Hallo Leute,

Ich bin heut zufällig auf etwas sehr merkwürdiges gestoßen:
Ich hab mal ViewTCP gestartet(warum, weiß ich nicht mal!), und neben anderen, unverdächtigen, folgende merkwürdige Einträge gefunden:

alg.exe:1856 TCP babe.the-killer.bz:1027 xxx:0 Listening
winmysqladmin.exe:1568 TCP babe.the-killer.bz:1039 babe.the-killer.bz:3306 Established
firefox.exe:3420 TCP babe.the-killer.bz:1066 babe.the-killer.bz:1067 Established
firefox.exe:3420 TCP babe.the-killer.bz:1067 babe.the-killer.bz:1066 Established
mysqld-nt.exe:1356 TCP babe.the-killer.bz:3306 babe.the-killer.bz:1039 Established
svchost.exe:716 UDP babe.the-killer.bz:123 (ntp) ***** -
iexplore.exe:2916 UDP babe.the-killer.bz:1142 ***** -

Hab ich da was auf meinem Rechner, wovon ich nix weiß/wissen soll?
KAV5.0 findet nichts, Spybot ist ebenfalls ruhig.
Hier noch das HJT-Logfile, falls es hilfreich sein sollte:

Logfile of HijackThis v1.99.1
Scan saved at 23:00:43, on 14.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\borland\interbase\bin\ibguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\borland\interbase\bin\ibserver.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\BASES_X\MWAVSCAN.COM
C:\BASES_X\kavss.exe
C:\BASES_X\viewtcp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Small Business Manager.lnk = C:\Programme\Microsoft SBM\MsSBM.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O15 - Trusted Zone: h**p://www.ewido.net
O15 - Trusted Zone: h**p://support.f-secure.com
O15 - Trusted Zone: h**p://support.f-secure.de
O15 - Trusted Zone: h**p://www.kaspersky.com
O15 - Trusted Zone: h**p://www.pandasoftware.com
O15 - Trusted Zone: h**p://de.trendmicro-europe.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

PS.: Ich hab natürlich die Suche bemüht, aber zu obigem Stichwort weit über 300 Threads gefunden. Diejenigen, bei denen ich nach Informationen gesucht habe, hatten aber offensichtlich nichts oder nur am Rande mit meinem Suchbegriff zu tun, weshalb ich mich dazu entschlossen habe, hier eine Anfrage zu starten.

mfg
Kurt

Servus!

Poste mal ein Log von Blacklight!

stupormundi

Hallo stupormundi,

offensichtlich unterscheidet sich die Downloadversion von der in der Hilfe beschriebenen, denn die dort angemerkte Option "Scan through Windows Explorer" ist bei mir nicht verfügbar, ansonst ist die Beschreibung aber übereinstimmend mit meiner Version von Blacklight.

Scanergebnis:no hidden items found.

show all processes:

total number of processes: 44

1 System Idle process PID 0
2 System PID 4
3 smss.exe PID 344
4 csrss.exe PID 392
5 winlogon.exe PID 416
6 sevices.exe PID 460
7 lsass.exe PID 472
8 svchost.exe PID 636
9 svchost.exe PID 684
10 svchost.exe PID 716
11 svchost.exe PID 780
12 ehtray.exe PID 836
13 spoolsv.exe PID 908
14 WkCalRem.exe PID 940
15 wfxsnt40.exe PID 964
16 ibguard.exe PID 980
17 ibserver.exe PID 1000
18 TeaTimer.exe PID 1004
19 fpassist.exe PID 1012
20 jusched.exe PID 1016
21 ehmsas.exe PID 1056
22 Explorer.EXE PID 1100
23 ehRecvr.exe PID 1204
24 ehSched.exe PID 1216
25 firefox.exe PID 1324
26 mysqld-nt.exe PID 1356
27 WFXCTL32.exe PID 1396
28 PhLeAutoRun.exe PID 1404
29 winmysqladmin.exe PID 1568
30 OSA.EXE PID 1572
31 FINDFAST.EXE PID 1596
32 dllhost.exe PID 1668
33 alg.exe PID 1856
34 SpybotSD.exe PID 2292
35 iexplore.exe PID 2356
36 WFXMOD32.EXE PID 2460
37 svchost.exe PID 2468
38 hookAnalyzer.exe PID 2584
39 msimn.exe PID 2780
40 msmsgs.exe PID 2808
41 bibeta.exe PID 2900
42 iexplore.exe PID 2916
43 NOTEPAD.EXE PID 3848
44 notepad.exe PID 3988

Ich hab das abgeschrieben, da es sich nicht kopieren ließ.
Ein Logfile im eigentlichen Sinne hab ich nirgens gefunden.
Auch der "RootkitHookAnalyzer" fand nur im Zusammenhang mit KAV in verschiedene Services eingeklinkte Anwendungen (klif.sys,kl1.sys)

mfg
Kurt

Servus wieder!

