Hallo Leute,

seit gestern meldet meine Firewall, dass ein Prozess mit Namen "System" nach draußen funken will. Dabei gibt es bis zu 60 Versuche in zwei Minuten, immer von Port ca. 1600 - 2500 an ganz verschiedene Remote-IPs. Es nervt!

Unten seht Ihr das Bild einer Meldung. Firewall ist von Filseclab.

Was ist das, und was kann ich dagegen tun?

Danke!

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi

Hallo,
ist zufällig Versatel dein Provider?


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
ist zufällig Versatel dein Provider?

Grüße Wildone

Hallo Wildone, wir nutzen ein Gemeinschaftsnetz, den Provider weiss ich nicht - Versatel kann aber gut sein. Werde mal nachfrgen und eine andere Netzwerkumgebung ausprobieren.

Zitat:

Zitat von stupormundi

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi

Hallo stupormundi, hier die HJT-File.

Gruß und Dank!



Logfile of HijackThis v1.99.1
Scan saved at 12:12:10, on 15.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Filseclab Firewall\xfilter\xfilter.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\DeskLook\DeskLook.exe
C:\Programme\Eumex 504PC USB\Capictrl.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Antivir\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Antivir\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Oleco\_oleco.exe
E:\Installation\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [XFILTER] "C:\Programme\Filseclab Firewall\xfilter\xfilter.exe" -a
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DeskLook] C:\Programme\DeskLook\DeskLook.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\filseclab firewall\xfilter\xfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B90CA6-9EEB-465D-B741-614FBC30F763}: NameServer = 213.20.148.143 193.189.244.205
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\PerfectDisk\PDSched.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Servus wieder!

Bis auf ein bisschen Adware und ein nicht aktuelles System (SP2 fehlt-->nachholen) kann ich in diesem Log mal nichts entdecken.

Versuche mal, den "system"-Prozess (system.exe -->wo genau) bei Jotti und/oder virustotal unter die Lupe nehmen zu lassen. Poste das/die Ergenbisse. Falls Du die Prozessdatei nicht gleich findest, schau' Dir mal die in meiner Signatur verlinkte Anleitung zum Auffinden von Dateien an.

stupormundi

Hallo,
da scheint etwas fieses auf deinem System zu sein. Lade mal die Datei hier hoch und poste das Ergebnis. Und mache mal im Moment auf keinen Fall Onlinebanking oder Ebay...

Edit
@stupormundi
Na so harmlos scheint mir die "Adware" nicht zu sein, lies dir mal die Beaschreibung genauer durch
Edit2
Ist wohl doch nicht so dramatisch, habe da etwas beim lesen in den falschen Hals bekommen

Grüße Wildone

@ wildone:

Zitat:

When a URL contained in the file downloaded in Step 2 is visited, the risk will append an affiliate ID onto that URL, and redirect Internet Explorer to a new URL.

Note: The user will most likely not notice this redirect since the Web page they originally requested is normally displayed. However, the author of the risk will gain financially when the user visits particular Web sites.

Wie sagte schon Einstein: alles ist relativ...
Du hast schon recht, unterschätzen darf man wohl gar nichts ...
Aber im Vergleich zu möglichen anderen bösen Backdoors und rootkits erscheint es mir doch eher harmlos

bis denn, stupormundi

~~Edit~~ Hallo, wildone: Du editierst ja schneller als die Polizei erlaubt ... Sonst aber full ack und gruß ~~/edit~~

Hallo,
bin ja schon mit Edit2 zurückgerudert. Bin mir nicht ganz sicher ob eine System.exe hier überhaupt vorliegt. Der von der Firewall festgestellte Verbindungsversuch könnte aber von der Adware stammen:

Zitat:

Downloads the following files from a remote server when Internet Explorer is launched:

Ansonsten würde ich noch ein Log von TCPview vorschlagen (File>>Save).


Grüße Wildone

Zitat:

Zitat von stupormundi

Servus wieder!

Bis auf ein bisschen Adware und ein nicht aktuelles System (SP2 fehlt-->nachholen) kann ich in diesem Log mal nichts entdecken.

Versuche mal, den "system"-Prozess (system.exe -->wo genau) bei Jotti und/oder virustotal unter die Lupe nehmen zu lassen. Poste das/die Ergenbisse. Falls Du die Prozessdatei nicht gleich findest, schau' Dir mal die in meiner Signatur verlinkte Anleitung zum Auffinden von Dateien an.

stupormundi

Hallo stupormundi,

wo ist denn dieser Prozess? Ich habe die Anleitung gelesen, aber so eine Datei gibt es nicht, nur system32\system.drv. Angehängt die Information zum Prozess. Wenn man versucht, ihn zu beenden, dann fährt Windows runter.

Etwas verwirrend...

Servus wieder!

Wie schon wildone vermutet, gibt es so eine "system.exe" wahrscheinlich gar nicht!
Der von Dir zitierte Treiber (*.drv) gehört zum System - daher fährt Win beim beenden runter!
Dennoch - schauen wir mal genauer.
Lass daher mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi