 1025 0.0.0.0 : 0 LISTENING 1108 C:\WINDOWS\System32\ALG.EXE TCP 127.0.0.1 : 5679 0.0.0.0 : 0 LISTENING 2252 C:\Programme\Microsoft ActiveSync\wcescomm.exe TCP 0.0.0.0 : 990 0.0.0.0 : 0 LISTENING 3624 C:\Programme\Microsoft ActiveSync\rapimgr.exe TCP 127.0.0.1 : 7438 0.0.0.0 : 0 LISTENING 2252 C:\Programme\Microsoft ActiveSync\wcescomm.exe TCP 0.0.0.0 : 5225 0.0.0.0 : 0 LISTENING 3040 C:\Programme\Hewlett-Packard\Toolbox\JRE\BIN\JAVAW.EXE TCP 0.0.0.0 : 8008 0.0.0.0 : 0 LISTENING 3040 C:\Programme\Hewlett-Packard\Toolbox\JRE\BIN\JAVAW.EXE TCP 127.0.0.1 : 8005 0.0.0.0 : 0 LISTENING 3040 C:\Programme\Hewlett-Packard\Toolbox\JRE\BIN\JAVAW.EXE TCP 0.0.0.0 : 2173 0.0.0.0 : 0 LISTENING 3512 C:\Programme\Trillian\trillian.exe UDP 192.168.1.11 : 138 * : * 4 NT OS Kernel UDP 223.1.1.128 : 137 * : * 4 NT OS Kernel UDP 0.0.0.0 : 500 * : * 1628 C:\WINDOWS\System32\LSASS.EXE UDP 192.168.1.11 : 123 * : * 260 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1028 * : * 528 C:\WINDOWS\System32\SVCHOST.EXE UDP 223.1.1.128 : 138 * : * 4 NT OS Kernel UDP 223.1.1.128 : 123 * : * 260 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 2967 * : * 1900 C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe UDP 127.0.0.1 : 123 * : * 260 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.1.11 : 1900 * : * 932 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1859 * : * 528 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.1.11 : 137 * : * 4 NT OS Kernel UDP 223.1.1.128 : 1900 * : * 932 C:\WINDOWS\System32\SVCHOST.EXE UDP 127.0.0.1 : 1900 * : * 932 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 4500 * : * 1628 C:\WINDOWS\System32\LSASS.EXE UDP 0.0.0.0 : 1860 * : * 528 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel RAW --- --- --- 4 NT OS Kernel RAW --- --- --- 4 NT OS Kernel RAW --- --- --- 4 NT OS Kernel RAW --- --- --- 1628 C:\WINDOWS\System32\LSASS.EXE RAW --- --- --- 828 C:\WINDOWS\System32\ZoneLabs\VSMON.EXE Dieser Beitrag wurde am 31.01.2007 um 10:30 Uhr von borgg editiert.
|
|
|
||
31.01.2007, 21:47
Ehrenmitglied
Beiträge: 29434 |
#12
1.
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Folders to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten -------------------------------------------------------------------------------- «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag -------------- «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2007, 00:47
...neu hier
Themenstarter Beiträge: 9 |
#13
AVENGER LOG:
--------------------------------------------------------------------------- Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\diwfxuvy ******************* Script file located at: \??\C:\WINDOWS\system32\cmkthgsd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Folder c:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8OT5UVN deleted successfully. Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------------------------- SDFix log: --------------------------------------------------------------------------- SDFix: Version 1.63 Thu 02/01/2007 - 0:01:22.85 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ" "C:\\Programme\\Hewlett-Packard\\Toolbox\\JRE\\BIN\\JAVAW.EXE"="C:\\Programme\\Hewlett-Packard\\Toolbox\\JRE\\BIN\\JAVAW.EXE:*isabled:JAVAW" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\hiberfil.sys C:\temp\~WRL0002.tmp C:\Recycled\Dc208.tmp Finished --------------------------------------------------------------------------- Cleanup log ist ganz schön lang --------------------------------------------------------------------------- SYSTEM32.TXT: --------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\WINDOWS\system32 02/01/2007 12:29 AM 1,158 wpa.dbl 02/01/2007 12:05 AM 54,112 vsconfig.xml 01/23/2007 03:29 PM 102,608 GDIPFONTCACHEV1.DAT 01/21/2007 03:17 PM 415,698 perfh007.dat 01/21/2007 03:17 PM 75,384 perfc007.dat 01/21/2007 03:17 PM 62,620 perfc009.dat 01/21/2007 03:17 PM 400,958 perfh009.dat 01/21/2007 03:17 PM 965,954 PerfStringBackup.INI 01/21/2007 03:08 PM 355,360 FNTCACHE.DAT 01/21/2007 03:00 PM 5,670 mapisvc.inf 01/08/2007 03:42 PM 0 _r_a_p_.tmp 01/02/2007 03:19 PM 10,980,776 MRT.exe 12/22/2006 03:59 PM 98,304 CmdLineExt.dll 12/07/2006 05:02 PM 2,174,976 wmvcore.dll 11/17/2006 06:54 PM 1,040,384 ieframe.dll.mui 11/17/2006 06:53 PM 12,288 advpack.dll.mui 11/08/2006 06:06 AM 679,424 inetcomm.dll 11/07/2006 09:03 PM 475,648 mshtmled.dll 11/07/2006 09:03 PM 180,736 ieui.dll 11/07/2006 09:03 PM 156,160 msls31.dll 11/07/2006 09:03 PM 3,577,856 mshtml.dll 11/07/2006 09:03 PM 231,424 webcheck.dll 11/07/2006 09:03 PM 670,720 mstime.dll 11/07/2006 09:03 PM 191,488 iepeers.dll 11/07/2006 09:03 PM 6,049,280 ieframe.dll 11/07/2006 09:03 PM 818,688 wininet.dll 11/07/2006 09:03 PM 413,696 vbscript.dll 11/07/2006 09:03 PM 458,752 msfeeds.dll 11/07/2006 09:03 PM 50,688 msfeedsbs.dll 11/07/2006 09:03 PM 27,136 jsproxy.dll 11/07/2006 09:03 PM 1,162,240 urlmon.dll 11/07/2006 09:03 PM 131,584 extmgr.dll 11/07/2006 03:27 AM 382,976 iedkcs32.dll 11/07/2006 03:27 AM 229,376 ieaksie.dll 11/07/2006 03:26 AM 152,064 ieakeng.dll 11/07/2006 03:26 AM 71,680 admparse.dll 11/07/2006 03:26 AM 55,296 iesetup.dll 11/07/2006 03:26 AM 13,312 ieudinit.exe 11/07/2006 03:26 AM 43,008 iernonce.dll 11/07/2006 03:26 AM 54,784 ie4uinit.exe 11/07/2006 03:26 AM 123,904 advpack.dll 11/07/2006 03:26 AM 92,672 inseng.dll 11/07/2006 03:25 AM 161,792 ieakui.dll 11/07/2006 03:24 AM 56,483 ieuinit.inf 11/04/2006 02:14 PM 1,245,696 msxml4.dll 10/23/2006 04:34 PM 474,624 shlwapi.dll 10/23/2006 04:34 PM 1,497,600 shdocvw.dll 10/23/2006 04:34 PM 1,056,256 danim.dll 10/23/2006 04:34 PM 152,064 cdfview.dll 10/23/2006 04:34 PM 1,022,976 browseui.dll 10/23/2006 12:43 PM 270,336 xpsp3res.dll 10/20/2006 02:38 AM 715,776 sxs.dll 10/17/2006 12:06 PM 443,904 html.iec 10/17/2006 12:06 PM 78,336 ieencode.dll 10/17/2006 12:05 PM 206,336 WinFXDocObj.exe 10/17/2006 12:05 PM 1,817,088 inetcpl.cpl 10/17/2006 12:05 PM 105,984 url.dll 10/17/2006 12:05 PM 192,000 msrating.dll 10/17/2006 12:05 PM 40,960 licmgr10.dll 10/17/2006 12:04 PM 101,376 occache.dll 