ständiges senden an eine adresse ( ca 3MB/std.)

#0
14.06.2008, 14:31
...neu hier

Beiträge: 4
#1 seit kurzem sendet mein rechner (winxp) ständig über udp an folgende adresse:
74.54.58.77 .
habe nun virenscanner und antispyware laufen lassen- hat aber nichts geholfen.
wo finde ich infos damit ich herauskriege welcher schädling bei mir auf dem rechner sitzt, wenn ich die adresse kenne.
hab auch schonmal danach "gegooglet"- da kamen nur arabische schriftzeichen.
da ich meist mit linux surfe habe ich mein winxp eigentlich nur zum zocken, manchmal surfe ich aber auch damit. mit viren und spyware,... habe ich leider 0 erfahrung.
Dieser Beitrag wurde am 14.06.2008 um 14:37 Uhr von woelfieee editiert.
Seitenanfang Seitenende
14.06.2008, 15:21
Member

Beiträge: 1132
#2 Hallo woelfieee,

Die WHOIS-Abfrage auf http://whois.domaintools.com/ hat folgendes ergeben:

Zitat

IP Information for 74.54.58.77
IP Location: United States United States Dallas Theplanet.com Internet Services Inc
Resolve Host: 4d.3a.364a.static.theplanet.com
IP Address: 74.54.58.77 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
Blacklist Status: Clear
Whois Record

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 315 Capitol
Address: Suite 205
City: Houston
StateProv: TX
PostalCode: 77002
Country: US

ReferralServer: *rwhois://rwhois.theplanet.com:4321*

NetRange: 74.52.0.0 - 74.55.255.255
CIDR: 74.52.0.0/14
NetName: NETBLK-THEPLANET-BLK-14
NetHandle: NET-74-52-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Kannst Du damit was anfangen?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
14.06.2008, 15:31
Moderator

Beiträge: 7805
#3 Welches Programm laedt denn laut tcpview Daten nach dort?
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.06.2008, 15:49
...neu hier

Themenstarter

Beiträge: 4
#4 danke erstmal für die hilfe.
ich wusste garnicht, daß es sowas für win gibt wie tcpview (nach sowas habe ich eigentlich gesucht). bin gerade im linux -die antwort wird noch etwas dauern. ich geb dann bescheid welches programm das macht.
woelfi

es scheint die explorer.exe zu sein.hier mal die tcpviewdatei:
alg.exe:2100 TCP wce-xp:1029 wce-xp:0 LISTENING
explorer.exe:3368 UDP wce-xp:1060 *:*
explorer.exe:3368 TCP wce-xp.mshome.net:1077 222.73.254.62:1863 ESTABLISHED

lsass.exe:776 UDP wce-xp:isakmp *:*
lsass.exe:776 UDP wce-xp:4500 *:*
mDNSResponder.exe:1360 TCP wce-xp:5354 wce-xp:0 LISTENING
mDNSResponder.exe:1360 UDP wce-xp:1025 *:*
mDNSResponder.exe:1360 UDPV6 [0:0:0:0:0:0:0:0]:1025 *:*
mDNSResponder.exe:1360 UDP wce-xp.mshome.net:5353 *:*
svchost.exe:1024 UDP wce-xp:1031 *:*
svchost.exe:1024 UDP wce-xp:1030 *:*
svchost.exe:1024 UDP wce-xp.mshome.net:domain *:*
svchost.exe:1024 UDP wce-xp:3544 *:*
svchost.exe:1024 UDP wce-xp.mshome.net:1079 *:*
svchost.exe:1024 UDP wce-xp:1081 *:*
svchost.exe:1060 UDP wce-xp:1043 *:*
svchost.exe:1060 UDP wce-xp:1078 *:*
svchost.exe:1104 UDP wce-xp:1900 *:*
svchost.exe:1104 UDP wce-xp.mshome.net:1900 *:*
svchost.exe:924 TCP wce-xp:3389 wce-xp:0 LISTENING
svchost.exe:980 TCP wce-xp:epmap wce-xp:0 LISTENING
System:4 TCP wce-xp:microsoft-ds wce-xp:0 LISTENING
System:4 UDP wce-xp:microsoft-ds *:*
System:4 TCP wce-xp.mshome.net:netbios-ssn wce-xp:0 LISTENING
System:4 UDP wce-xp.mshome.net:netbios-ns *:*
System:4 UDP wce-xp.mshome.net:netbios-dgm *:*
vsserv.exe:684 TCP wce-xp:10110 wce-xp:0 LISTENING
vsserv.exe:684 TCP wce-xp:10025 wce-xp:0 LISTENING
bein nem scandurchlauf war auch was von Backdoor.Hamweq.B zu lesen. leider sitzt die datei im recycler-ordner und lässt sich nicht löschen.
Dieser Beitrag wurde am 14.06.2008 um 16:42 Uhr von woelfieee editiert.
Seitenanfang Seitenende
14.06.2008, 18:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 hallo,
wende bitte gmer an + poste den report
http://virus-protect.org/artikel/tools/gmer.html

dann lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
im normalmodus anwenden
RunThis.bat doppelt klicken
schreib rein: A
nd poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.06.2008, 18:46
...neu hier

Themenstarter

Beiträge: 4
#6 hab die partition mit dem virus frisch formatiert (war zwar c: aber nicht die win-partition ;-) ). lasse gerade nen kompletten viruscheck mit bitdefender laufen. die probleme scheinen aber weg zu sein; kein traffic mehr nach aussen.
der rechner "spinnt" auch nicht mehr so rum.
ich denke bei diesem virus ist man davon ausgegangen, daß auf c: das windows liegt- war halt bei mir die ausnahme nicht so- nochmal glück gehabt.
also es war der Backdoor.Hamweq.B.
war schon recht bösartig.
kennt jemand nen link zu ner ausführlichen virendatenbank?
besten dank für euer schnelles antworten- und noch viele virenfreie stunden.
euer woelfi
p.s. die tools von virus-protect.org werd ich mir aber trotzdem mal anschauen.
Dieser Beitrag wurde am 14.06.2008 um 19:01 Uhr von woelfieee editiert.
Seitenanfang Seitenende
14.06.2008, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 eventuell war es die dfqq.exe
hier kannst du sehen, welche Virenscanner das Teil erkennen
http://www.virustotal.com/ro/analisis/77a43ddb549eb06d2cda10434ea40eab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2008, 10:43
...neu hier

Themenstarter

Beiträge: 4
#8 habe nach wieder den selben virus drauf gehabt. musste eine datei names ise.exe aus dem ordner c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013 löschen.
wie kann das ding wieder auf meine kiste kommen, wenn ich doch den rechner letztens gecleant habe?
Seitenanfang Seitenende
18.06.2008, 11:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 keine Ahnung, wie das sein kann, du hast keine Logs gepostet, ich kenne dein System nicht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: