unknown.uunet.be

[BlindBasic]

Guten Tag,

mir ist aufgefallen das meine svchost.exe, in regelmäßigen Abständen eine port 80 Verbindung auf eine Seite namens unknown.uunet.be aufbaut.

Variationen sind:

uu194-7-155-81.unknown.uunet.be
uu194-7-155-82.unknown.uunet.be

meine svchost ist eine echte svchost (kein Schädling) und auch sonst kann ich keine Schädlinge finden.

der rechner läuft auch sonst normal.

weis jemand was diese verbindungsaufbauten sollen.
ist es vieleicht doch ein schädling?

(Win7 x64 SP1)

google suche hat nur ergeben das diser sever in belgien steht, konnte aber nicht herausfinden was er macht.
darüber hinaus ist mir aufgefallen das diese verbindung zu uunet.be immer nach einer dns anfrage auf meinem router erfolgen (ebenfalls von svchost)

währe über ideen dankbar

 

[KamehamehaX10]

svchost.exe führt Services aus; diese können Schadsoftware sein, oder auch nicht.
In diesem Falle Schadsoftware. Auf den Seiten sind gefälschte Sicherheitszertifikate.

Kannst das System gleich neu aufsetzen, vorher wichtige Daten sichern und NACHHER alle Passwörter ändern.

 

[::.KS.::]

Laut www.dns.be

gehört die URL zu MarkMonitor (markmonitor.com)

und wenn du auf die erste Adresse gehst sind da lauter Zertifikate drauf
(echtheitszertifikate für Webseiten?!)

 

[ynfinity]

auf den Servern liegen nur .crl Dateien (was ist eine CRL-Datei?)
Das sind Dateien die Infos enthalten welche digitalen Zertifikate noch gültig sind. Da prüft wohl irgendeine Software (InternetsecuritySuiteXY?) nach jeder DNS Abfrage die Zertifikate der Seite die geöffnet werden soll. Zumindest ist das meine Meinung nach 5min google.

 

[KamehamehaX10]

Dann erst einmal durch ein weiteres Programm eine Infektion bestätigen und dann handeln.
Aber für mich sieht das sehr suspekt aus.

 

[MaikDe]

Kannst das System gleich neu aufsetzen, vorher wichtige Daten sichern und NACHHER alle Passwörter ändern.

Aber für mich sieht das sehr suspekt aus.

Mit anderen Worten: Du hast keine Ahnung, aber rätst ihm sein System neu aufzusetzen? Hammerhart...

 

[ynfinity]

@MaikDe:ganz meine Meinung!

Wenn du nichts mit von diesem MarkMonitor installiert hast, würde ich mal folgendes Testen:
lad dir einfach die KasperskyRescueDisk, brenne dir das Image auf CD und boote davon deinen PC. Bevor du den Scan startest machst du wenn deine Netzwerkkarte erkannt wurde ein Update der Virensignaturen und dann den Scan starten und warten bis alles durchgelaufen ist.

 

[KamehamehaX10]

Mit anderen Worten: Du hast keine Ahnung, aber rätst ihm sein System neu aufzusetzen? Hammerhart...

Dann erst einmal durch ein weiteres Programm eine Infektion bestätigen und dann handeln.
[...]

Lern lesen.

 

[MaikDe]

Lern lesen.

Hauptsache erst einmal schreiben er soll sein System platt machen und als andere auf einmal was anderes behaupten zurückrudern. Zum Glück haben noch andere hier gepostet. Wenn man keine Ahnung hat einfach mal die ... halten.

 

[KamehamehaX10]

Ich weiß ja nicht was dein Problem ist, aber bis jetzt hast du nur gemeckert und von deiner Intelligenz die du versuchst auszustrahlen nichts gezeigt.
Man kann sich ja mal irren, muss das dann aber auch mal zugeben können (wie ich). Trotzdem sagt das dann nichts über die Kompetenz aus und erst Recht nicht über die Persönlichkeit (weil du ja gleich mal persönlich wirst ). Echt ein Kindergarten hier manchmal.

 

[Vastator]

Ahoi - das sieht mir sehr suspekt aus! (H). Prüfe deine machine doch mal mit BackTrack (http://www.backtrack-linux.org/). Da solltest Du einiges rausfinden können, was Dein system so macht - und was nicht :-) Viel Erfolg - - oder gleich Windoof frisch aufsetzen ;-)

 

[1668mib]

Die Sonne dreht sich um die Erde!

Ups, sorry, ich dachte das sei der Thread für Pseudo-Wissen und gefährliches Halbwissen...

 

[BlindBasic]

Guten Aben alle miteinander,

entschuldigt bitte das ich so spät antworte.

zunächst mal möchte ich euch allen für eure Antworten danken.
Eure antworten haben mir weitergeholfen.

Was ich noch herausfinden konnte.

Der verbindungsaufbau finden nur nach einem systemstart für ca 10 minuten statt.
Dannach wird diese verbindung nie mehr hergestellt, es sei den man startet den rechner neu.

Folgendes habe ich unternommen.

- GData Boot CD erstellt und System überprüft -> Keine viren
- Kaspersky Boot CD erstellt und system überprüft -> keine viren
- BitDefender Boot CD erstellt und system überprüft -> keine viren
- Hijack This Analyse -> keine schädlinge gefunden
- meine svchost.exe auf virustotal analysiert -> datei ist frei von schädlingen

1. einen frisch aufgesetzen laptop zur hand genommen
2. überprüft das dieser dieses verhalten nicht an den tag legt.
3. alle meine programme die ich brauche nacheinander installiert und immer wieder überprüft ab wann das passiert. -> passiert nie
4. SecuritySuite installiert. -> verbindugnsaufbau findet statt.
5. die SecuritySuite wieder deinstalliert -> kein verbindungsaufbau mehr.

Meinen betroffenen Rechner (Selbe Security Suite) zur hand genommen und die einstellungen der security suite angeschaut.

-> Phischingschutz der security suite deaktiviert.
-> verbindungsaufbau ist weg.

-> Phischingschutz wieder aktiviert
-> verbindungsaufbau wieder da.

Anscheinend ist der Phischingschutz meiner Security Suite für den verbindungsaufbau zuständig.

Da werden, (wie einige user hier vermutet haben), auf der webseite sicherheitszertifikate überprüft.

ich verstehe es nicht ganz warum die Suite das nur beim systemstart 10 minuten lang macht, aber man kann ja bekanntlich nicht alles wissen.

Auf jeden fall scheint die quelle dieser verbindungsaubauten gefunden zu sein.

War allem anschein nach meine security suite, die zertifikate überprüft.


Ich möchte mich bei allen Usern bedanken.

Eure vermutungen haben mir geholfen in die richtige Richtung zu suchen um die Quelle zu finden.

Vielen lieben Dank dafür