10/17/2006 12:03 PM 17,408 corpol.dll 10/17/2006 12:00 PM 491,520 jscript.dll 10/17/2006 11:58 AM 12,288 msfeedssync.exe 10/17/2006 11:58 AM 61,952 icardie.dll 10/17/2006 11:58 AM 44,544 pngfilt.dll 10/17/2006 11:58 AM 346,624 dxtmsft.dll 10/17/2006 11:57 AM 36,352 imgutil.dll 10/17/2006 11:57 AM 214,528 dxtrans.dll 10/17/2006 11:57 AM 266,752 iertutil.dll 10/17/2006 11:56 AM 45,568 mshta.exe 10/17/2006 11:55 AM 66,560 tdc.ocx 10/17/2006 11:28 AM 48,128 mshtmler.dll 10/17/2006 11:27 AM 380,928 ieapfltr.dll 10/17/2006 11:19 AM 1,383,424 mshtml.tlb 10/13/2006 01:35 PM 146,432 nwprovau.dll 09/30/2006 11:10 AM 4,212 zllictbl.dat 09/23/2006 12:12 PM 82,428 IE7Eula.rtf 09/13/2006 06:02 AM 1,084,416 msxml3.dll 09/06/2006 04:42 PM 22,752 spupdsvc.exe 09/05/2006 11:01 PM 2,451,824 ieapfltr.dat 09/01/2006 07:44 AM 1,988 ticrf.rat 09/01/2006 07:44 AM 8,798 icrav03.rat --------------------------------------------------------------------------- SYSTEMTEMP.TXT --------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\DOKUME~1\Ralf\LOKALE~1\Temp 02/01/2007 12:30 AM 1,365,875 jar_cache4974.tmp 02/01/2007 12:30 AM 7,529 jar_cache4973.tmp 02/01/2007 12:30 AM 436,249 jar_cache4975.tmp 02/01/2007 12:30 AM 198 toolbox_healer4972.log 02/01/2007 12:30 AM 436,249 jar_cache4971.tmp 02/01/2007 12:30 AM 48,421 jar_cache4970.tmp 02/01/2007 12:30 AM 512,635 jar_cache4969.tmp 02/01/2007 12:29 AM 33,381 jar_cache4965.tmp 02/01/2007 12:29 AM 1,365,875 jar_cache4966.tmp 02/01/2007 12:29 AM 11,321 jar_cache4967.tmp 02/01/2007 12:29 AM 7,529 jar_cache4963.tmp 02/01/2007 12:29 AM 444,591 jar_cache4964.tmp 02/01/2007 12:29 AM 5,830 jar_cache4968.tmp 02/01/2007 12:29 AM 1,365,875 jar_cache4961.tmp 02/01/2007 12:29 AM 304,699 jar_cache4960.tmp 02/01/2007 12:29 AM 7,529 jar_cache4959.tmp 02/01/2007 12:29 AM 436,249 jar_cache4962.tmp 02/01/2007 12:29 AM 468 WCESCOMM.LOG 02/01/2007 12:29 AM 201 newtb1handler.log 02/01/2007 12:28 AM 81,920 ~DFD819.tmp 02/01/2007 12:28 AM 198 toolbox_healer49569.log 02/01/2007 12:28 AM 20,227 WCESLog.log 22 Datei(en) 6,893,049 Bytes 0 Verzeichnis(se), 2,650,882,048 Bytes frei --------------------------------------------------------------------------- SYSTEM.TXT --------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\WINDOWS 02/01/2007 12:05 AM 159 wiadebug.log 02/01/2007 12:04 AM 0 0.log 02/01/2007 12:04 AM 2,048 bootstat.dat 01/31/2007 11:59 PM 442,696 ntbtlog.txt 01/31/2007 11:58 PM 1,781,688 WindowsUpdate.log 01/31/2007 11:58 PM 50 wiaservc.log 01/31/2007 11:58 PM 32,626 SchedLgU.Txt 01/31/2007 09:06 PM 5,571,584 outlook.pst 01/31/2007 08:51 PM 61,064 Ralf8.xlb 01/31/2007 08:51 PM 706,560 offitems.log 01/31/2007 07:28 PM 7,297 MSFSLOG.TXT 01/30/2007 09:09 AM 989 win.ini 01/26/2007 12:09 PM 233,054 setupapi.log 01/21/2007 11:12 PM 155 winamp.ini 01/21/2007 11:02 PM 12,688 KB909394.log 01/21/2007 06:28 PM 12,352 ModemLog_Sony Ericsson Device 039 USB WMC Data Modem.txt 01/21/2007 03:05 PM 29,472 ocmsn.log 01/21/2007 03:05 PM 26,588 msgsocm.log 01/21/2007 03:05 PM 209,842 tsoc.log 