Moin Leute!

Hab ein Problem, das ich nicht so recht einordnen kann - seit einigen Tagen blockt meine Kerio FW 2.1.5 auf Win2K/SP4 diverse Zugriffe meiner WINNT\explorer.exe auf entfernte Rechner. Die versuchten Zugriffe geschehen direkt nach Hochfahren mehrmals pro Sekunde. Das liest sich im Log dann so:

Zitat:

Blocked Out TCP, localhost:1100->www7.cnn.com [64.236.24.28:80] Owner: C:\WINNT\explorer.exe

Die IP-Adressen der angefragten Rechner beginnen alle mit 64.236.24.xx bzw. 64.236.16.xx, deren Subdomains dem Muster /www\d?/ folgen.

Naja, ich hab dann die üblichen Maßnahmen ergriffen, HKLM und so:

1. AVG7 Free meldet nach KomplettScan keine Viren.
2. die Trojaner Klassiker HKLM\Software\Microsoft\Windows\CV\Run etc. weisen keine (verdächtigen) Einträge auf.
3. Log von HijackThis IMHO ebenfalls nix auffälliges
4. SpybotSD meldet einen BSO-Exploit sowie die Meldung
   Zitat:

   "Fehler während der Überprüfung!: Cabrotor (Datei C:\WINNT\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird) ()"

Die von Spybot genannten Probleme werden scheinbar problemlos gelöst, doch beim nächsten Suchlauf erscheinen sie wieder.

Wenn ich mir die win.ini angucke, steht da auch nichts Verdächtiges drin.
Die Homepage von F-Secure listet Merkmale von Cabrotor auf, die bei mir nicht zutreffen; auf anderen Seiten ist zu lesen, dass Spybot manchmal solche Meldungen erfindet, offenbar ein Bug. Die explorer.exe scheint mit 245008Byte unverändert. Und trotzdem funkt dauernd die explorer.exe

Tja, und hier hab ich mein Pulver verschossen. Ich kann das HJT Log gerne posten, wenn es jemand interessiert - worüber ich mich sehr freuen würde, ebenso wie über weitere Hinweise, wenn ich auf dem falschen Dampfer sein sollte.

Viele Grüße
Carsten.

@drwitt
poste doch mal ein HJT logfile
chaosman

Moin Chaosman,

Zitat:

Zitat von chaosman

poste doch mal ein HJT logfile
chaosman

...gemacht...

Gespannt:
Carsten.