Hallo,

ich bin neu hier und brauche den Rat von Profis.
Habe zwar selbst schon versucht Antworten zu finden, bis jetzt aber ziemlich erfolglos.

Kurze Angaben zu meinem System:
Win XP Prof. SP2 mit aktuellen Patches
Virenscanner: Norton Internet Security 2007 (auch aktuell)


Nun zu dem Problem: Ich habe meinen Rechner mit Blacklight und Sophos Anti-Rootkit gescannt und beide Programme fanden die Datei iexplore.exe als Hidden Process. Dies auch, wenn der Internet Explorer gar nicht gestartet wurde. Hier mal ein Logfile von Blacklight:

------------------------------------------------------------------

04/06/07 03:05:28 [Info]: BlackLight Engine 1.0.61 initialized
04/06/07 03:05:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/06/07 03:05:28 [Note]: 7019 4
04/06/07 03:05:28 [Note]: 7005 0
04/06/07 03:05:30 [Note]: 7006 0
04/06/07 03:05:30 [Note]: 7011 1924
04/06/07 03:05:30 [Note]: 7026 0
04/06/07 03:05:30 [Note]: 7026 0
04/06/07 03:05:30 [Note]: 7024 3
04/06/07 03:05:30 [Info]: Hidden process: C:\Programme\Internet Explorer\iexplore.exe
04/06/07 03:05:31 [Note]: FSRAW library version 1.7.1021
04/06/07 03:12:09 [Note]: 7007 0

------------------------------------------------------------------

Auf der Internetseite von F-Secure fand ich folgenden Hinweis, der mir aber nicht wirklich weiterhilft:

------------------------------------------------------------------

Q: BlackLight shows that some important system files (e.g. explorer.exe, iexplore.exe) are hidden. What should I do?

A: It might be that a malicous program is trying to hide these system files for some reason, possibly by accident. You should not try to rename these files. If you are unable to distinguish important system files from malware, do not try to rename anything.

------------------------------------------------------------------

Ich habe dann mal den Rechner im abgesicherten Modus gestartet und die iexplore.exe umbenannt. Nach einem Neustart wird dann kein Hidden process von den beiden "Rootkit-Suchern" mehr angezeigt.

Das Logfile von Blacklight sieht dann so aus:

------------------------------------------------------------------
04/06/07 04:40:40 [Info]: BlackLight Engine 1.0.61 initialized
04/06/07 04:40:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/06/07 04:40:40 [Note]: 7019 4
04/06/07 04:40:40 [Note]: 7005 0
04/06/07 04:40:42 [Note]: 7006 0
04/06/07 04:40:42 [Note]: 7011 1380
04/06/07 04:40:42 [Note]: 7026 0
04/06/07 04:40:42 [Note]: 7026 0
04/06/07 04:40:43 [Note]: FSRAW library version 1.7.1021
------------------------------------------------------------------

Es gab bislang auch keine Auffälligkeiten des Rechners. Läuft sehr stabil über Wochen hinweg bei nahezu gleichbleibender Geschwindigkeit.

Was hat es also mit der Datei explore.exe als hidden process auf sich?
Bin da ziemlich ratlos und würde mich über jede Hilfe sehr freuen.

Viele Grüße und schöne Osterfeiertage
MS1

Entweder ist das ein Bug in Blacklight, oder da versucht tatsächlich jmd. den iexplore zu verstecken. Poste doch mal Logfile von HijackThis und tcpview.

Hallo cosinus,

vielen Dank schonmal für Deine Antwort.

Leider zeigt auch Sophos Anti-Rootkit den iexplore.exe als Hidden Process.

Habe mal die beiden von Dir empfohlenen Programm installiert und poste nun die Logfiles.