01/21/2007 03:05 PM 111,268 ntdtcsetup.log 01/21/2007 03:05 PM 184,735 comsetup.log 01/21/2007 03:05 PM 83,599 iis6.log 01/21/2007 03:05 PM 1,374 imsins.log 01/21/2007 03:05 PM 268,088 ocgen.log 01/21/2007 03:05 PM 532,862 FaxSetup.log 01/21/2007 03:05 PM 60,316 updspapi.log 01/21/2007 03:01 PM 774 ODBC.INI 01/19/2007 10:58 AM 95,400 wmsetup.log 01/19/2007 10:58 AM 316,640 WMSysPr9.prx 01/19/2007 10:57 AM 25,659 DirectX.log 01/17/2007 10:30 AM 7,200 spupdsvc.log 01/17/2007 10:07 AM 21,273 ie7_main.log 01/17/2007 10:07 AM 1,374 imsins.BAK 01/17/2007 10:07 AM 72,403 ie7.log 01/17/2007 10:05 AM 25,450 IDNMitigationAPIs.log 01/17/2007 10:04 AM 25,154 NLSDownlevelMapping.log 01/17/2007 10:04 AM 20,402 KB915865.log 01/17/2007 10:03 AM 57,503 KB925454.log 01/17/2007 10:03 AM 19,683 KB914440.log 01/17/2007 09:11 AM 26,210 KB929969.log 01/17/2007 09:11 AM 27,947 KB923689.log 01/17/2007 09:11 AM 27,252 KB925398.log 01/17/2007 09:10 AM 26,479 KB923694.log 01/17/2007 09:10 AM 25,934 KB926255.log 01/17/2007 09:09 AM 25,669 KB923980.log 01/17/2007 09:09 AM 20,571 KB924270.log 01/17/2007 09:08 AM 19,535 KB920213.log 01/17/2007 09:03 AM 17,477 KB922819.log 01/17/2007 09:03 AM 15,681 KB924191.log 01/17/2007 09:03 AM 12,664 KB923191.log 01/17/2007 09:03 AM 14,810 KB924496.log 01/17/2007 09:03 AM 14,298 KB923414.log 01/17/2007 09:03 AM 16,007 KB920872.log 01/17/2007 09:03 AM 14,194 KB920685.log 01/17/2007 09:02 AM 14,353 KB919007.log 01/17/2007 09:02 AM 10,344 KB922582.log 01/08/2007 03:38 PM 0 eDrawingOfficeAutomator.INI 01/08/2007 03:35 PM 23 yacht.xws 01/08/2007 03:19 PM 11,973 KB911993-V2.log 01/08/2007 03:19 PM 17,553 dasetup.log 01/08/2007 03:19 PM 1,785,190 setupapi.log.0.old 01/03/2007 05:55 PM 791 hpclj2550.ini 01/03/2007 05:55 PM 3,888 hpclj2550.his 01/03/2007 05:55 PM 5,355 hpclj2550.bu1 01/03/2007 05:55 PM 66,477 hpclj2550.hi1 01/03/2007 05:54 PM 377 hpbvspst.ini 01/03/2007 05:54 PM 2,323 hpbvspst.his 01/03/2007 05:53 PM 1,030 hpbvnstp.ini 01/03/2007 05:53 PM 3,572 hpbvnstp.his 12/23/2006 12:24 PM 223,248 setupact.log 12/22/2006 02:29 PM 25 SIERRA.INI 11/22/2006 01:43 PM 9,728 Ralf.pcb 11/07/2006 03:08 PM 4,484 ModemLog_AC97 SoftV92 Data Fax Modem with SmartCP.txt 11/06/2006 10:58 AM 8,192 Thumbs.db 10/09/2006 11:28 PM 0 mngui.INI 10/09/2006 08:19 PM 1,454 COM+.log 10/09/2006 07:46 PM 844,092 DPINST.LOG 10/02/2006 10:19 AM 1,994 ModemLog_Standard Modem over IR link.txt 09/26/2006 11:53 PM 8,192 REGULOCS.OLD 09/18/2006 06:53 PM 1,364 ECHOVIEW.INI 08/20/2006 04:26 PM 43,266 KB920214.log 08/20/2006 04:25 PM 43,263 KB922616.log 08/20/2006 04:25 PM 44,504 KB921398.log 08/20/2006 04:25 PM 44,269 KB920683.log 08/20/2006 04:25 PM 42,729 KB920670.log 08/20/2006 04:25 PM 42,888 KB917422.log 08/20/2006 04:25 PM 46,955 KB918899.log 08/20/2006 04:24 PM 37,485 KB921883.log 08/20/2006 04:24 PM 36,971 KB917159.log 08/20/2006 04:24 PM 37,200 KB914388.log 08/20/2006 04:24 PM 35,531 KB916595.log 08/20/2006 04:24 PM 35,556 KB904942.log 08/20/2006 04:24 PM 31,297 WgaNotify.log 08/20/2006 04:09 PM 34,506 