|
babe.the-killer.bz:... Hallo Leute, Ich bin heut zufällig auf etwas sehr merkwürdiges gestoßen: Ich hab mal ViewTCP gestartet(warum, weiß ich nicht mal!), und neben anderen, unverdächtigen, folgende merkwürdige Einträge gefunden: alg.exe:1856 TCP babe.the-killer.bz:1027 xxx:0 Listening winmysqladmin.exe:1568 TCP babe.the-killer.bz:1039 babe.the-killer.bz:3306 Established firefox.exe:3420 TCP babe.the-killer.bz:1066 babe.the-killer.bz:1067 Established firefox.exe:3420 TCP babe.the-killer.bz:1067 babe.the-killer.bz:1066 Established mysqld-nt.exe:1356 TCP babe.the-killer.bz:3306 babe.the-killer.bz:1039 Established svchost.exe:716 UDP babe.the-killer.bz:123 (ntp) ***** - iexplore.exe:2916 UDP babe.the-killer.bz:1142 ***** - Hab ich da was auf meinem Rechner, wovon ich nix weiß/wissen soll? KAV5.0 findet nichts, Spybot ist ebenfalls ruhig. Hier noch das HJT-Logfile, falls es hilfreich sein sollte: Logfile of HijackThis v1.99.1 Scan saved at 23:00:43, on 14.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\wfxsnt40.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\borland\interbase\bin\ibguard.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\borland\interbase\bin\ibserver.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\mysql\bin\winmysqladmin.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\BASES_X\MWAVSCAN.COM C:\BASES_X\kavss.exe C:\BASES_X\viewtcp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Microsoft Small Business Manager.lnk = C:\Programme\Microsoft SBM\MsSBM.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O15 - Trusted Zone: h**p://www.ewido.net O15 - Trusted Zone: h**p://support.f-secure.com O15 - Trusted Zone: h**p://support.f-secure.de O15 - Trusted Zone: h**p://www.kaspersky.com O15 - Trusted Zone: h**p://www.pandasoftware.com O15 - Trusted Zone: h**p://de.trendmicro-europe.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe PS.: Ich hab natürlich die Suche bemüht, aber zu obigem Stichwort weit über 300 Threads gefunden. Diejenigen, bei denen ich nach Informationen gesucht habe, hatten aber offensichtlich nichts oder nur am Rande mit meinem Suchbegriff zu tun, weshalb ich mich dazu entschlossen habe, hier eine Anfrage zu starten. mfg Kurt |
|
Hallo stupormundi, offensichtlich unterscheidet sich die Downloadversion von der in der Hilfe beschriebenen, denn die dort angemerkte Option "Scan through Windows Explorer" ist bei mir nicht verfügbar, ansonst ist die Beschreibung aber übereinstimmend mit meiner Version von Blacklight. Scanergebnis:no hidden items found. show all processes: total number of processes: 44 1 System Idle process PID 0 2 System PID 4 3 smss.exe PID 344 4 csrss.exe PID 392 5 winlogon.exe PID 416 6 sevices.exe PID 460 7 lsass.exe PID 472 8 svchost.exe PID 636 9 svchost.exe PID 684 10 svchost.exe PID 716 11 svchost.exe PID 780 12 ehtray.exe PID 836 13 spoolsv.exe PID 908 14 WkCalRem.exe PID 940 15 wfxsnt40.exe PID 964 16 ibguard.exe PID 980 17 ibserver.exe PID 1000 18 TeaTimer.exe PID 1004 19 fpassist.exe PID 1012 20 jusched.exe PID 1016 21 ehmsas.exe PID 1056 22 Explorer.EXE PID 1100 23 ehRecvr.exe PID 1204 24 ehSched.exe PID 1216 25 firefox.exe PID 1324 26 mysqld-nt.exe PID 1356 27 WFXCTL32.exe PID 1396 28 PhLeAutoRun.exe PID 1404 29 winmysqladmin.exe PID 1568 30 OSA.EXE PID 1572 31 FINDFAST.EXE PID 1596 32 dllhost.exe PID 1668 33 alg.exe PID 1856 34 SpybotSD.exe PID 2292 35 iexplore.exe PID 2356 36 WFXMOD32.EXE PID 2460 37 svchost.exe PID 2468 38 hookAnalyzer.exe PID 2584 39 msimn.exe PID 2780 40 msmsgs.exe PID 2808 41 bibeta.exe PID 2900 42 iexplore.exe PID 2916 43 NOTEPAD.EXE PID 3848 44 notepad.exe PID 3988 Ich hab das abgeschrieben, da es sich nicht kopieren ließ. Ein Logfile im eigentlichen Sinne hab ich nirgens gefunden. Auch der "RootkitHookAnalyzer" fand nur im Zusammenhang mit KAV in verschiedene Services eingeklinkte Anwendungen (klif.sys,kl1.sys) mfg Kurt |
Servus wieder! Öffne mal Deine hosts-Datei (sollte hier "C:\Windows\System32\Drivers\Etc" zu finden sein) und ergänze mal diesen Eintrag 127.0.0.1 babe.the-killer.bz Speichern und neu starten! Dann mach ein neues viewtcp Log Dann lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi |
hm... Also, in der Hosts-Datei brauch ich nix ergänzen, da steht jede Menge drin. Hier mal die erste, relevanten Zeilen: # Start of entries inserted by Spybot - Search & Destroy 127.0.0.1 babe.the-killer.bz 127.0.0.1 w*w.babe.the-killer.bz 127.0.0.1 babe.k-lined.com 127.0.0.1 w*w.babe.k-lined.com 127.0.0.1 did.i-used.cc 127.0.0.1 w*w.did.i-used.cc 127.0.0.1 coolwwwsearch.com 127.0.0.1 w*w.coolwwwsearch.com Hier mal die kompletten Netzwerksaktivitäten auf meinem PC (eScan->View Network Activity), wobei ich den Computernamen durch drei "xxx" ersetzt habe: System:4 TCP xxx:445 (microsoft-ds) xxx:0 Listening [System Process]:1244 TCP xxx:1033 xxx:0 Listening [System Process]:1244 TCP xxx:1034 xxx:0 Listening ibserver.exe:1000 TCP xxx:3050 xxx:0 Listening mysqld-nt.exe:1356 TCP xxx:3306 xxx:0 Listening alg.exe:1856 TCP babe.the-killer.bz:1027 xxx:0 Listening winmysqladmin.exe:1568 TCP babe.the-killer.bz:1039 babe.the-killer.bz:3306 Established firefox.exe:1324 TCP babe.the-killer.bz:1684 babe.the-killer.bz:1685 Established firefox.exe:1324 TCP babe.the-killer.bz:1685 babe.the-killer.bz:1684 Established mysqld-nt.exe:1356 TCP babe.the-killer.bz:3306 babe.the-killer.bz:1039 Established System:4 TCP xxx.intern:139 (netbios-ssn) xxx:0 Listening firefox.exe:1324 TCP xxx.intern:1725 kundenserver.de:80 (http) Established System:4 UDP xxx:445 (microsoft-ds) ***** - spoolsv.exe:908 UDP xxx:1029 ***** - svchost.exe:716 UDP babe.the-killer.bz:123 (ntp) ***** - iexplore.exe:2916 UDP babe.the-killer.bz:1142 ***** - svchost.exe:716 UDP xxx.intern:123 (ntp) ***** - System:4 UDP xxx.intern:137 (netbios-ns) ***** - System:4 UDP xxx.intern:138 (netbios-dgm) ***** - Den Scan im abgesicherten Modus werd ich gleich anschließend machen und das Ergebnis hier posten. mfg Kurt |
Also, das hat ja gedauert... Hier das Ergebnis aus der find.bat: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon May 15 13:03:51 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken. Mon May 15 13:03:53 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Mon May 15 13:03:53 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Mon May 15 13:03:54 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken. Mon May 15 13:03:54 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Mon May 15 13:03:54 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Mon May 15 13:03:54 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Mon May 15 13:33:06 2006 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav Mon May 15 15:10:38 2006 => Total Disinfected Objects: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon May 15 13:03:51 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ Mon May 15 13:03:53 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\autostart\controller.lnk Mon May 15 13:03:53 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\symantec winfax pro\controller.lnk Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Dokumente\mce logs\firstrun.log Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\autostart\controller.lnk Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\symantec winfax pro\controller.lnk Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\controller.lnk ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon May 15 15:10:38 2006 => Total Errors: 491 Mon May 15 15:10:38 2006 => Time Elapsed: 02:07:38 Mon May 15 15:10:38 2006 => Total Objects Scanned: 111928 Mon May 15 13:01:43 2006 => Virus Database Date: 5/15/2006 Mon May 15 15:10:38 2006 => Virus Database Date: 5/15/2006 Mon May 15 15:17:17 2006 => Virus Database Date: 5/15/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Das einzige, mir nicht bekannte File, welches hier Alarm ausgelöst hat, ist das: C:\Dokumente und Einstellungen\All Users\Dokumente\mce logs\firstrun.log Da weiß ich echt nicht, wo ich das zuordnen könnte, während die beiden anderen zu zwei bekannten Anwendungen gehören. mfg Kurt |
