Internet
 

Hallo,

habe folgendes festgestellt wenn ich eine Internetverbindung tätige sofort nach ca. 7 Sekunden erscheint bei mir unter dem Ms-Dos-Fenster:
(nach ausführen von netstat -a !)

Pcname:1037 babe.the-killer.bz:1038 Hergestellt :teufel2:

Was soll das sein? :heulen:

MfG
:pukeface:

Hast du einen PC von Dell?

http://www.seifried.org/security/ports/1000/1038.html

sagt Dir "Sheridan County Players" was?

Sagt mir persönlich wenig.....Ist das ein Online-Spiel? :aplaus:

Und was soll ich jetzt tun? :nixda:

MfG
:confused:

Nein habe kein Dell Pc! :kloppen: :dummguck:

MfG

:sword2:

`P.S. Und was oder wer kann mir helfen :balla:

keine Ahnung was das ist, ich hab's nicht auf meinem PC und mein PC verbindet sich auch nicht dorthin, aber "babe.the-killer.bz" ist genau dies, bzw. dort gibt es "Sheridan County Players".
Such mal auf Deinem PC danach, schau in msconfig, mach ein HJT-Log (automatische Auswertung => http://www.hijackthis:de) nachfragen kannst Du auch hier. Obwohls mich jetzt sogar interessiert. Mach ein HJT-Log und knalls hier rein. http://www.trojaner-board.com/images/smilies/wink.gif

Servus,

mich würde interressieren wie du weisst das babe.... von dort kommt bzw. dorthin leitet?=(lass mich bitte net dumm sterben)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\GUCKSTDU\TCPVIEW\TCPVIEW.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS_199\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit &Google suchen - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.tui
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm


MfG

:huepp:

Servus,

hier noch der kleine Beweis....guckstdu: :headbang:

MfG
:kloppen: :heulen: :heulen:

Also wenn ich das Log auswerten soll, dann muss es auch komplett sein!

Hai,

mehr will der Log nicht hergeben oder ich kann kein posten...!?!? :crazy:
Logfile of HijackThis v1.99.0
Scan saved at 16:54:18, on 03.02.2005 :zzwhip:
Platform: Windows ME (Win9x 4.90.3000) :teufel3:
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) :snyper:



Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\CYBERLINK\POWERDVD\POWERDVD.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\GUCKSTDU\TCPVIEW\TCPVIEW.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS_199\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit &Google suchen - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.tui
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm


MfG
:nixda:

ja jetzt könnte es vollständig sein, ............http://www.trojaner-board.com/images/smilies/smile.gif
bringt uns allerdings auch nicht viel weiter http://www.trojaner-board.com/images/smilies/heulen.gif
(schaut soweit neutral aus)

Ist es immer noch so?
Wie stellst Du eine Internetverbindung her?
Mit der T-Online-Software?
via ISDN/MODEM/DSL?
T-Online-Browser?
IE?
FireFox?

Salve,

ja mann ist immer noch so.... :sleepy:

meine Internetverbindung wird mit Telekomplikation hergestellt. :o
T-Online 5.......Software :dummguck:
*echte Flatrate* :teufel1:
Browser Firefox Reloaded 1,. :party:
nur ab und zu wird IE 6.028......Sp1 und soweiter.... :heilig:


Sag mal kennst du noch ein Programm das die Host-Dateien auch noch überprüfen!?!? (Hijack..kann das auch.......!)


MfG



P.S. Alles platt machen wäre glaub am besten und dann nur noch mit Backup arbeiten!!!!

Freilich! Nennt sich Editor.
Keine Ahnung warum man dazu was anderes brauchen sollte!
Ausführen: edit %windir%\System32\Drivers\etc\hosts

Hai,

und bei Windows Me wie geht das....? :mad:

Wo ist das Host_Verzeichnis im Regedit? (Windows_pfad??) :schrei:

MfG
:pukeface:

uii... sorry hab's übersehen.
Da WinME nicht netzwerkgeeignet ist, hat es normalerweise keine Hosts-Datei. Aber wenn (du kannst eine anlegen) gehört sie IIRC einfach ins Windowsverzeichnis, also => edit c;\windows\hosts

Die Hosts-Datei hat mit Regedit und der Registry nichts zu tun, sie ist eine ganz normale reine Textdatei.

W32/Rbot-M ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten.
W32/Rbot-M enthält Backdoortrojaner-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund läuft.
W32/Rbot-M verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.
Wenn W32/Rbot-M gestartet wird, kopiert er sich mit dem Dateinamen wuam.exe in den Windows-Systemordner und löscht das Original der Datei mit dem Dateinamen wuam.exe.
Damit er automatisch beim Start von Windows aktiviert wird, erstellt W32/Rbot-M die folgenden Registrierungseinträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update Time=wuam.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update Time=wuam.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update Time=wuam.exe.
W32/Rbot-M versucht, das Host babe.thekiller.biz zu kontaktieren.

? was ist hier los? @babe_the_killer du postest auf dich selbst ne hilfe?
o.O
dann weißt du ja auch das du neuinstallieren musst und du diese anleitung beachten solltest

Sehr geehrte Damen und Herren, :teufel1:

meine Hosts_Datei war irgendwie verkehrt.... :crazy: (durch Spybot..wahrscheinliich oder hatte ich mal denn Wurm im System... :pfui: :aplaus:


MfG

Babe_the_killer ist wieder soweit clean..... ;)

P.S. Werde mein OS aber trotzdem nochmal neu aufsetzen demnächst.... :kloppen: :dummguck: