In einem schon geschlossenen Thema schrieb turmbauer:

Verfasst am: Di Okt 12, 2004 10:55 pm Titel: re

--------------------------------------------------------------------------------

Hallo.

Ich denke, mein Problem ist ähnlich und passt
auch gut zum Thema.


Ich habe seit kurzem T-Com DSL und gmx Volumen
mit dem Fritz Web DSL USB Modem und dem
dazugehörigen Fritzweb DSL Einwahlprogramm.

Seit dieser Zeit verzeichnet meine
Firewall einen ausgehenden Verbindungsversuch
zu transfer.profidialer.de

Auf der http Seite bekommt man die Meldung :

Powered by Binford 6100

Ich habe irgendwo gelesen, das hat was mit 1&1 zu tun ??

Was verursacht dieser Verbindungsversuch ?
Ich erkenne darin keine Zweckmässigkeit.


Viele Grüße und ganz grosses Lob für das Forum,
turmbauer



Hier ein log :

McAfee Firewall gab eine Warnung aus, dass das Programms "FRITZ!web DSL v3.04 / 1.00" im Ordner "C:\Programme\FRITZ!DSL\FritzDsl.exe" versucht hat, in einer Weise zu kommunizieren, die durch die Filterregeln des Programms nicht zulässig ist. Die Datenrichtung war ausgehend. Der IP-Protokolltyp lautet wie folgt: TCP/IP. Der Remote-Port war 80 [HTTP]. Der Domänenname war transfer.profidialer.de. Die IP-Adresse war 195.20.224.188. Die Antwort des Benutzers auf die Warnung war, die Kommunikation zu diesem Zeitpunkt nicht zuzulassen.

(http://www.informationsarchiv.net/foren/beitrag-6825.html)

Ich hab nun so ein ähnliches oder das gleiche Problem:
Eine Anwendung FritzDsl.exe steht nicht im Taskmanager, aber sie ist scheinbar an weil ich die Brauch für die Internetverbindung (Sie ist dort unten bei den Symbolen bei der Uhr).
Bei mir macht diese Verbindung eine Anwendung die in TCPView als "[System Progress]:0" definiert wird, auch die Pfadangabe kann ich dadurch nicht rauskriegen weil es ein Systemprocess ist. Vielleicht ist das ja diese FritzDSL.exe, das weiß ich nicht.
Dieser Prozess macht ständig eine Verbindung auf die auf "Wartend" steht zu dieser IP 195.20.224.188:80.

Hab die Ports die es bei mir auf der Lokalen Inet Adresse benutzt in der firewall nun geblockt, dann versucht es Lokale Adressen zu öffnen mit 127.0.0.1:1031. Auch auf Wartend. Das tut es aber nur wenn ich im Internet bin, sobald ich mich auswähle verschwindet das Programm aus TCPView.
Manchmal stehen auch andere Sachen bei der Remote Address zB: pptp oder so ähnlich und irgentwelche Addressen
Sollte ich mir da nun Sorgen machen, oder ist das ganz normal und gehört zu dem Profidialer von 1und1 oder FritzDSL (Konfigurations-Treiber-Programm vom DSL Modem)?
Von alleine versucht sich bei mir auch nichts einzuwählen, das Ding taucht nur erst auf wenn ich eingewählt bin.

- der Rechner wird mit der Meldung ``%systemroot%\system32\dumprep 0 -k `` heruntergefahren

Mein Rechner fährt nicht runter, aber ich habe auch diesen eintrag im Systemstart (Im Systemkonfigurationsprogramm, Ausführen: msconfig). Muss das so sein, oder sollte ich diesen Eintrag entfernen? Ich weiß auch nicht ob der mit dem Obigen Prozess in Zusammenhang steht, da ich ihn auch auf meinem Rechner hab der nicht im Internet ist. Oder gehört das zu Windows dazu?


Achja:
Ist es eigentlich normal, dass ich an dem Internet PC mit WinXP Home 5x die Anwendung svchost.exe im Taskmanager habe und an dem Rechner ohne Internet mit WinXP Pro, diese nur 4x da ist? (Hacker nennen ihre Viren ja gerne so, damit sie im Taskmanager weniger auffallen) Abers kann auch sein das eben diese eine svchost für die Inetverbindung gebraucht wird. Und wenn eine davon nicht dazugehört, wie finde ich dann raus, welche von denen das ist?
3x SYSTEM
1x NETZWERKDIENST
1x LOKALER DIENST
Alle belegen so 1,5MB Speicher, und eine von SYSTEM 9MB

Suchbegriff: 195.20.224.188
Adresse: whois.ripe.net

Suchergebnis:

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-propo ... 50331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '195.20.224.0 - 195.20.225.127'

inetnum: 195.20.224.0 - 195.20.225.127
netname: SCHLUND-NET
descr: Schlund + Partner AG
descr: Brauerstr. 48
descr: D-76135 Karlsruhe
descr: Germany
country: DE
admin-c: UI-RIPE
tech-c: UI-RIPE
rev-srv: nsa.schlund.de
rev-srv: ns.schlund.de
rev-srv: ns2.schlund.de
status: ASSIGNED PA
mnt-by: SCHLUND-MNT
source: RIPE # Filtered

role: Schlund NCC
address: Schlund + Partner AG
address: Brauerstrasse 48
address: D-76135 Karlsruhe
address: Germany
remarks: For abuse issues, please use only abuse@schlund.com
remarks: For NOC issues, please look at our AS 8560
phone: +49 721 91374 50
fax-no: +49 721 91374 20
e-mail: abuse@schlund.com
admin-c: SPNC-RIPE
tech-c: SPNC-RIPE
nic-hdl: UI-RIPE
mnt-by: SCHLUND-MNT
source: RIPE # Filtered

% Information related to '195.20.224.0/19AS8560'

route: 195.20.224.0/19
descr: SCHLUND-PA-1
origin: AS8560
mnt-by: SCHLUND-MNT
source: RIPE # Filtered

dennoch poste mal das log vom HijackThis, um auszuschliessen, dass es eine verseuchung mit WareOut ist


Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.net/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"