Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 217.237.151.161 ???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.12.2004, 05:15   #1
Berferd
 
217.237.151.161  ??? - Pfeil

217.237.151.161 ???



Hallo Leute!

Ich hab seit ein paar Monaten was ganz suspektes am laufen

Ich bekomme ca. ein mal im Monat eine komische Firewall-Meldung. Das wäre nicht ungewöhnlich, wenn ich zu diesem Zeitpunkt am Rechner arbeiten würde (das Ding läuft 24h am Tag, genauso wie der Server).
Eigentlich bin ich davon ausgegangen, daß die Meldung vom Server aus kommt. Ich mußte jetzt am Server hardwaremäßig was umbauen und in der Zeit wo der Server vom Netz war, kam zufällig eine dieser Meldungen. Also kann ich den Sever als Quelle abschreiben. Ich überlge: Außer zwei NW-Switches und dem Rechner hängt momentan nichts mehr am Netz und ich fang an zu schwitzen.
Und überlege weiter: Hab ich trotz aller Vorsicht einen Trojaner auf der Kiste???
Oder vielleicht sogar einen der von der AV-SW nicht erkannt wird???

Ich will die Firewall-Meldung nicht länger vorenthalten, hier ist sie:
Date: 1/27/1900 18:52:41

The packet below

Src: 217.237.151.161 Dst: 192.168.0.201 {router_01} (ICMP)


45 00 00 38 b5 9a 00 00 fd 01 29 8f d9 ed 97 a1 | E..8.... ..).....
c0 a8 00 c9 03 03 fc 64 00 00 00 00 45 00 00 56 | .......d ....E..V
c2 3e 00 00 3b 11 3a 76 c0 a8 00 c9 c0 a8 00 c9 | .>..;.:v ........
00 35 00 35 00 2e 00 00 | .5.5....

matched this filter rule: BLOCKEN
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second

because of this the actions below were performed:
drop
send email to administrator
block source address for 1 minutes

--------------------------------------------------------------------------
So, ich habe mal nachgesehen was mit der Quell-IP so los ist. Soll wohl ein DNS-Server sein und steht auch in Zusammenhang mit dem Sobig-Virus.
Das IP-Paket kam auf jeden Fall nicht von extern. Das hätte die FW gemerkt.
Die Client-IP ist 192.168.0.7 und 192.168.0.201 ist die IP vom Router selbst.

Die Firewall am Router ist so konfiguriert, daß UDP53-Verbindungen nur von den internen Clients zum Router selbst (DNS-Server) akzeptiert werden.
ICMP wird ganz geblockt.

Ich habe jetzt mal die komplete Festplatte nach dem String "217.237.151.161" durchsuchen lassen. Lediglich im Netscape-Cache & Inbox wurde was gefunden. Hmmm..... Vielleicht steht das auch nicht als String drin ???

Wenn jemand eine Idee hat, wäre ich sehr dankbar.


Achso, bevor Fragen kommen vielleicht noch ein paar Infos zum System:
BS: WIN NT4.0 WS (mit allen akt. Updates)
AV-SW: McAfee VirusScan 4.5.1 (wird tägl. aktualisiert)
Router: Elsa Office DSL/10 (akt. FW ist istalliert)


Viele Grüße
Oskar

Alt 25.12.2004, 06:05   #2
Shadowdance
 
217.237.151.161  ??? - Standard

217.237.151.161 ???



Hallo Berferd,

um zu erfahren, ob sich Malware auf Deinem System befindet, müssen wir Dein System einsehen können. Da es leider nicht möglich ist, Ferndiagnosen zu stellen, bedarf es einer genauen Analyse. Sei bitte so nett und erstelle eine Systemanalyse und poste sie hier ins Forum. Anleitung und Download-Link: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD
__________________


Alt 25.12.2004, 11:35   #3
Berferd
 
217.237.151.161  ??? - Pfeil

217.237.151.161 ???



Hallo Shadowdance,

vielen Dank für die schnelle Antwort.
Habe das Tool rutergeladen und gestartet. Es scannt auch kurz los, schmiert dann aber ab.....???? Siehe Logfile vom DrWatson. Was mir eben noch auffällt: es gibt zwar ein Laufwerk D aber dort gibt es kein Verzeichnis D:\OA\ ???



Microsoft (R) Windows NT (TM) Version 4.00 DrWtsn32
Copyright (C) 1985-1996 Microsoft Corp. Alle Rechte vorbehalten.

Anwendungsausnahme aufgetreten:
Anwendung: (pid=274)
Wann: 12/25/2004 @ 10:57:5.265
Ausnahmenummer: c0000005 (Zugriffsverletzung)

*----> Systeminformationen <----*
Computer-Name:
Benutzername:
Prozessoranzahl: 1
Prozessortyp: x86 Family 6 Model 8 Stepping 1
Windows NT-Version: 4.0
Aktuelles Build: 1381
Service Pack: 6
Aktueller Typ: Uniprocessor Free
Firma:
Besitzer:

*----> Task-Liste <----*
0 Idle.exe
2 System.exe
21 SMSS.exe
28 CSRSS.exe
35 WINLOGON.exe
42 SERVICES.exe
45 LSASS.exe
72 SPOOLSS.exe
86 nddeagnt.exe
101 rpcss.exe
109 msdtc.exe
127 Avsynmgr.exe
130 DrvMgr.exe
137 rcapi.exe
152 explorer.exe
155 PSTORES.exe
158 mstask.exe
92 systray.exe
139 SynTPLpr.exe
59 SynTPEnh.exe
175 batmeter.exe
186 CardView.exe
191 IMGICON.exe
196 M800_Toolbox.ex.exe
201 VSStat.exe
140 vshwin32.exe
89 Mcshield.exe
209 Avconsol.exe
228 WebScanX.exe
225 Netscp.exe
198 internat.exe
84 NC.exe
250 DDHELP.exe
259 NC.exe
246 awrem32.exe
274 HijackThis.exe
278 DRWTSN32.exe
0 _Total.exe

(00400000 - 00400000)
(77f70000 - 77fd1000) dll\ntdll.dbg
(77f00000 - 77f63000) dll\kernel32.dbg
(66000000 - 66153000) DLL\MSVBVM60.dbg
(77e70000 - 77ec2000) dll\user32.dbg
(78010000 - 78045000) dll\gdi32.dbg
(77dc0000 - 77dff000) dll\advapi32.dbg
(77e10000 - 77e67000) dll\rpcrt4.dbg
(77b80000 - 77c31000) dll\ole32.dbg
(65340000 - 653db000) D:\OA\rwin32\oleaut32.dll
(52000000 - 52007000) dll\indicdll.dbg
(76ad0000 - 76ad5000) dll\imm32.dbg
(63000000 - 63000000)
(52180000 - 5218b000) dll\version.dbg
(66800000 - 669aa000) dll\shell32.dbg
(70a70000 - 70ad4000)
(010c0000 - 01106000)
(71710000 - 71794000) dll\comctl32.dbg
(779b0000 - 779b8000) dll\lz32.dbg
(01c00000 - 01c24000) D:\OA\rwin32\asycfilt.dll
(30000000 - 30000000)
(11c00000 - 11c00000)
(10000000 - 10000000)
(71300000 - 71306000) dll\msidle.dbg
(5f7f0000 - 5f7f7000) dll\rpcltc1.dbg

Statusabbild für Thread-ID 0x115

eax=001487c8 ebx=660d63ab ecx=00000001 edx=00000000 esi=00000000 edi=001487c8
eip=77fa736b esp=0012f2bc ebp=0012f4c8 iopl=0 nv up ei pl nz na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000202


Funktion: RtlMoveMemory
77fa7351 57 push edi
77fa7352 8b742410 mov esi,[esp+0x10] ss:015ddcc3=????????
77fa7356 8b7c240c mov edi,[esp+0xc] ss:015ddcc3=????????
77fa735a 8b4c2414 mov ecx,[esp+0x14] ss:015ddcc3=????????
77fa735e fc cld
77fa735f 3bf7 cmp esi,edi
77fa7361 761a jbe RtlMoveMemory+0x2d (77fa737d)
77fa7363 8bd1 mov edx,ecx
77fa7365 83e203 and edx,0x3
77fa7368 c1e902 shr ecx,0x2
FEHLER ->77fa736b f3a5 rep movsd ds:00000000=???????? es:001487c8=00000000
77fa736d 0bca or ecx,edx
77fa736f 7505 jnz RtlMoveMemory+0x26 (77fa7376)
77fa7371 5f pop edi
77fa7372 5e pop esi
77fa7373 c20c00 ret 0xc
77fa7376 f3a4 rep movsb ds:00000000=?? es:001487c8=00
77fa7378 5f pop edi
77fa7379 5e pop esi
77fa737a c20c00 ret 0xc
77fa737d 74f9 jz RtlMoveMemory+0x28 (77fa7378)
77fa737f 8bc7 mov eax,edi

*----> Stack Back Trace <----*

FramePtr ReturnAd Param#1 Param#2 Param#3 Param#4 Function Name
0012f4c8 0048554c 0012f578 00000007 00000006 00000001 ntdll!RtlMoveMemory

*----> Raw Stack Dump <----*
0012f2bc bc 15 0e 66 00 00 00 00 - 4a e2 4c 00 c8 87 14 00 ...f....J.L.....
0012f2cc 00 00 00 00 04 00 00 00 - 24 53 02 66 5b 46 02 66 ........$S.f[F.f
0012f2dc b5 45 01 66 64 8b 15 00 - 0c f3 12 00 33 b6 0e 66 .E.fd.......3..f
0012f2ec 64 8b 15 00 df 00 05 66 - 24 00 00 00 00 00 00 00 d......f$.......
0012f2fc 9e 04 00 00 00 00 00 00 - 08 f4 12 00 01 00 00 00 ................
0012f30c dc f3 12 00 00 00 00 00 - 64 8b 15 00 24 00 00 00 ........d...$...
0012f31c cc 59 05 66 00 00 00 00 - a4 72 15 00 00 00 00 00 .Y.f.....r......
0012f32c 00 00 00 00 00 00 00 00 - d4 f3 12 00 70 5f 0e 66 ............p_.f
0012f33c 07 04 00 00 00 00 00 00 - a4 45 42 00 04 00 00 00 .........EB.....
0012f34c 44 c6 20 00 00 00 00 00 - 00 01 00 00 44 c6 20 00 D. .........D. .
0012f35c 40 90 36 65 00 00 00 00 - cc 87 14 00 20 6c 13 00 @.6e........ l..
0012f36c 20 00 00 00 00 00 00 00 - 20 00 00 00 00 00 00 00 ....... .......
0012f37c f8 e5 13 00 00 00 00 00 - b4 f3 12 00 00 00 00 00 ................
0012f38c 6b f5 f9 77 00 00 00 00 - 00 00 13 00 00 00 00 00 k..w............
0012f39c 90 f3 12 00 00 00 00 00 - 20 6c 13 00 d8 f3 12 00 ........ l......
0012f3ac 11 83 b9 77 00 00 00 00 - 00 00 00 00 40 c6 20 00 ...w........@. .
0012f3bc 0f f9 39 65 00 00 00 00 - 40 c6 20 00 4c c6 20 00 ..9e....@. .L. .
0012f3cc 40 c6 20 00 00 00 00 00 - 20 00 00 00 bc f4 12 00 @. ..... .......
0012f3dc 67 92 36 65 00 00 00 00 - 10 00 00 00 10 92 36 65 g.6e..........6e
0012f3ec 71 70 04 66 00 00 00 00 - 24 53 02 66 5b 46 02 66 qp.f....$S.f[F.f

Statusabbild für Thread-ID 0x11e

eax=000000a0 ebx=023cff24 ecx=00000094 edx=00000000 esi=7ffdf000 edi=00000001
eip=77f7838b esp=023cff00 ebp=023cff54 iopl=0 nv up ei pl nz ac pe cy
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000213


Funktion: NtWaitForMultipleObjects
77f78380 b8c4000000 mov eax,0xc4
77f78385 8d542404 lea edx,[esp+0x4] ss:0387e907=????????
77f78389 cd2e int 2e
77f7838b c21400 ret 0x14
77f7838e 8bc0 mov eax,eax

*----> Stack Back Trace <----*

FramePtr ReturnAd Param#1 Param#2 Param#3 Param#4 Function Name
023cff54 77f1d06a 00000002 023cff98 00000000 ffffffff ntdll!NtWaitForMultipleObjects
023cff70 65352a46 00000002 023cff98 00000000 ffffffff kernel32!WaitForMultipleObjects
023cffb4 77f79183 77f04eeb 00000000 77f4181f 77f3fd50 oleaut32!GetAltMonthNames (FPO: [EBP 0xffffffff] [1,9,4])
ffffffff 00000000 00000000 00000000 00000000 00000000 ntdll!CsrNewThread

*----> Raw Stack Dump <----*
023cff00 5d d1 f1 77 02 00 00 00 - 24 ff 3c 02 01 00 00 00 ]..w....$.<.....
023cff10 00 00 00 00 00 00 00 00 - 90 00 00 00 a0 00 00 00 ................
023cff20 0b af dd 77 94 00 00 00 - a0 00 00 00 01 00 00 00 ...w............
023cff30 17 00 01 00 a8 01 da 00 - 75 af dd 77 90 00 00 00 ........u..w....
023cff40 a0 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
023cff50 00 00 00 00 70 ff 3c 02 - 6a d0 f1 77 02 00 00 00 ....p.<.j..w....
023cff60 98 ff 3c 02 00 00 00 00 - ff ff ff ff 00 00 00 00 ..<.............
023cff70 54 d0 f1 77 46 2a 35 65 - 02 00 00 00 98 ff 3c 02 T..wF*5e......<.
023cff80 00 00 00 00 ff ff ff ff - 1f 18 f4 77 50 fd f3 77 ...........wP..w
023cff90 ec ff 3c 02 00 00 00 00 - 94 00 00 00 a0 00 00 00 ..<.............
023cffa0 46 02 00 00 83 77 11 80 - e0 d6 54 81 80 d5 54 81 F....w....T...T.
023cffb0 b4 c9 11 80 00 00 00 00 - 83 91 f7 77 eb 4e f0 77 ...........w.N.w
023cffc0 00 00 00 00 1f 18 f4 77 - 50 fd f3 77 00 00 00 00 .......wP..w....
023cffd0 50 fd f3 77 c4 ff 3c 02 - 94 f4 12 00 ff ff ff ff P..w..<.........
023cffe0 a8 ba f3 77 50 d2 f3 77 - 00 00 00 00 00 00 00 00 ...wP..w........
023cfff0 00 00 00 00 c0 29 35 65 - 00 00 00 00 00 00 00 00 .....)5e........
023d0000 4d 5a 90 00 03 00 00 00 - 04 00 00 00 ff ff 00 00 MZ..............
023d0010 b8 00 00 00 00 00 00 00 - 40 00 00 00 00 00 00 00 ........@.......
023d0020 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
023d0030 00 00 00 00 00 00 00 00 - 00 00 00 00 b0 00 00 00 ................
__________________

Alt 25.12.2004, 13:51   #4
chaosman
 
217.237.151.161  ??? - Standard

217.237.151.161 ???



@Berferd
bin kein netzwekexperte, habe deine liste mit prozesse gegoogelt,
bei dieser hier habe ich nichts gefunden(war der einzigste)
196 M800_Toolbox.ex.exe
kennst du diesen eintrag?
Hijackthis kannst du bei probleme umtaufen in z.B. pruefung.com
chaosman
__________________
Bonus vir semper tiro

Alt 25.12.2004, 17:14   #5
Berferd
 
217.237.151.161  ??? - Pfeil

217.237.151.161 ???



