Hi!

ich glaub ich hab mir irgendwas eingefangen. antivir erkennt nix.. im taskmanager taucht auch nix auf. jetzt wirds aber interessant: netstat und tcpview erkennen folgende dinge:

<non-existent>:1504 prot tcp, local address: 127.0.0.1:12161 (listening)
an der PID 1504 haengen noch 2 verbindungen, eine davon geht zu 211.115.89.205:22, die andere kommt von 127.0.0.1:1078, dort haengt wieder ein non-existant proc (pid 916).

was koennte das sein? hijackthis hat in der richtung nix gefunden, deswegen poste ich erst garkein log, dort ist alles clean (ganz sicher!).

EDIT: wenn ich per telnet manuell auf 127.0.0.1:12161 connecte redirected der das weiter auf 211.115.89.205:22 (SYN_SENT) und dies ist offensichtlich ein passwortgeschuetzer ircserver, dementsprechend konnte ich nicht nachpruefen wer dort so drauf ist.

Hi sbchen,

die Remote-IP befindet sich irgendwo in Korea. Zeigen Rootkitscanner (zB Rootkit Revealer oder auch F-Secures Blacklight Auffälligkeiten?

ohje ohje.. was ne aktion.

war tatsaechlich ein rootkit!

das hatte sich in \windows\system32\drivers\knlps versteckt (natuerlich per hidden api versteckt!). hab die "notbremse" gezogen und ne XP reparaturinstallation druebergezogen, nun is alles weg. weil dieses f-secure ding konnte das zwar umbenennen aber nicht ganz entfernen.

war uebrigens wohl irgendein lockme bzw hackdefender (heisst das ned so?) derivat... ich frag mich wie das auf meinem system landen konnte.

es muss doch irgendeinen weg geben den kram wieder ohne reinstall loszuwerden??

Zitat:

Zitat von sbchen

es muss doch irgendeinen weg geben den kram wieder ohne reinstall loszuwerden??

Jein. Es kann sein, dass nach dem Löschen der Dateien (über die Recovery Console, die interessiert sich nicht für die Windows API) der RK wirklich entfernt ist. Was weiss es nur nicht wirklich. Auch bei RK-Infektionen kann eine leicht zu entdeckende Infektion (zB Hackerdefender) lediglich ein Ablenkungsmanöver für einen wirklich üblen RK bzw RAT sein. Wenn man auf Nummer Sicher gehen will, bleibt nur das System komplett! neu aufzusetzen oder den kompletten Netzwerkverkehr mit einem anderen mitsniffen. Aber da ist Aufsetzen wohl doch die einfachere Variante (und zudem sicherer).