------------------------------------------------------------

1. Rechner mit im abgesicherten Modus umbenannter Iexplore.exe (Die Rootkit Scanner finden keinen Hidden Process mehr)

TcpView

------------------------------------------------------------

[System Process]:0 TCP admin-be51af45e:1036 localhost:1035 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:1039 localhost:1035 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:1041 localhost:1035 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:1042 localhost:1040 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:1043 localhost:1038 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:1044 localhost:1038 TIME_WAIT
[System Process]:0 TCP admin-be51af45e.home:2869 192.168.1.1:3383 TIME_WAIT
[System Process]:0 TCP admin-be51af45e.home:2869 192.168.1.1:3384 TIME_WAIT
alg.exe:712 TCP admin-be51af45e:1034 admin-be51af45e:0 LISTENING
ccApp.exe:2272 TCP admin-be51af45e:1037 admin-be51af45e:0 LISTENING
CCPROXY.EXE:844 TCP admin-be51af45e:1028 admin-be51af45e:0 LISTENING
CLI.exe:2280 TCP admin-be51af45e:1035 admin-be51af45e:0 LISTENING
CLI.exe:3112 TCP admin-be51af45e:1040 admin-be51af45e:0 LISTENING
CLI.exe:748 TCP admin-be51af45e:1038 admin-be51af45e:0 LISTENING
lsass.exe:1260 UDP admin-be51af45e:isakmp *:*
lsass.exe:1260 UDP admin-be51af45e:4500 *:*
oodag.exe:3668 TCP admin-be51af45e:50300 admin-be51af45e:0 LISTENING
svchost.exe:1576 TCP admin-be51af45e:epmap admin-be51af45e:0 LISTENING
svchost.exe:1780 UDP admin-be51af45e:ntp *:*
svchost.exe:1780 UDP admin-be51af45e.home:ntp *:*
svchost.exe:1904 UDP admin-be51af45e:1033 *:*
svchost.exe:412 TCP admin-be51af45e:2869 admin-be51af45e:0 LISTENING
svchost.exe:412 UDP admin-be51af45e:1900 *:*
svchost.exe:412 UDP admin-be51af45e.home:1900 *:*
System:4 TCP admin-be51af45e:microsoft-ds admin-be51af45e:0 LISTENING
System:4 TCP admin-be51af45e.home:netbios-ssn admin-be51af45e:0 LISTENING
System:4 UDP admin-be51af45e:microsoft-ds *:*
System:4 UDP admin-be51af45e.home:netbios-ns *:*
System:4 UDP admin-be51af45e.home:netbios-dgm *:*

------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:54:19, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\download\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600 (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P34 "EPSON Stylus Photo RX600 (Kopie 1)" /O6 "USB001" /M "Stylus Photo RX600"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O5 "LPT1:" /M "Stylus Photo RX600"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TMLCP - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Admin\LOKALE~1\Temp\TMLCP.exe


------------------------------------------------------------
------------------------------------------------------------

2. Rechner mit Iexplore.exe (Die Rootkit Scanner finden die Datei Iexplore.exe als Hidden Process)

TcpView
Hier finde ich die ersten drei Einträge auffällig. Im Programm TcpView wird
dabei auf Iexplore.exe verwiesen, obwohl das Programm nicht von mir gestartet wurde.

------------------------------------------------------------

<non-existent>:2616 UDP admin-be51af45e:3456 *:*
<non-existent>:2616 UDP admin-be51af45e:1205 *:*
<non-existent>:2616 UDP admin-be51af45e:1841 *:*
[System Process]:0 TCP admin-be51af45e:1032 localhost:1031 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:3248 localhost:1031 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:3273 localhost:1031 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:4548 localhost:1031 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:4756 localhost:3238 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:4760 localhost:3272 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:4762 localhost:3272 TIME_WAIT
[System Process]:0 TCP admin-be51af45e.home:2869 192.168.1.1:3385 TIME_WAIT
[System Process]:0 TCP admin-be51af45e.home:2869 192.168.1.1:3386 TIME_WAIT
alg.exe:2268 TCP admin-be51af45e:3620 admin-be51af45e:0 LISTENING
ccApp.exe:1044 TCP admin-be51af45e:2665 admin-be51af45e:0 LISTENING
CCPROXY.EXE:840 TCP admin-be51af45e:1028 admin-be51af45e:0 LISTENING
CLI.exe:2228 TCP admin-be51af45e:1031 admin-be51af45e:0 LISTENING
CLI.exe:3848 TCP admin-be51af45e:3272 admin-be51af45e:0 LISTENING
CLI.exe:3856 TCP admin-be51af45e:3238 admin-be51af45e:0 LISTENING
lsass.exe:1260 UDP admin-be51af45e:isakmp *:*
lsass.exe:1260 UDP admin-be51af45e:4500 *:*
oodag.exe:316 TCP admin-be51af45e:50300 admin-be51af45e:0 LISTENING
svchost.exe:1572 TCP admin-be51af45e:epmap admin-be51af45e:0 LISTENING
svchost.exe:1788 UDP admin-be51af45e:ntp *:*
svchost.exe:1788 UDP admin-be51af45e:4159 *:*
svchost.exe:1788 UDP admin-be51af45e.home:ntp *:*
svchost.exe:1868 UDP admin-be51af45e:1537 *:*
svchost.exe:384 TCP admin-be51af45e:2869 admin-be51af45e:0 LISTENING
svchost.exe:384 UDP admin-be51af45e:1900 *:*
svchost.exe:384 UDP admin-be51af45e.home:1900 *:*
System:4 TCP admin-be51af45e:microsoft-ds admin-be51af45e:0 LISTENING
System:4 TCP admin-be51af45e.home:netbios-ssn admin-be51af45e:0 LISTENING
System:4 UDP admin-be51af45e:microsoft-ds *:*
System:4 UDP admin-be51af45e.home:netbios-dgm *:*
System:4 UDP admin-be51af45e.home:netbios-ns *:*

------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 23:04:35, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\download\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600 (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P34 "EPSON Stylus Photo RX600 (Kopie 1)" /O6 "USB001" /M "Stylus Photo RX600"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O5 "LPT1:" /M "Stylus Photo RX600"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TMLCP - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Admin\LOKALE~1\Temp\TMLCP.exe

------------------------------------------------------------
------------------------------------------------------------

Hoffe, dies hilft etwas, um das Problem zu lösen.

Viele Grüße
MS1

Also die Hijackthis-Logfiles sehen sauber aus. Die von Tcpview eigentlich auch, aber Einträge wie

Zitat:

[System Process]:0 TCP admin-be51af45e:1036 localhost:1035 TIME_WAIT
[System Process]:0 TCP admin-be51af45e:1039 localhost:1035 TIME_WAIT

finde ich etwas seltsam. Hast du tcpview ausgeführt, als sämtliche unnötige Programme deaktiviert waren?

Wie ich auch sehe, bist du stolzer Besitzer von Acronis True Image. Wenn du nun ein Image hast, könntest du das zurückspielen und schauen ob dort das Phänomen auch auftritt. Nat. wär es sicher sinnvoll vom jetzigen Zustand des Rechners ein Image zu erstellen, um nach dieser Testaktion den wieder so wiederherzustellen. Ich bin mir hier nämlich noch nichtmal sicher, ob es sich hier wirklich um eine Kompromittierung handelt.
Ansonsten könntest du auch ein Neuaufsetzen probieren (da du ja TrueImage hast, vom jetzigen Zustand ein Image ziehen und du kannst jederzeit zurück) und dort schauen ob das mit dem IE auch so ist.

Schau auch bitte nochmal mit dem Rootkit Revealer nach, vllt. gibt der noch ein paar Aufschlüsse.

Hallo cosinus,

habe Tcpview jeweils direkt nach einem Neustart ausgeführt. Nur der Windows Explorer wurde manuell geöffnet. Der Rest wie Norton AV wird ja automatisch gestartet. Sollten diese Programme vorab deaktiviert werden?

Was hältst Du denn von diesen Einträgen:

<non-existent>:2616 UDP admin-be51af45e:3456 *:*
<non-existent>:2616 UDP admin-be51af45e:1205 *:*
<non-existent>:2616 UDP admin-be51af45e:1841 *:*

Wie gesagt, Tcpview erkannte dies als Aktivitäten von iexplore.exe.
Und der IE wurde von mir nicht gestartet.

Ein relaiv aktuelles Acronis-Image habe ich. Wäre allerdings das erste Mal, dass ich eine Rücksicherung mache.
Ich hoffe, das klappt reibungslos.

Würde trotzdem gerne wissen, was es mit der iexplore.exe auf sich hat.

Den RootkitRevealer hatte ich zufällig gerade am Laufen.
Hier die Ergebnisse:

Mit umbenannter Iexplore.exe:

HKLM\SECURITY\Policy\Secrets\SAC* 01.12.2006 03:25 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 01.12.2006 03:25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 06.12.2006 18:43 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CA8AGATQ 07.04.2007 00:19 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAA9DGVZ 07.04.2007 00:19 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAO7K5QN 07.04.2007 00:19 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAU38DIF 07.04.2007 00:19 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbkA4.tmp 07.04.2007 00:19 301 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbkA6.tmp 07.04.2007 00:19 961 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbkA8.tmp 07.04.2007 00:19 1.02 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbkAA.tmp 07.04.2007 00:19 668 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 01.12.2006 03:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 01.12.2006 03:58 111.50 KB Visible in Windows API, but not in MFT or directory index.


------------------------------------------------------------------------

Mit Iexplore.exe:


HKLM\SECURITY\Policy\Secrets\SAC* 01.12.2006 03:25 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 01.12.2006 03:25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 06.12.2006 18:43 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\0C1808C3.TMP 07.04.2007 00:58 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\A52EB240.TMP 07.04.2007 01:03 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\AB85A3E6.TMP 07.04.2007 00:52 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\B0188DF4.TMP 07.04.2007 00:29 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\2007-04-06-5c45.kc 06.04.2007 23:10 178.95 KB Visible in Windows API, but not in MFT or directory index.
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\2007-04-07-2e00.kc 07.04.2007 00:57 178.95 KB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 01.12.2006 03:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 01.12.2006 03:58 111.50 KB Visible in Windows API, but not in MFT or directory index.

------------------------------------------------------------------------

Und so, wenn ich ein paar Programme geöffnet habe und mit dem Firefox surfe:
(Mit umbenannter Iexplore.exe)


HKLM\SECURITY\Policy\Secrets\SAC* 01.12.2006 03:25 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 01.12.2006 03:25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 06.12.2006 18:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 07.04.2007 01:14 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 07.04.2007 01:14 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 07.04.2007 01:14 4 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\14A9F5FAd01 07.04.2007 01:18 88.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\3C166E4Fd01 07.04.2007 01:18 26.32 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\5E64CA7Bd01 07.04.2007 01:19 96.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\A0327ECBd01 07.04.2007 01:18 30.18 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\A87B41DEd01 07.04.2007 01:18 32.86 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\B0BDC98Fd01 07.04.2007 01:18 22.54 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ak7ywuow.default\Cache\C97289AAd01 07.04.2007 01:19 28.07 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CA0LYFIL 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CA6785AB 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAFLCUDT 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAGHQ7WP 07.04.2007 01:21 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAGTMTOX 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAIRO5IZ 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAIYW9PQ 07.04.2007 01:21 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAK7ONS9 07.04.2007 01:23 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAK7Q0PQ 07.04.2007 01:23 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CASQZM97 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\CAZBJT37 07.04.2007 01:18 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk10.tmp 07.04.2007 01:18 668 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk12.tmp 07.04.2007 01:18 523 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk14.tmp 07.04.2007 01:18 1.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk28.tmp 07.04.2007 01:21 1.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk2A.tmp 07.04.2007 01:21 1.24 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk3.tmp 07.04.2007 01:18 961 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk30.tmp 07.04.2007 01:23 961 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk32.tmp 07.04.2007 01:23 668 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbk5.tmp 07.04.2007 01:18 668 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbkC.tmp 07.04.2007 01:18 692 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDC961K1\wbkE.tmp 07.04.2007 01:18 492 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\5E0750CC.TMP 07.04.2007 01:24 0 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 01.12.2006 03:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 01.12.2006 03:58 111.50 KB Visible in Windows API, but not in MFT or directory index.