http://www.de.sophos.com/virusinfo/a.../w32rbotm.html :teufel1: Zitat:
|
Also, danke für deinen Einwand, aber ich glaube, nicht. Die nach der Anleitung von Sophos vorhanden sein müssenden Registrierungseinträge unter HKLM und HKCU (Microsoft Update Time=wuam.exe) sind bei mir samt und sonders nicht vorhanden. Ausserdem ist das Teil schon so alt, daß KAV ihn mit Sicherheit finden würde. Ganz offensichtlich existiert obengenannte wuam.exe auch nicht auf meinem Rechner, zumindest hat die Dateisuche nichts ergeben. Kann es sein, daß diese Einträge noch Reste einer ehemaligen Infektion mit einem Hijacker sind und diese den damaligen Entfernungsversuchen bereits zum Opfer gefallen ist? http://www.trojaner-board.de/showthread.php?t=25124 Wenn ja, wie kann man das dann noch bereinigen? mfg Kurt |
Bei einer Bereinigung kann es immer vorkommen, dass nicht alle Schädlinge entfernt werden. Es kann auch mitunter vorkommen, dass die Schädlinge entfernt werden, aber die Änderungen, die diese vornahmen, nicht rückgängig gemacht worden sind - wenn das überhaupt möglich ist, denn nicht jeder Schädling ist bekannt, von daher weiß man auch nicht wirklich, was diese nun genau anstellen. Eine Gewissheit bringt nur das Neuaufsetzen von Originalmedien, dann kann man ausschließen, dass noch Schädlingsreste vorhanden sind. |
Nun, ich lass auf jeden Fall mal einen Onlinescan bei http://www.kaspersky.com/virusscanner drüberlaufen, für den Fall, daß mein OnBoardscanner korrumpiert ist. Zur Zeit zeigt sich nichts, aber ich melde mich auf alle Fälle nochmal mit dem Endergebnis. Zudem wäre auch noch interessant, wie ich diese Einträge bei meinen Netzwerksaktivitäten abändern kann, auch wenn keine Infektion mehr vorliegt. NACHTRAG: Der Scan der kritischen Bereiche hat keinerlei Infektion zutage gefördert, nun laß ich über Nacht noch einen kompletten Scan alle Platten machen, mal sehen, was morgen ist. Gute Nacht und vorläufig Danke an euch alle für eure Unterstützung mfg Kurt |
So, nun ist's gewiss, KAV-Online hat auch beim Totalcheck nichts gefunden. Nun bleibt nur die Frage, wodurch die Verbindungen zu besagter Seite verursacht werden und wie diese beseitigt werden können. Hat da jemand mal Ahnung von? mfg Kurt |
Hi, folgende Überlegung. SpyBot trägt anscheinend in dei hosts-Datei jede Menge verdächtige URLs als Localhost (127.0.0.1) ein. Wenn dann irgendein Programm auf so eine URL zugreifen will, wird localhost direkt aufgelöst und keine DNS-Anfrag gestellt. Die ausgehende Verbindung läuft also ins Leere... Das scheint dazu zu führen, das etwa ein Firewall oder ein anderes Programm bei einem Verbindungsversuch an einen lokalen Port (ist ja 127.0.0.1) eine Namensauflösung macht und entsprechend der hosts-Datei den ersten Eintrag dafür nimmt. Das ist derzeit wohl babe.the-killer.vz. Scheint also unkritisch zu sein. Du könntest eine leere Kopie der hosts-Datei anlegen und mal schauen, was dann kommt. Die liegt hier: C:\WINDOWS\system32\drivers\etc |
Hi, deine Theorie ist richtig und belegt wieder nur einmal mehr, was der Esc an ist: Schrott. Allerdings hoffen wir doch alle, dass Kurt sich in der Zwischenzeit davon verabschiedet hat, der Thread ist weit über zwei Jahre alt, ansonsten hat er sicher verzweifelt und ist auf eine Schreibmaschine umgestiegen (eine mechanische natürlich). Warum melden sich eigentlich hier Leute an um solche Threadleichen nach oben zu pushen? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board