Trojaner-Board - Browser injected

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Browser injected (https://www.trojaner-board.de/59192-browser-injected.html)

Browser injected

Hallo,
ich wurde neulich von jemand in MSN geaddet, doch als dieser nichts schrieb kahm mir das komisch vor.

ich gab netstat -a ein, schloss sich nach vier sekunden!

habe das netzwerkkabel rausgezogen, ging nicht aus.

Nun habe ich festgestellt, wenn ich mich ausloggen will das dies nicht mehr möglich ist.

Habe auch schon was von nem Reg Eintrag gehört, wenn den jemand kennt wäre sehr dankbar.

nun beim Start von firefox,ie,thunderbird und dem "Windows DNS irgendwas" meldet Zonealarm neben DNS abfragen auch nach ner Serververbindung auf port 50000 irgendwas.

Soo habe ff mal hochgeladen :

http://anubis.iseclab.org/result.php...d5df&refresh=1
Es verbindet sich zu einer 1und1 Leitung auf Port 8080. Mir war klar DDos Bot.

Achja, das DNS ist dies : SearchFilterHost.exe in system32. hab nochnie was von gesehen? gehört das zu vista.

Bitte Antwort wie ich das aus mehreren Anwendungen bekomme, firefox hab ich neuinstalliert, jedoch lesezeichen profile und so drin gelassen.

Ich leere jetzt noch den Cache und lade die SearchFilterHost.exe bei virustotal hoch.

Ich schau immer hier rein ;)

ach noch was, nach ner Zeit laden alle Seiten nur noch (also ich seh die alte und der Balken wird voll und wieder klein....)

Wenn ich die firefox.exe kille, dann verschwindet er zwar, aber habe noch den prozess mit 100k drin, früher ging er dann aus und ich konnte neustarten bei bugs. Habe schon AutoStart rausgehauen aber trotzdem ist er perresistent.

Bitte helft mir und hoffentlich ist das teil PUB. Auch wenn KIS 2009 nichts findet! GoToHell Flooder :teufel1:

Schade wäre so schön ... SearchFilterHost.exe hat schon jemand vor 5 Tagen analysiert... nichts. Und wäre sie infected wärs schon in name update drin..

komischerweiße läuft ein hidden task der ieuser.exe heißt. ist es normal das ie bei drei tabs 100mb ram frisst? nein! ieuser ist angeblich clean.

Hijack this :

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:55:54, on 04.09.2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Windows\system32\conime.exe

C:\Program Files\QIP\qip.exe

D:\Program Files\CSS\Steam.exe

F:\CodeGearRAD\CodeGear\RAD Studio\5.0\Bin\bds.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Security Task Manager\taskman.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\SearchFilterHost.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm

O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll

O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O13 - Gopher Prefix: 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D18D203-B55D-4F1E-A0D1-BAC60AB0364E}: NameServer = 192.168.0.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: wbsys.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: BlackfishSQL - CodeGear - F:\CodeGearRAD\CodeGear\RAD Studio\5.0\bin\BSQLServer.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Creative ALchemy AL1 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\AL1Licensing.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative HOAL Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTHOALLicensing.exe

O23 - Service: Creative Media Toolbox 6 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\MT6Licensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_1\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_1\bin\fbserver.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: mysql - Unknown owner - D:\Programme\Xampp\mysql\bin\mysqld-nt.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Sascha\Sandboxie\SbieSvc.exe

O23 - Service: Scramby Service (ScrambySrv) - RapidSolution - C:\Program Files\Scramby\ScrambyServer.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Franzis\Alcohol Virtual CD + DVD\StarWind\StarWindService.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Program Files\TeamViewer3\TeamViewer_Host.exe

O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - D:\Sascha\VMWARE\vmware-ufad.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Sascha\VMWARE\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
 

--

End of file - 11609 bytes

Creative Audio ist mein Headset!

irgendwie konnte ich nicht mehr editieren, naja ich weiß jetzt was es war...

Virustotal. MD5: 2e1ef769b0d63454c4a7ee7b1f53158e Trojan-Dropper.Win32.VB.cte Win32:Trojan-gen {Other} Dropper.Generic.AAQX

Ein VB Dropper also... da stand TS TeleFon Bot und ich hab natürlich nich drauf geachtet. ok dann kahm aber ein TS Flooder.. naja hab ich gedacht ham die sich vertan^^.

jetzt weiß ich es.

RapidShare: Easy Filehosting
Ich bitte euch es zu reversen und zu sagen wo der trjoaner hin ist(auch wenn er sich injected, irgenwo sollte der sein, denn dann kann ich den löschen oder ihr könnt nachgucken was der macht^^ (wenn ihrs könnt). naja oben hatte ich geschrieben bot war wohl schon müde :) 8080 ist der BiFrost Port, weil er nicht so aufällt (80 is ja web)

EDIT : WTF?? Acrobat Reader versucht auch als server zu fungieren auf port 50000+

und alle machen einen DNS Lookup die ip muss ich mal notieren

Kann wieder nicht editen :uglyhammer:

habs photografiert, sogar photoshop und acrobat reader connecten.

Also :

Iexplorer,firefox,thunderbird,acrobatreader,photoshop

Alle 5 injected. d.h. es ist mehr oder weniger klar warum er den autostart überlebt hat...

Normalerweißte müsste noch eine serverconnection auf 50k kommen.

die ip geht zu kasserver.com

http://img3.imagebanana.com/img/agtuggyf/zugriff1.jpg

Hi,

so schnell geht das nicht, ich mache auch kein Hehl draus, dass ich in keinem Code so ungern grabe wie in Visual Basic, einfach furchtbar. Da ist es interessanter, die Programme auf einem Testsystem laufen zu lassen. das ich allerdings erstmal installieren müsste. Vielleicht habe ich nächte Woche etwas zeit dafür über, bis dahin hast Du dein System aber schon locker neu aufgesetzt, mehrfach wenn es sein muss. Aber warum eigentlich, Du hast ja bereits ein Testsystem aufgesetzt.

Etwas Untersuchung von außen hat ergeben, dass du zum einen einen Biforst hast, der mit Epiphones Cryptor behandelt wurde. Zum einen irgend ein Programm, das irgendwas mit Teamspeak macht, ich kann mir gut vorstellen, dass auch dort ein Backdoorserver kommunizieren kann, da fallen Bots noch weniger auf.

Wenn man den Test dann fertig hat, dann installiert man ein solches Testsystem neu. Oder spielt das vorher angefertigte Image zurück.

Gruß, Karl

Ich weiß nicht wie ich es im Testsystem rausfinde. gibts da programme die schreibzugriffe erkennen?

Ich kenne Epiphone, glaube zwar nicht das er mir die locations seines crypters sagt aber mal sehen

Epiphone meinte, der crypter legt die dateien nirgens besonderes ab oder so, also könne er nichts tun.

Er sagte aber, wenn der trojaner weg ist geht auch ff wieder (ich hab ihn schon neuinstalled nichts)

Bifrost verändert also nur den RAM.

kann ich irgendwie dies verhindern? habs schon mit Sandboxie versucht, aber dann ist er darin auch perresistent, und wenn ich sandboxie beende is der prozess so aufm rechner.

Leider kann ich windows nicht reparieren da ich nur ne Recovery CD hatte, die alles löscht, also nicht nur die windows kern dateien. :heulen:

kann sich nicht jemand das ding angucken? ist ja nur ein Public server, sehr Public.

Aber zum Glück läuft bifi auf vista nicht so gut
Falls er ihn von selbst removed, weil er sieht das ich seine ip und alles hab, dann lass ich das auch mit abuse !.

Also wenn Du diesen Menschen persönlich kennst, dann steigt in mir langsam ein gewisser Verdacht. Du wärst nicht der erste Mensch, dem beim rumspielen ein Backdoorserver entglitten ist. Natürlich kann Epiphone gar nichts für dich tun (vermutlich hat er heftig abgelacht). wo Bifrost liegt. Das legt jemand anderes fest.

Er verändert aber nicht nur das RAM, sondern auch mindestens die Festplatte, denn dort hast Du ihn ja installiert. Würde er wirklich nur im Speicher sitzen, wäre die Sache mit einem Neustart erledigt. Irgendwie hättest Du dich vorher schlau machen sollen.

Sandboxie nützt da gar nichts. Hätte möglicherweise dein System vor der Installation bewahren können, wenn du es von einem Browser innerhalb von Sandboxie aus probiert hättest. Hinterher aber eh zu spät.

Die Reparaturinstallation vpon Windows ist ebenfalls sinnlos. Ihr Vorteil ist es, das installierte Software erhalten bleibt, manchmal funktioniert das sogar. Der Nachteil ist, dass dabei nicht zwischen Gut und Böse unterschieden wird, also kein Mittel zur Malwareentfernung. Bei beschädigter Registry oder ähnlichem kann sie helfen. Wobei nach meinem einzigen Versuch das System danach derart angeschlagen war dass ich dann gleich noch formatiert habe.

Voraussichtlich im Lauf der nächten Woche könnte ich mal etwas Zeit haben, ein Testsystem aufzusetzen und den Server drauf zu starten. Allerdings was erwartest Du dabei? Das Ziel, wo er hinverbindet hast Du ja schon raus. Falls es um die Frage geht, wo er in deinem Dateisystem sitzt, sollte ein Log von Silentrunners oder Autroruns Auskunft geben. Die Serverdatei ist ja auch nicht das eigentliche Problem, sondern die Frage, was der unbekannte Remoteadministrator alles an deinem System umgebaut hat, welche Sicherheitslücken er hineingepatcht hat, usw. Da hilft nur neuinstallieren.

1, Nein ich hatte Leute zum Programmieren gesucht und da hatt ich ihn in icq.