KB911280.log 08/20/2006 04:09 PM 34,015 KB917953.log 08/20/2006 04:09 PM 35,572 KB913580.log 08/20/2006 04:09 PM 33,870 KB918439.log 08/20/2006 04:09 PM 34,554 KB917344.log 08/20/2006 04:08 PM 34,191 KB914389.log 08/20/2006 04:08 PM 29,873 KB917734.log 08/20/2006 04:01 PM 34,483 KB908531.log 08/20/2006 04:00 PM 34,273 KB900485.log 08/20/2006 04:00 PM 33,468 KB911562.log 08/20/2006 04:00 PM 33,250 KB911567.log 08/20/2006 04:00 PM 29,034 KB911564.log 08/20/2006 03:59 PM 32,781 KB911927.log 08/20/2006 03:59 PM 32,847 KB912919.log 08/20/2006 03:59 PM 32,155 KB908519.log 08/20/2006 03:59 PM 31,959 KB904706.log 08/20/2006 03:59 PM 26,613 KB910437.log 08/20/2006 03:59 PM 32,375 KB896424.log 08/20/2006 03:59 PM 32,721 KB900725.log 08/20/2006 03:58 PM 29,987 KB905749.log 08/20/2006 03:58 PM 29,459 KB905414.log 08/20/2006 03:58 PM 28,642 KB901017.log 08/20/2006 03:58 PM 34,226 KB902400.log 08/20/2006 03:55 PM 25,156 KB894391.log 08/20/2006 03:55 PM 23,287 KB896423.log 08/20/2006 03:55 PM 22,780 KB899587.log 08/20/2006 03:55 PM 22,273 KB899591.log 08/20/2006 03:55 PM 22,459 KB893756.log 08/20/2006 03:54 PM 21,814 KB896358.log 08/20/2006 03:54 PM 21,266 KB900930.log 08/20/2006 03:54 PM 23,487 KB890859.log 08/20/2006 03:54 PM 19,664 KB901214.log 08/20/2006 03:54 PM 8,476 KB898458.log 08/20/2006 03:54 PM 18,653 KB896428.log 08/20/2006 03:54 PM 19,366 KB890046.log 08/20/2006 03:54 PM 17,129 KB891781.log 08/20/2006 03:54 PM 17,118 KB888302.log 08/20/2006 03:21 PM 9,927 WGA.log 08/20/2006 03:21 PM 7,188 KB898461.log 08/20/2006 03:21 PM 11,533 KB893803v2.log --------------------------------------------------------------------------- TMP.TXT --------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\WINDOWS\Temp 02/01/2007 12:29 AM 409 WGANotify.settings 02/01/2007 12:29 AM 255 WGAErrLog.txt 02/01/2007 12:05 AM 256 ZLT03e92.TMP 02/01/2007 12:05 AM 256 ZLT05d8b.TMP 4 Datei(en) 1,176 Bytes 0 Verzeichnis(se), 2,650,783,744 Bytes frei --------------------------------------------------------------------------- DOWN.TXT --------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\WINDOWS\Downloaded Program Files 06/25/2006 12:50 PM 1,793 erma.inf 06/22/2006 11:41 AM 5,032 swflash.inf 05/26/2005 04:19 AM 291 wuweb.inf 11/29/2004 05:40 PM 65 desktop.ini 4 Datei(en) 7,181 Bytes 0 Verzeichnis(se), 2,650,734,592 Bytes frei --------------------------------------------------------------------------- SYS.TXT --------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\ 02/01/2007 12:36 AM 0 sys.txt 02/01/2007 12:36 AM 450 down.txt 02/01/2007 12:35 AM 446 tmp.txt 02/01/2007 12:35 AM 13,695 system.txt 02/01/2007 12:35 AM 1,512 systemtemp.txt 02/01/2007 12:04 AM 535,678,976 hiberfil.sys 02/01/2007 12:04 AM 805,306,368 pagefile.sys 01/31/2007 09:39 AM 896 find.txt 01/26/2007 04:44 PM 27 temp.ERR 01/22/2007 09:36 AM 825 statusclient.log 06/03/2006 02:23 PM 0 BRDNO.TXT 08/10/2005 04:04 PM 241,664 ffastun.ffo 08/10/2005 04:04 PM 5,798 ffastun.ffa 08/10/2005 04:04 PM 2,592,768 ffastun0.ffx 08/10/2005 04:04 PM 524,288 ffastun.ffl 05/25/2005 12:50 PM 0 Log.txt 04/07/2005 01:22 PM 1,033 belden.sql 03/09/2005 03:09 PM 1,033 belden_1.sql 03/08/2005 08:24 PM 0 belden1.sql 03/08/2005 08:21 PM 0 belden2.sql 03/01/2005 09:54 PM 23,259 _NavCClt.Log 12/14/2004 08:58 PM 211 boot.ini 11/29/2004 06:01 PM 9 Finish.log 11/29/2004 05:41 PM 0 MSDOS.SYS 11/29/2004 05:41 PM 0 IO.SYS 11/29/2004 05:41 PM 0 AUTOEXEC.BAT 11/29/2004 05:41 PM 0 CONFIG.SYS 11/29/2004 03:25 PM 0 BOOTLOG.TXT 09/07/2004 01:21 PM 14 XPHG_SP2.GER 08/04/2004 02:00 PM 251,184 ntldr 08/04/2004 02:00 PM 4,952 bootfont.bin 08/04/2004 02:00 PM 47,564 NTDETECT.COM 11/21/2003 04:21 PM 1,443 logo.gif 11/05/2003 07:02 PM 6 A3G.10 02/19/2003 04:28 PM 37 Store.LOG 35 Datei(en) 1,344,698,458 Bytes 0 Verzeichnis(se), 2,650,685,440 Bytes frei --------------------------------------------------------------------------- Hoffe das hilft Euch weiter. |
|
|
||
01.02.2007, 11:35
Ehrenmitglied
Beiträge: 29434 |
#14
Avenger
Zitat Files to delete:«« http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken Sophos waehlen - 3 : wird Sophos geladen option 6 - dann scannen lassen und hier den scanreport posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2007, 14:31
...neu hier
Themenstarter Beiträge: 9 |
#15
System time 13:52:26, System date 01 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan IDE directory is: C:\SDFix\IDE Could not open C:\hiberfil.sys Password protected file D:\BELDEN\CUSTOMERS\yyy\xxxx\zzzzzzz.pdf 2 boot sectors swept. 34942 files swept in 36 minutes and 46 seconds. 2 errors were encountered. No viruses were discovered. 1 encrypted file was not checked. Ending Sophos Anti-Virus. ---------------------------------- habe heute noch keiner der komischen Verbindungen bemwerkt Dieser Beitrag wurde am 01.02.2007 um 14:35 Uhr von borgg editiert.
|
|
|
||
-------------------------------------------------------------------------------
Private IP ort #Pseudo Port Peer IP ort Info Status
-------------------------------------------------------------------------------
192.168.1.$mySubIp$ 4726 34998 223.1.1.128 135 3 0
Die Peer ip ist dabei immer die selbe. Nur die Pseudoports innen wechseln.
Hinter der Ip 223.1.1.128 verbergen sich laut http://whois.webhosting.info/223.1.1.128
Domain Name
1 ABARRON.COM.
2 ABTSOFT.COM.
3 AUTOMATIONSTRATEGIES.COM.
4 CITIFIED.NET.
5 CPUROOM.COM.
6 CYBERWOLF.BIZ.
7 EXAMINAIR.COM.
8 GAGNEFUNERALHOME.COM.
9 JOHNCHEUNG.NET.
Wenn ich meine ip von aussen scannen lasse sagen mir scandienste alles sei Stealth. Hin und wieder tauchen auch komische verbindungen auf Port 23 und 22 auf (Telnet und SSH) die ich eigentlich nicht bewusst initiiert habe. Dort sind dann aber auch innen die pseudoports auf 22 bzw 23.
Ich habe schon virenscanner, spybots, rootkitdetektoren und sonstewas drüber laufen lassen aber finde nix.
Fragen:
1) Ist das normal (ich denke nicht...)
2) Kann ich irgendworan erkennen, ob die Verbindung von außen oder von innen initiiert wurde=
3) was kann ich noch tun (außer Format c: )
Bin für jeden rat dankbar...