[cyberwar]

hi all
ich hab heute so ein tool ausprobiert .. nennt sich ipcompiler und was cih da unter dem menüpunkt protokoll statistik seh ähm macht mich irgendwie bissle unruhig .. weil das wie folgt ausschaut

Aktive Verbindungen


Proto Lokale Adresse Remoteadresse Status
TCP keine-7960ddb7f:1044 cs24.msg.dcn.yahoo.com:5050 HERGESTELLT
TCP keine-7960ddb7f:1069 sip21.voice.re2.yahoo.com:https HERGESTELLT
TCP keine-7960ddb7f:1025 0190-dialer.com:1552 WARTEND
TCP keine-7960ddb7f:1038 0190-dialer.com:1039 HERGESTELLT
TCP keine-7960ddb7f:1039 0190-dialer.com:1038 HERGESTELLT

vorher stand da noch was mit 445 microsoft ...hab den aber nach einer anleitung die ich im netz gefunden hab geschlossen und nach dem reboot war das dann nicht mehr gelistet. allerdings 0190-dailer .. äähm scheint mir net unbedingt was zu sein was zu windows gehört ... und versuch ich die port manuell zu schliessen ist nach dem neustart die verbidung über einen anderen port hergestellt
hab ich da einen trojaner auf meinem rechner?
kann mir da jemand weiterhelfen ? danke fürs anschauen
lg fabi

[EastSider]

Oha, hört sich nicht nett an.
Schonmal mit SpyBot gescanned?
Virenscann gemacht?
HiJackThis?

Tu das alles, und lösche all das, was darauf deutet!

Astral

[Großer]

Moin Moin cyberwar

Am besten lässt Du mal Hijackthis deinen PC überprüfen - das sieht nicht gut aus.

[He4db4nger]

hoffentlich gehst du mit dsl ins netz, sonst haste ne doofe Telefonrechnung am Ende des Monats ^^

[Großer]

Edit:
Sorry, noch früh am Morgen...

Dieser Beitrag wurde von Großer bearbeitet: 14. Januar 2006 - 10:48

[cyberwar]

also ich hab dsl und mir ist aufgefallen das nach einem reboot alles normal ausschaut
Lokale Adresse Remoteadresse Status
TCP keine-7960ddb7f:1039 cs14.msg.dcn.yahoo.com:5050 HERGESTELLT
TCP keine-7960ddb7f:1066 sip12.voice.re2.yahoo.com:https HERGESTELLT
TCP keine-7960ddb7f:5101 i577ACC4A.versanet.de:2315 HERGESTELLT

und als ich dann nur mozilla firefox angeworfen hab sieht das plötzlich so aus
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP keine-7960ddb7f:1039 cs14.msg.dcn.yahoo.com:5050 HERGESTELLT
TCP keine-7960ddb7f:1066 sip12.voice.re2.yahoo.com:https HERGESTELLT
TCP keine-7960ddb7f:1232 66.249.85.99:http HERGESTELLT
TCP keine-7960ddb7f:5101 i577ACC4A.versanet.de:2315 HERGESTELLT
TCP keine-7960ddb7f:1025 0190-dialer.com:1231 HERGESTELLT
TCP keine-7960ddb7f:1025 0190-dialer.com:1270 WARTEND
TCP keine-7960ddb7f:1025 0190-dialer.com:1272 WARTEND
TCP keine-7960ddb7f:1025 0190-dialer.com:1277 WARTEND
TCP keine-7960ddb7f:1025 0190-dialer.com:1279 WARTEND
TCP keine-7960ddb7f:1025 0190-dialer.com:1283 WARTEND
TCP keine-7960ddb7f:1025 0190-dialer.com:1285 WARTEND
TCP keine-7960ddb7f:1025 0190-dialer.com:1289 WARTEND
TCP keine-7960ddb7f:1166 0190-dialer.com:1167 HERGESTELLT
TCP keine-7960ddb7f:1167 0190-dialer.com:1166 HERGESTELLT
TCP keine-7960ddb7f:1231 0190-dialer.com:1025 HERGESTELLT

hab die norton internet security2005 drauf und hab auch schon mit spybot gescannt aber die auswertung war ohne große funde ...also ich werd mal hijackthis testen mal sehen was dabei rauskommt danke für die schnelle hilfe
lg fabi

[shiversc]

wie geht aber deine einwahl von statten? vom pc aus oder hast du evtl einen router?

[Witi]

Des Weiteren guck dir mal die Datei c:\windows\system32\drivers\etc\hosts an, ob da nicht so etwas wie 127.0.0.1 0190-dialer.com steht.

[cyberwar]

XP-Clean
# **************************************************
******
# Diese HOSTS Datei ist von www.xpclean.de
# **************************************************
******
# -------------------Update: 12.03.2004-------------------*
# **************************************************
******
127.0.0.1 0190-dialer.com
127.0.0.1 0-ol1oiz-xolxii1-oxli10ozl1l1-o-l-11-iizxp-l-0o-oll11iz0oil-ol.com
127.0.0.1 1000stars.ru
127.0.0.1 11.rtcode.com
127.0.0.1 123counter.mycomputer.com
127.0.0.1 123go.com
127.0.0.1 123stat.com
127.0.0.1 192.168.112.2O7.net
127.0.0.1 1cgi.hitbox.com
127.0.0.1 1stblaze.com
127.0.0.1 1stpagehere.com
127.0.0.1 1us.cqcounter.com
127.0.0.1 213.133.115.133
127.0.0.1 2cgi.hitbox.com
127.0.0.1 2jm.com..........................


also das geht noch viel weiter aber ich denk das kann man sich sparen
also hier taucht der 0190-dailer.com auf
hmm muss das evtl so sein =? is das ein dailerschutz ? oder wie soll cih das nun verstehen und wiso steht bei dem befehl netstat /a dann halt das 0190-dailer.com verbindung hergestellt (wenn mozilla firefox an ist )
was macht den diese host datei ?
ach so ja einwahl per cfos treiber ... nur modem kein router
lg fabi

Dieser Beitrag wurde von cyberwar bearbeitet: 14. Januar 2006 - 13:28

[Witi]

Ja, das dürfte so etwas wie ein Dialerschutz sein.

In dieser Datei steht drin, welche IP-Adresse an welchen Hostnamen zugeordnet werden soll.

Wenn du dich bspw mit 0190-dialer.com verbinden möchtest, landest du in deinem Fall auf deinem Rechner, also 127.0.0.1.

Da du DSL-User bist, ist das in meinen Augen überflüssig. Bei mir und höchstwahrscheinlich bei den meisten Usern wirst du nur eine Zeile finden:
127.0.0.1 localhost

Dieser Beitrag wurde von Witi bearbeitet: 14. Januar 2006 - 14:44

[cyberwar]

Danke für eure hilfe nochmal

lg fabi