Öffne mal Deine hosts-Datei (sollte hier "C:\Windows\System32\Drivers\Etc" zu finden sein) und ergänze mal diesen Eintrag
127.0.0.1 babe.the-killer.bz
Speichern und neu starten! Dann mach ein neues viewtcp Log

Dann lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi

hm...

Also, in der Hosts-Datei brauch ich nix ergänzen, da steht jede Menge drin.
Hier mal die erste, relevanten Zeilen:

# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 babe.the-killer.bz
127.0.0.1 w*w.babe.the-killer.bz
127.0.0.1 babe.k-lined.com
127.0.0.1 w*w.babe.k-lined.com
127.0.0.1 did.i-used.cc
127.0.0.1 w*w.did.i-used.cc
127.0.0.1 coolwwwsearch.com
127.0.0.1 w*w.coolwwwsearch.com

Hier mal die kompletten Netzwerksaktivitäten auf meinem PC (eScan->View Network Activity), wobei ich den Computernamen durch drei "xxx" ersetzt habe:

System:4 TCP xxx:445 (microsoft-ds) xxx:0 Listening
[System Process]:1244 TCP xxx:1033 xxx:0 Listening
[System Process]:1244 TCP xxx:1034 xxx:0 Listening
ibserver.exe:1000 TCP xxx:3050 xxx:0 Listening
mysqld-nt.exe:1356 TCP xxx:3306 xxx:0 Listening
alg.exe:1856 TCP babe.the-killer.bz:1027 xxx:0 Listening
winmysqladmin.exe:1568 TCP babe.the-killer.bz:1039 babe.the-killer.bz:3306 Established
firefox.exe:1324 TCP babe.the-killer.bz:1684 babe.the-killer.bz:1685 Established
firefox.exe:1324 TCP babe.the-killer.bz:1685 babe.the-killer.bz:1684 Established
mysqld-nt.exe:1356 TCP babe.the-killer.bz:3306 babe.the-killer.bz:1039 Established
System:4 TCP xxx.intern:139 (netbios-ssn) xxx:0 Listening
firefox.exe:1324 TCP xxx.intern:1725 kundenserver.de:80 (http) Established
System:4 UDP xxx:445 (microsoft-ds) ***** -
spoolsv.exe:908 UDP xxx:1029 ***** -
svchost.exe:716 UDP babe.the-killer.bz:123 (ntp) ***** -
iexplore.exe:2916 UDP babe.the-killer.bz:1142 ***** -
svchost.exe:716 UDP xxx.intern:123 (ntp) ***** -
System:4 UDP xxx.intern:137 (netbios-ns) ***** -
System:4 UDP xxx.intern:138 (netbios-dgm) ***** -

Den Scan im abgesicherten Modus werd ich gleich anschließend machen und das Ergebnis hier posten.

mfg
Kurt

Also, das hat ja gedauert...

Hier das Ergebnis aus der find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 15 13:03:51 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Mon May 15 13:03:53 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.
Mon May 15 13:03:53 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.
Mon May 15 13:03:54 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Mon May 15 13:03:54 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.
Mon May 15 13:03:54 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.
Mon May 15 13:03:54 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken.
Mon May 15 13:33:06 2006 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav
Mon May 15 15:10:38 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 15 13:03:51 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Mon May 15 13:03:53 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\autostart\controller.lnk
Mon May 15 13:03:53 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\symantec winfax pro\controller.lnk
Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Dokumente\mce logs\firstrun.log
Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\autostart\controller.lnk
Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\symantec winfax pro\controller.lnk
Mon May 15 13:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\controller.lnk
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 15 15:10:38 2006 => Total Errors: 491
Mon May 15 15:10:38 2006 => Time Elapsed: 02:07:38
Mon May 15 15:10:38 2006 => Total Objects Scanned: 111928
Mon May 15 13:01:43 2006 => Virus Database Date: 5/15/2006
Mon May 15 15:10:38 2006 => Virus Database Date: 5/15/2006
Mon May 15 15:17:17 2006 => Virus Database Date: 5/15/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Das einzige, mir nicht bekannte File, welches hier Alarm ausgelöst hat, ist das:
C:\Dokumente und Einstellungen\All Users\Dokumente\mce logs\firstrun.log

Da weiß ich echt nicht, wo ich das zuordnen könnte, während die beiden anderen zu zwei bekannten Anwendungen gehören.

mfg
Kurt

http://www.de.sophos.com/virusinfo/a.../w32rbotm.html

Zitat:

W32/Rbot-M versucht, das Host babe.thekiller.biz zu kontaktieren.