------------------------------------------------------------------------


Viele Grüße
MS1

Hmm....das sieht alles ein wenig merkwürdig aus, besorg dir mal das Programm Autoruns. Vllt. können wir damit den Eintrag herauskriegen, der dafür sorgt, dass der IE ständig beim Systemstart mitgestartet wird.

Hallo cosinus,

habe Dir eine PN geschickt.

Viele Grüße
MS1

Hallo,

ich möchte mich an dieser Stelle nochmals recht herzlich bei cosinus bedanken,
der es tatsächlich geschafft hat, den Fehler zu lokalisieren.

Es handelte sich dabei um diesen Trojaner hier:

http://www.sophos.com/security/analyses/trojbckdrqgc.html
bzw.
http://www.symantec.com/security_response/writeup.jsp?docid=2007-021911-0151-99&tabid=1

Abschließend noch mein Dank an die Betreiber dieser Seite hier für dieses tolle Forum.

Viele Grüße
MS1

Hi,

ich hab dir eben auch schon ne Mail geschickt. Wie gesagt ist die eine bereinigte Kiste keine Garantie für ein sauberes System. Da der Bifrose eine Backdoor öffnet, nämlich den IE als hidden process, wäre es wesentlich sinnvoller das System neuaufzusetzen oder ein sauberes Images zurückzuspielen. In beiden Fällen sollten alle Passwörter geändert werden.

In der Mail meintest du, der wäre nicht richtig installiert, aber aktiv war er:

Zitat:

Zitat von Symantec

The Trojan launches Internet Explorer in hidden mode and injects itself into the iexplorer.exe process in an attempt to bypass any firewall that may be running.

It then opens a back door by contacting the [REMOVED]-life.no-ip.info domain through TCP port 81 allowing it to perform various actions on the compromised computer, such as downloading files from and to the Internet, and stealing confidential information.

Und den IE als versteckten Prozess hattest du ebenfalls.

Übrigens Asche auf mein Haupt, im Autoruns-Logfile konnte man den Bifrost auch schon sehen, nur ist mir der da nicht aufgefallen
Deswegen sind mir Logfiles im Forum lieber als privat per Mail, im Forum lesen mehr Leute mit.

Zitat:

Zitat von cosinus

Deswegen sind mir Logfiles im Forum lieber als privat per Mail, im Forum lesen mehr Leute mit.

Zustimmung. Auf das Autoruns war ich gespannt und dann frustriert, daß es als PN gelaufen ist.

ms1 magst du das autoruns log nachreichen? oder hast du es nimmer..

thx und mfg

Undoreal

Ich poste das mal in den Anhang.
Die Autoruns.rar.txt müsst ihr in *.rar unbenennen, um die zu entpacken, oder gleich mit Winrar öffnen.

Tatsache.. danke für die logs.

Wie hast du ihn entdeckt wenn nicht über die Autorun Liste?

Interessanter Thread.

Gruß

Undoreal

Naja, in Autoruns ist er mir nicht aufgefallen. Aber über Silentrunners fand ich den seltsamen Eintrag.

ah so. klar ok. das log ist ja auch etwas "übersichtlicher"...