2. Das er da ist war klar, aber seine "Wirte" werden nur im RAM verändert

3. Mit Sandboxie wollte ich verhindern dass er am browser was macht (nach ner zeit ladet er nicht mehr neu und der prozess bleibt)

4. Ok das wusste ich nicht, das ist halt wieder windows^^ :taenzer:
5. Ich habe ja einen Hijackthis lock gepostet, nach löschen des Autostarts (ne bin nicht blöd, denn hätte das was gebracht bräuchte ich hier nicht zu posten.)

6. Wenn das Stimmt das er nur im RAM was macht, also dort den Arbeitspeicher "freezed" wie manche cheats, dann müsste man den Server löschen

Im Hijackthis gibt es keine Hinweise. Das ist normal, Hijackthis ist ein höchst veraltetes Tool, das vieles nicht anzeigen kann. Silentrunners oder Autoruns sollten es zeigen können.

Üblich ist, dass das Programm einen Browser versteckt startet und sich dort dann in "injected", dies im Speicher. Hat den Vorteil, dass den Browser normalerweise jeder Mensch ins Internet lässt und damit die Versuche einer Firewall ausgehebelt sind. Kommen aber auch alle anderen Programme in Frage, solange man damit rechnen kann, dass ein User sie für vertrauenswürdig hält. es muss aber auch was auf der Platte sein, schließlich kann er im Speicher nicht überleben, wenn Du den Rechner ausschaltest. Dazu ein Autostart (meistens in der Registry) damit das dann wieder aktiviert wird.

Im RAM macht alle Software was. "Arbeitspeicher freezed wie manche cheats", keine Ahnung was damit gemeint ist. Vielleicht nur eine coolere Bezeichnung dafür, dass das Programm schlecht programmiert ist und den Rechner abstürzen lässt, einen Deadlock verursacht, usw?

"Server löschen" schön und gut, dafür müsste man wissen wo er ist, siehe Absatz eins. Wenn er dann gelöscht ist, weißt Du nicht, was der Remote -Administrator alles auf dem Rechner gemacht hat. Er hat bestimmt kein Log hinterlassen. Eine weitere Backdoor eingebaut, eventuell in eine Systemdatei gepatcht? Vielleicht auch nur einen Fehler, mit dem der Rechner später wieder neu infiziert werden kann. Mir könnten noch viele creative und bösartige Sachen mehr einfallen. Um da sicher zu gehen, gibt es eben nur eins.

bin mir sicher das der sich nicht so gut auskennt.

Eben ein "Trojaner Kiddie"

Das einzigst komische ist das es im Autostart auch nach dessen Löschung noch drin ist..

(weiß nicht vllt hattich dannach noch firefox an, muss ich nochmal testen.)

Mit Freezed meinte ich, dass es den Arbeitsspeicher bearbeitet und dadurch code ausführt

ich nehm mal Silentrunners.

Zu dem Argument mit Browser, ja ok aber es ist überal drin. Im ServerBrowser von CSS, in Adobe Reader, in beiden Browser, In Photoshop.. naja was ein Glück das das nichts an der exe auf der Festplatte ändert (dass wäre wohl zu auffälig).

Wie gesagt, ich denke das ist nur einer auf der Suche Nach kreditkarten, oder Steam Accounts und so.

Zu den DNS Abfragen:
Ich habe seit ein paar Tagen (wieder) Zonealarm Kostenlos installiert und bekomme die Meldung bei diversen Programmen ebenso - das war allerdings früher auch schon mal so. Mit einer anderen Personal Firewall (GData 2008) gab es die Meldung nicht bzw. es wurde auch nichts protokolliert.

Auch ist es z.B. bei Thunderbird immer eine andere IP, gerade eben war es heise.ivwbox.de:53. Wenn man den Windows DNS Client beendet, kommen diese Meldungen nicht mehr.

Auch kommen bei mir weder auf meinem Server (1. DNS, Linux + Bind9), noch auf meinem Router (Linux/OpenWRT, 2.DNS mit dnsmasq) irgendwelche Anfragen an - weder mit noch ohne DNS Client. (getestet mit tcpdump und dnstop).

Gerade die heise.ivwbox.de und ähnliche Adressen lassen mich eher vermuten das hier ein Fehler von Zonealaram vorliegt.
Könnten eventuell DNS Abfragen von Firefox sein (auf wenn er z.B. bei der Heise Abfrage gar nicht mehr geöffnet waren).

gut danke. aber dass die alle noch nen server aufmachen auf port 50000+ das ist nicht normal oder?

Naja was mich am meisten nervt ist der "mozilla bugg". Nach ca 5 std ist er in einem Endlos Reload, und ich muss pc neustarten. außerdem lässt er sich immer noch nicht beenden was zeigt das es nicht normal is ^^

Jeder Port ist so gut wie jeder andere, kann man einstellen welcher benutzt wird. Vielleicht denken manche Leute, dass eine hohe Zahl unauffälliger wäre.

Wegen dem "Mozilla Bug"? Ist das System schon neu installiert?

system nicht neuinstalliert.

Der Browser schon.

Das mit dem port weiß ich, aber wenn er mein DNS Lookups sind eher normal, das mit dem server wohl eher nicht oder?

wie siehts mit der analyse aus?