---

erstmal frohes fest gehabt zu haben und guten rutsch ins neue jahr

der pc winxp standart ohne besondere installationen
saugt seit ca. 2 tagen von bestimmten internet seiten
wie windows live space daten die anderen seiten
sind auch seiten die freien platz anbieten.

diese verhalten kann ich mir nicht erklaeren und
habe auch keine idee mehr was es sein koennte
habe nach allem gesucht wuermer usw.

durch einen netzwerkmonitor bin ich nun erstmal
auf die spur von den seiten gekommen http://207.46.217.219/ http://205.236.34.251/

hat einer einen vorschalg
meine stoppen lagsam und bin kurz
vorm killen von dem pc

gruß an alle leser
dirk

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

hijackthis_1991.zip

Hallo Dirk,

dazu müsste man wissen, wer oder was auf Deinem PC am Senden/Empfangen ist. Wenn man an
einem PC nichts weiter laufen hat und er sendet und sendet ist es mit großer Wahrscheinlichkeit
ein Trojaner. Ist Dein Virenkiller aktuell?

Starte mal das Progrämmchen "HiJackThis" und wähle "System-Scan with LogFile" und poste das
Ergebnis hier.

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

---

So findest Du heraus, wer oder was auf Deinem PC am Senden oder Empfangen ist:

- START / Ausführen / cmd eintippen und [OK] wählen
- in dem Fenster folgendes eingeben: netstat -n -o
- Nun siehst Du alles, was gerade sendet/empfängt
- Wichtig ist dabei die rechte Spalte "PID", das ist die Process-ID

- Drückte jetzt STRG+ALT+ENTF und starte den Taskmanager
- Dort wählst Du "Ansicht/Spalten auswählen"
- Hier einen Haken bei "Process-ID (PID)" machen.

Jetzt kannst Du im Taskmanager die PID's vergleichen und siehst, wer sendet.

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

---

Hallo zusammen,

@headline:
Schau dir mal mit netstat an, welche Programme die Verbindungen aufbauen.

netstat kannst du in einer Windows-Shell starten.

Viele Grüße,

CEROG

------------------
CATIA-FAQ

http://www.cad-gaenssler.de

---

207.46.217.219 = Microsoft Corp, Bellevue Washington

205.236.34.251 = i3d INTERNET communication, Canada

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

---

danke fuer die schnellen tips

ich glaube das ich mir ueber java
was eingefangen habe http://www.forospyware.com/archive/t-115686.html

diesen eh-in-f191 bericht habe ich grade gefunden
das scheint mein problem zu sein
alles verstehe ich nicht etwas spanisch
aber ansonsten die gleichen hinweise
wie von euch.

der eh... hatte gerade angefangen daten
aus dem Internetz zu ziehen

danke erstmal an alle

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo,

benutze das Programm, was ich Dir oben mit an die Message gehangen habe
und poste das LogFile.

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

---

so schnell bin ich nicht
kommt noch
gib mir zeit

wenn nicht heute dann morgen

gruß
dirk

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

  Das sind genau 2 Mausklicks, das Programm muss nicht mal installiert werden.    

EDIT:
[ironie] Muss sich für den Empfänger Deiner Daten ja auch lohnen... Der hat Dir den
Trojaner nicht installiert, dass Du ihn sofort wieder löscht, das hat Zeit... [/ironie]

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

[Diese Nachricht wurde von UKanz am 30. Dez. 2007 editiert.]

---

hijackthis2.txt hijackthisdirk.txt

so nun 2 dateien
eine biem ersten start die mit dirk
und eben die 2 nach löschen von
programmen und reinigungs versuchen

hatte eben noch 4 mb aus japan
gezogen unfreiwillig

gruß dirk

[Diese Nachricht wurde von headline am 30. Dez. 2007 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Dirk,

die beiden LogFiles sind soweit okay bist auf einen einzigen Eintrag:

C:\WINDOWS\SYSTEM32\mssip.dll

Mit dieser Datei kann ich nichts anfangen. Lade sie mal hier hoch und
lasse sie checken. Auf der Seite wird die Datei mit bis zu 20 verschiedenen
Virenkillern gecannt.

http://www.virustotal.com/de/

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

---

Für den Fall, dass der Online-Virenkiller nichts gefunden hat, was sagt das
Tool "netstat -n -o"? Wer sendet da?

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]

---

netstat.txt

guten mittag

so der vierenscanner hat nichts gefunden
die datei gehoert zum sp1 laut google

anbei das was bei netstat passiert

nach ein paar minuten wurden verbindungen
zu den ganannten ip adressen hergestellt
und mal eben ein paar mb gezogen.

die verbindungen gingen zu mobile.spaces.live.com

habe noch keine idee was dahintersteckt

gruß an alle
und guten rutsch

dirk

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo dirk,

lt. whois gehört 207.46.123.243 zu Microsoft, 65.44.199.132 zu XO Communications.

Auf meinem Windows-Laptop ist eine netstat-Version installiert, die eine Option -b hat. Mit ihr wird verraten, welches Programm die Verbindung hergestellt hat. Probier die doch mal aus.

Viele Grüße,

CEROG

------------------
CATIA-FAQ

http://www.cad-gaenssler.de

---

hy

netstat -b funktioniert

tcp dirk:1915 www.homestead.com  hergestellt PID 172 (avp.exe)

danach hat avp.exe die verbindung hergestellt.
avp ist bei mir der virenscanner von kaspersky

bei homestead kann man webseiten bekommen.

es wird immer komischer langsam wird es für den
pc sehr eng das ich ihn kille. 

aber die neugier ist im moment groeßer

gruß
dirk

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo dirk,

langsam würde ich es mit einem anderen Virenscanner versuchen und den kompletten Rechner scannen.

Irgendwie kann ich mir nicht vorstellen, daß Kaspersky seine Virendatenbanken über eine Seite wie homestead verbreitet.

Guten Rutsch,

CEROG

------------------
CATIA-FAQ

http://www.cad-gaenssler.de

---

hy

genauso sehe ich das auch
bei meinem haup pc ist alles normal
von der installation von den programme usw.

das heist pc formatieren alles neu
hab ja noch paar tage frei.

laenger noch suchen bringt langsam
nichts mehr aber die neugier bei mir
ist groß was ich mir da eingefangen
habe weil immer wieder verbindet
sich der pc mit internet seiten
und zieht daten von seiten
die eigentlich nichts hergeben

habe auch schon nach rootskit
suchen lassen mit gmer und
avg auch die haben nichts gefunden

also machen wir damit erstmal schluß
und ich alles neu

Neues Jahr neues gluck

gruß an alle
dirk

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo,

die avp.exe ist eine Software-Gateway, also quasi das Nadelöhr, durch das
die komplette Kommunikation mit dem Web geleitet wird. Deswegen sieht netstat
auch nur die avp.exe

Hat Dein Kaspersky eine Firewall? Wenn ja, gehe mal unter Firewall / Einstellung / Filterregeln
und lösche dort alle Einträge raus. Jetzt noch die Firewall auf "Trainings-Modus" stellen.
Jetzt sollte die Firewall melden, wer ins Netz will.

Oder Kaspersky und alle anderen Firewalls komplett beenden und netstat -n -o ausführen.

Guten Rutsch 

------------------
Viele Grüße
Uli

  Wer nicht genießt, wird ungenießbar...  [CAD.de-smileys] [Elcad-Tauschbörse]