Hallo,
ich wurde neulich von jemand in MSN geaddet, doch als dieser nichts schrieb kahm mir das komisch vor.

ich gab netstat -a ein, schloss sich nach vier sekunden!

habe das netzwerkkabel rausgezogen, ging nicht aus.

Nun habe ich festgestellt, wenn ich mich ausloggen will das dies nicht mehr möglich ist.

Habe auch schon was von nem Reg Eintrag gehört, wenn den jemand kennt wäre sehr dankbar.


nun beim Start von firefox,ie,thunderbird und dem "Windows DNS irgendwas" meldet Zonealarm neben DNS abfragen auch nach ner Serververbindung auf port 50000 irgendwas.

Soo habe ff mal hochgeladen :

http://anubis.iseclab.org/result.php...d5df&refresh=1
Es verbindet sich zu einer 1und1 Leitung auf Port 8080. Mir war klar DDos Bot.

Achja, das DNS ist dies : SearchFilterHost.exe in system32. hab nochnie was von gesehen? gehört das zu vista.

Bitte Antwort wie ich das aus mehreren Anwendungen bekomme, firefox hab ich neuinstalliert, jedoch lesezeichen profile und so drin gelassen.

Ich leere jetzt noch den Cache und lade die SearchFilterHost.exe bei virustotal hoch.

Ich schau immer hier rein

ach noch was, nach ner Zeit laden alle Seiten nur noch (also ich seh die alte und der Balken wird voll und wieder klein....)

Wenn ich die firefox.exe kille, dann verschwindet er zwar, aber habe noch den prozess mit 100k drin, früher ging er dann aus und ich konnte neustarten bei bugs. Habe schon AutoStart rausgehauen aber trotzdem ist er perresistent.

Bitte helft mir und hoffentlich ist das teil PUB. Auch wenn KIS 2009 nichts findet! GoToHell Flooder

Schade wäre so schön ... SearchFilterHost.exe hat schon jemand vor 5 Tagen analysiert... nichts. Und wäre sie infected wärs schon in name update drin..

komischerweiße läuft ein hidden task der ieuser.exe heißt. ist es normal das ie bei drei tabs 100mb ram frisst? nein! ieuser ist angeblich clean.

Hijack this :

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:54, on 04.09.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\conime.exe
C:\Program Files\QIP\qip.exe
D:\Program Files\CSS\Steam.exe
F:\CodeGearRAD\CodeGear\RAD Studio\5.0\Bin\bds.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Security Task Manager\taskman.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D18D203-B55D-4F1E-A0D1-BAC60AB0364E}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: wbsys.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BlackfishSQL - CodeGear - F:\CodeGearRAD\CodeGear\RAD Studio\5.0\bin\BSQLServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative ALchemy AL1 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\AL1Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative HOAL Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTHOALLicensing.exe
O23 - Service: Creative Media Toolbox 6 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\MT6Licensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_1\bin\fbserver.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - D:\Programme\Xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Sascha\Sandboxie\SbieSvc.exe
O23 - Service: Scramby Service (ScrambySrv) - RapidSolution - C:\Program Files\Scramby\ScrambyServer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Franzis\Alcohol Virtual CD + DVD\StarWind\StarWindService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - D:\Sascha\VMWARE\vmware-ufad.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Sascha\VMWARE\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 11609 bytes
         

Creative Audio ist mein Headset!

irgendwie konnte ich nicht mehr editieren, naja ich weiß jetzt was es war...


Virustotal. MD5: 2e1ef769b0d63454c4a7ee7b1f53158e Trojan-Dropper.Win32.VB.cte Win32:Trojan-gen {Other} Dropper.Generic.AAQX

Ein VB Dropper also... da stand TS TeleFon Bot und ich hab natürlich nich drauf geachtet. ok dann kahm aber ein TS Flooder.. naja hab ich gedacht ham die sich vertan^^.

jetzt weiß ich es.


RapidShare: Easy Filehosting
Ich bitte euch es zu reversen und zu sagen wo der trjoaner hin ist(auch wenn er sich injected, irgenwo sollte der sein, denn dann kann ich den löschen oder ihr könnt nachgucken was der macht^^ (wenn ihrs könnt). naja oben hatte ich geschrieben bot war wohl schon müde 8080 ist der BiFrost Port, weil er nicht so aufällt (80 is ja web)


EDIT : WTF?? Acrobat Reader versucht auch als server zu fungieren auf port 50000+

und alle machen einen DNS Lookup die ip muss ich mal notieren

Kann wieder nicht editen


habs photografiert, sogar photoshop und acrobat reader connecten.

Also :

Iexplorer,firefox,thunderbird,acrobatreader,photoshop

Alle 5 injected. d.h. es ist mehr oder weniger klar warum er den autostart überlebt hat...

Normalerweißte müsste noch eine serverconnection auf 50k kommen.

die ip geht zu kasserver.com

Hi,

so schnell geht das nicht, ich mache auch kein Hehl draus, dass ich in keinem Code so ungern grabe wie in Visual Basic, einfach furchtbar. Da ist es interessanter, die Programme auf einem Testsystem laufen zu lassen. das ich allerdings erstmal installieren müsste. Vielleicht habe ich nächte Woche etwas zeit dafür über, bis dahin hast Du dein System aber schon locker neu aufgesetzt, mehrfach wenn es sein muss. Aber warum eigentlich, Du hast ja bereits ein Testsystem aufgesetzt.

Etwas Untersuchung von außen hat ergeben, dass du zum einen einen Biforst hast, der mit Epiphones Cryptor behandelt wurde. Zum einen irgend ein Programm, das irgendwas mit Teamspeak macht, ich kann mir gut vorstellen, dass auch dort ein Backdoorserver kommunizieren kann, da fallen Bots noch weniger auf.

Wenn man den Test dann fertig hat, dann installiert man ein solches Testsystem neu. Oder spielt das vorher angefertigte Image zurück.

Gruß, Karl

Ich weiß nicht wie ich es im Testsystem rausfinde. gibts da programme die schreibzugriffe erkennen?

Ich kenne Epiphone, glaube zwar nicht das er mir die locations seines crypters sagt aber mal sehen

Epiphone meinte, der crypter legt die dateien nirgens besonderes ab oder so, also könne er nichts tun.

Er sagte aber, wenn der trojaner weg ist geht auch ff wieder (ich hab ihn schon neuinstalled nichts)

Bifrost verändert also nur den RAM.

kann ich irgendwie dies verhindern? habs schon mit Sandboxie versucht, aber dann ist er darin auch perresistent, und wenn ich Sandboxie beende is der prozess so aufm rechner.


Leider kann ich windows nicht reparieren da ich nur ne Recovery CD hatte, die alles löscht, also nicht nur die windows kern dateien.

kann sich nicht jemand das ding angucken? ist ja nur ein Public server, sehr Public.


Aber zum Glück läuft bifi auf vista nicht so gut
Falls er ihn von selbst removed, weil er sieht das ich seine ip und alles hab, dann lass ich das auch mit abuse !.