@chaosman:
Das mit dem umbennenen hatte ich bereits beim dl von HijackThis gelesen und bereits ausprobiert, aber keine Besserung.
Der Task 196 ist die M800 Toolbox vom Notebook (es handelt sich um ein Siemens Scenic Mobile 800S). Wieso die allerdings so komisch erscheint (mit dem zus. .ex) weiss ich nicht. War aber glaub ich schon immer so.

Übrigens stürzt die lanconf.exe (das ist die SW um den Router zu Konfigurieren) beim BEENDEN der SW ab ??? Das ist seit dem vorletzten Update vom lanconf-SW so. Zudem startet diese bei jedem neuen booten automatisch. Iist wohl in den runs drin, aber wieso nur???
Ich hab deswegen schon vor 2 Monaten bei LANCOM SYSTEMS angefragt aber bis jetzt keine Antwort :-(

Ich hoffe doch, das es nicht damit zusammenhängt.


Bin bereit weitere Vorschläge, ich steig da echt nicht mehr durch

Oskar


Alt 25.12.2004, 17:29   #6
Lucky
/// Helfer-Team
 
217.237.151.161  ??? - Standard

217.237.151.161 ???



Name: www-proxy.S1.srv.t-online.de
Address: 217.237.151.161

Die IP ist der WWW Proxy von Tonline. Somit dein DNS Server.

- björn
__________________
--> 217.237.151.161 ???

Geändert von Lucky (25.12.2004 um 17:38 Uhr)

Alt 25.12.2004, 18:41   #7
Berferd
 
217.237.151.161  ??? - Pfeil

217.237.151.161 ???



Hi Lucky!!!

Vielen Dank für deine Recherche. Das es sich um einen DNS-Server handelt war mir bekannt. Jetzt weiß ich auch, daß es einer von T-online ist.
Das Problem hierbei ist, daß mein Provider nicht T-Online ist, sondern 1&1.
Und wie schon erwähnt, kommt die Firewallmeldung ca. 1 mal im Monat.
Ich hab die IP auch nirgends als DNS oder sonstwas eingetragen.

Als nächstes habe ich mich nochmal mit HijackThis beschäftigt.
Es stürzt bei der Scanoption "O23 - NT Services" ab.
(Die LANCOM-SW habe ich deinstalliert & die restl. Daten in den Verzeichnisen gelöscht und dann neu installiert. Ohne Änderung des Lanconf-Problems. Stört mich aber momentan nicht weiter)

Jetzt kommen aber erst die richtig großen Probleme:
in meinem Hauptverzeichnis befindet sich auf einmal eine Datei "23990098.$$$" (mit heutigem Datum), darin 2 Passwörter für Router-Config und Internet-Zugang
Außerdem befindet sich dort noch eine Datei "AVPCallback.log" mit heutigem Datum. Darin ist eine Nummer

Ich hab escan heruntergeladen und laufen lassen, kann es sein daß zumindest die eine Datei daher kommt ???

Ich gehe jetzt auf jeden Fall mal Paßwörter ändern (von einem anderen Rechner aus).



Grüße
Oskar

Antwort

Themen zu 217.237.151.161 ???
192.168.0.2, dns-server, email, erkannt, festplatte, filter, frage, hängt, internen, kis, leute, mcafee, nicht erkannt, office, rechner, rechner hängt, router, server, system, tan, this, trojaner, udp, updates, virusscan, win, zufällig



Zum Thema 217.237.151.161 ??? - Hallo Leute! Ich hab seit ein paar Monaten was ganz suspektes am laufen Ich bekomme ca. ein mal im Monat eine komische Firewall-Meldung. Das wäre nicht ungewöhnlich, wenn ich zu - 217.237.151.161 ???...
Archiv
Du betrachtest: 217.237.151.161 ??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.