Hast Du Dir etwa ganz unbemerkt den Rbot eingefangen?

Also,

danke für deinen Einwand, aber ich glaube, nicht.
Die nach der Anleitung von Sophos vorhanden sein müssenden Registrierungseinträge unter HKLM und HKCU (Microsoft Update Time=wuam.exe) sind bei mir samt und sonders nicht vorhanden.
Ausserdem ist das Teil schon so alt, daß KAV ihn mit Sicherheit finden würde.
Ganz offensichtlich existiert obengenannte wuam.exe auch nicht auf meinem Rechner, zumindest hat die Dateisuche nichts ergeben.
Kann es sein, daß diese Einträge noch Reste einer ehemaligen Infektion mit einem Hijacker sind und diese den damaligen Entfernungsversuchen bereits zum Opfer gefallen ist?
http://www.trojaner-board.de/showthread.php?t=25124
Wenn ja, wie kann man das dann noch bereinigen?

mfg
Kurt

Bei einer Bereinigung kann es immer vorkommen, dass nicht alle Schädlinge entfernt werden. Es kann auch mitunter vorkommen, dass die Schädlinge entfernt werden, aber die Änderungen, die diese vornahmen, nicht rückgängig gemacht worden sind - wenn das überhaupt möglich ist, denn nicht jeder Schädling ist bekannt, von daher weiß man auch nicht wirklich, was diese nun genau anstellen.
Eine Gewissheit bringt nur das Neuaufsetzen von Originalmedien, dann kann man ausschließen, dass noch Schädlingsreste vorhanden sind.

Nun, ich lass auf jeden Fall mal einen Onlinescan bei http://www.kaspersky.com/virusscanner drüberlaufen, für den Fall, daß mein OnBoardscanner korrumpiert ist.
Zur Zeit zeigt sich nichts, aber ich melde mich auf alle Fälle nochmal mit dem Endergebnis.
Zudem wäre auch noch interessant, wie ich diese Einträge bei meinen Netzwerksaktivitäten abändern kann, auch wenn keine Infektion mehr vorliegt.

NACHTRAG: Der Scan der kritischen Bereiche hat keinerlei Infektion zutage gefördert, nun laß ich über Nacht noch einen kompletten Scan alle Platten machen, mal sehen, was morgen ist.
Gute Nacht und vorläufig Danke an euch alle für eure Unterstützung

mfg
Kurt

So,

nun ist's gewiss, KAV-Online hat auch beim Totalcheck nichts gefunden.
Nun bleibt nur die Frage, wodurch die Verbindungen zu besagter Seite verursacht werden und wie diese beseitigt werden können.
Hat da jemand mal Ahnung von?

mfg
Kurt

Hi,

folgende Überlegung. SpyBot trägt anscheinend in dei hosts-Datei jede Menge verdächtige URLs als Localhost (127.0.0.1) ein. Wenn dann irgendein Programm auf so eine URL zugreifen will, wird localhost direkt aufgelöst und keine DNS-Anfrag gestellt. Die ausgehende Verbindung läuft also ins Leere...

Das scheint dazu zu führen, das etwa ein Firewall oder ein anderes Programm bei einem Verbindungsversuch an einen lokalen Port (ist ja 127.0.0.1) eine Namensauflösung macht und entsprechend der hosts-Datei den ersten Eintrag dafür nimmt. Das ist derzeit wohl babe.the-killer.vz.

Scheint also unkritisch zu sein. Du könntest eine leere Kopie der hosts-Datei anlegen und mal schauen, was dann kommt.

Die liegt hier: C:\WINDOWS\system32\drivers\etc

Hi,

deine Theorie ist richtig und belegt wieder nur einmal mehr, was der Esc an ist: Schrott. Allerdings hoffen wir doch alle, dass Kurt sich in der Zwischenzeit davon verabschiedet hat, der Thread ist weit über zwei Jahre alt, ansonsten hat er sicher verzweifelt und ist auf eine Schreibmaschine umgestiegen (eine mechanische natürlich).

Warum melden sich eigentlich hier Leute an um solche Threadleichen nach oben zu pushen?

Zitat:

Zitat von KarlKarl

Hi,

Allerdings hoffen wir doch alle, dass Kurt sich in der Zwischenzeit davon verabschiedet hat, der Thread ist weit über zwei Jahre alt, ansonsten hat er sicher verzweifelt und ist auf eine Schreibmaschine umgestiegen (eine mechanische natürlich).

Nö, Schreibmaschine ist es nicht geworden, aber inzwischen ein neuer Rechner und ein noch besser abgesichertes System...