|
Plagegeister aller Art und deren Bekämpfung: IE will auf 77.221.133.173 und 75.126.83.150Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.10.2008, 02:47 | #1 |
| IE will auf 77.221.133.173 und 75.126.83.150 Hi! Habe mir vor einigen Tagen ein paar Viren/Trojaner eingefangen. Teilweise waren sie evtl. auch schon länger drauf. Diese waren: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pwnevadq\revwrklu.exe -> TR/Dldr.Obfuscated.dyq (Trojaner) C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\nkgooeaj.exe -> BDS/TDSS.asj (Backdoor) TDSS1548.tmp -> Trojan:Win32/Alureon.gen!J (Trojaner) system32/drivers/svhost.exe -> TR/Agent.aiej.1 (Trojaner) im Java-Cache: jvmimpro.jar-5286af48-69eae1d7.zip -> Exploit.Java.Gimsh.a (Exploit) und weißnichtmehr -> TR/Patched.CK.56 (Trojaner) Einige dieser Viren scheinen miteinander zusammen zu hängen, da außer der Java Exploit soweit ich mich erinnern kann alle anderen etwa zur gleichen Zeit (alle innerhalb von 2-3 Tagen) erstellt wurden. Scheinbar läd ein Virus weiternen Schadcode runter. Nachdem ich nun einige Antivirenprogramme habe durchlaufen lassen und verdächtige Sachen gelöscht habe, versucht der Internet Explorer, den ich eigentlich gar nicht benutze ständig eine Verbindung zu der IP 77.221.133.173 herzustellen. Mein ZoneAlarm zeigt mir also 77.221.133.173:HTTP an. Das selbe auch mit 75.126.83.150:80 nur nicht so häufig. Also ohne dass ich was mache startet der IE im Hintergrund und will eine Verbindung dorthin aufbauen. Ich habe das bis jetzt (hoffentlich) immer in ZoneAlarm geblockt, weiß also nicht was hinter den IP's steckt. Ein Whois-Lookup bringt aber russische Server in Moscow zu Tage, was eigentlich nichts Gutes verheißt. Leider kann ich keinen Prozess finden der das Aufrufen des IE und der IP's veranlasst. Deshalb die Frage: kennt jemand diese IP's oder hat sonst einen Vorschlag? |
24.10.2008, 04:57 | #2 |
| IE will auf 77.221.133.173 und 75.126.83.150 Noch eine Anmerkung: im Ordner "C://Windows/TEMP" wird alle 10 Minuten eine tmp-Datei erstellt (im Format tmp1.tmp, tmp2.tmp, ...), immer jedes mal genau nachdem ich die Frage bei ZoneAlarm wegklicke, ob ich ein Verbindungsaufbau zu o.g. Server erlaube. Die .TMP-Dateien haben jetzt 0 Byte und werden evtl. von ZoneAlarm (vsmon.exe) erstellt, da auch hiervon zwei nicht löschbare (außer mit Unlocker) Dateien im selben Ordner sind mit Namen wie "ZLT02f38.TMP".
__________________ |
24.10.2008, 07:06 | #3 |
| IE will auf 77.221.133.173 und 75.126.83.150 Hi,
__________________MAM & Combofix sowie danach noch Avira-Antirootkit: Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten! Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Log ebenfalls posten chris
__________________ |
24.10.2008, 17:23 | #4 |
| IE will auf 77.221.133.173 und 75.126.83.150 Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1310 Windows 5.1.2600 Service Pack 2 24.10.2008 15:38:18 mbam-log-2008-10-24 (15-38-18).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 90750 Laufzeit: 1 hour(s), 10 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ============================================= ComboFix 08-10-23.08 - Admin 2008-10-24 17:13:18.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . Error: Cfiles.dat (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\NCTAudioFile2.dll C:\WINDOWS\system32\NCTAudioPlayer2.dll C:\WINDOWS\system32\NCTAudioRecord2.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-09-24 bis 2008-10-24 )))))))))))))))))))))))))))))) . 2008-10-24 16:22 . 2008-10-24 16:22 <DIR> d-------- C:\Programme\Avira 2008-10-24 16:22 . 2008-10-24 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-10-24 04:55 . 2008-10-24 04:57 <DIR> d-------- C:\Programme\Unlocker 2008-10-24 02:54 . 2008-10-24 02:54 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue 2008-10-24 02:51 . 2008-10-24 14:12 <DIR> d-------- C:\Programme\Uniblue 2008-10-24 02:40 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-10-23 20:11 . 2008-10-23 20:11 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-23 20:11 . 2008-10-23 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-23 20:11 . 2008-10-23 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes 2008-10-23 20:11 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-23 20:11 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-22 18:35 . 2008-10-22 18:35 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-10-22 18:35 . 2008-10-22 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-10-22 16:18 . 2008-10-22 16:30 <DIR> d-------- C:\Programme\ThreatExpert Memory Scanner 2008-10-19 18:57 . 2008-10-19 19:55 <DIR> d-------- C:\Programme\Animake 2008-10-18 21:29 . 2008-10-18 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE 2008-10-18 21:29 . 2008-10-18 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WEB.DE 2008-10-18 21:26 . 2008-10-18 21:26 <DIR> d-------- C:\Programme\WEB.DE 2008-10-18 01:58 . 2008-10-18 01:58 <DIR> d-------- C:\WINDOWS\OutlookBackupPro 2008-10-18 01:58 . 2008-10-18 01:59 <DIR> d-------- C:\Programme\OutlookBackupPro 2008-10-18 01:02 . 2008-10-18 01:02 15,360 --a------ C:\divx-connected.db 2008-10-17 05:12 . 2008-10-18 01:00 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\vlc 2008-10-17 01:58 . 2008-10-18 01:00 <DIR> d-------- C:\Downloads 2008-10-16 03:48 . 2008-10-16 03:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-10-16 03:46 . 2008-10-16 03:46 <DIR> d-------- C:\Programme\Real 2008-10-16 03:45 . 2008-10-16 03:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2008-10-16 03:30 . 2008-10-16 03:30 <DIR> d-------- C:\Programme\concept design 2008-10-16 03:30 . 2008-10-16 03:34 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\concept design 2008-10-16 03:30 . 2006-05-21 16:15 966,144 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll 2008-10-16 03:30 . 2006-05-21 16:15 634,880 --a------ C:\WINDOWS\system32\NCTAudioEditor2.dll 2008-10-16 03:30 . 2006-05-21 16:15 522,752 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll 2008-10-16 03:30 . 2006-05-21 16:15 237,568 --a------ C:\WINDOWS\system32\lame_enc.dll 2008-10-16 03:16 . 2008-10-16 03:17 <DIR> d-------- C:\Programme\Zattoo 2008-10-15 23:00 . 2008-10-15 23:00 443,573 --a------ C:\WINDOWS\system32\EPSETUP.CAB 2008-10-15 23:00 . 2008-10-15 23:00 288,201 --a------ C:\WINDOWS\system32\EPPRTDRV.CAB 2008-10-15 23:00 . 2008-10-15 23:00 8,284 --a------ C:\WINDOWS\system32\eps_icon.avi 2008-10-15 20:45 . 2008-10-15 20:45 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-10-15 18:48 . 2008-10-21 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pwnevadq 2008-10-15 18:22 . 2008-10-15 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-24 12:11 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-10-24 00:40 --------- d-----w C:\Programme\Java 2008-10-23 23:55 --------- d-----w C:\Programme\XPcleanv5 2008-10-20 12:21 --------- d-----w C:\Programme\GetRight 2008-10-20 12:06 623,104 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-10-18 02:52 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype 2008-10-17 03:10 --------- d-----w C:\Programme\VideoLAN 2008-10-17 00:30 --------- d-----w C:\Programme\Winamp 2008-10-16 02:09 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-15 21:08 --------- d-----w C:\Programme\epson 2008-10-15 20:43 18,020 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-15 20:43 1,089,568 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2002-07-10 13:51 140,870 ----a-w C:\Programme\MoreTV.353.zip . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 919016] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized "WEB.DE_WEB.DE MultiMessenger"="C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" /hide "Uniblue RegistryBooster 2009"=C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" "Smart Start UP"=C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 03:29] . - - - - Entfernte verwaiste Registrierungseinträge - - - - ShellExecuteHooks-{0cab0400-7395-11d0-a5e5-0020afe2fdd9} - qvphook.dll . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\a2bo3v8p.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-24 17:19:35 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation Scanne versteckte Prozesse... C:\WINDOWS\system32\.e895e9d5f9c4a45d\e895e9d5f9c4a45d.exe [1812] 0x81FD85F0 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\e895e9d5f9c4a45d] "ImagePath"="C:\WINDOWS\system32\.e895e9d5f9c4a45d\e895e9d5f9c4a45d.exe" . Zeit der Fertigstellung: 2008-10-24 17:25:54 ComboFix-quarantined-files.txt 2008-10-24 15:24:43 Vor Suchlauf: 2.120.929.280 Bytes frei Nach Suchlauf: 2,095,771,648 Bytes frei ================================================== Avira AntiRootkit Tool - Beta (1.0.1.17) ======================================================================================================== - Scan started Freitag, 24. Oktober 2008 - 17:58:52 ======================================================================================================== -------------------------------------------------------------------------------------------------------- Configuration: -------------------------------------------------------------------------------------------------------- - [X] Scan files - [X] Scan registry - [X] Scan processes - [ ] Fast scan - Working disk total size : 18.80 GB - Working disk free size : 1.93 GB (10 %) -------------------------------------------------------------------------------------------------------- Scan task finished. No hidden objects detected! -------------------------------------------------------------------------------------------------------- Files: 0/0 Registry items: 0/0 Processes: 0/0 Scan time: 00:00:00 -------------------------------------------------------------------------------------------------------- Active processes: ======================================================================================================== - Scan finished Freitag, 24. Oktober 2008 - 17:58:52 ======================================================================================================== Der Rechner möchte nach den Reinigungen noch immer zu besagten IP's, i.d.R. zur 77.221.133.173. Zum Glück hab ich ZoneAlarm. |
25.10.2008, 14:18 | #5 |
| IE will auf 77.221.133.173 und 75.126.83.150 Weiß jemand vielleicht was der versteckte Prozess C:\WINDOWS\system32\.e895e9d5f9c4a45d\e895e9d5f9c4a45d.exe [1812] 0x81FD85F0 auf meinem Rechner verloren hat? Er ruft auch eine Datei: .e895e9d5f9c4a45d.core.dll in den Arbeitsspeicher die scheinbar mit allen anderen offenen Programmen zusammenhängt (laut Unlocker). Wenn ich ins Verzeichnis system32 im Windows Explorer gehe, kann ich den Ordner .e895e9d5f9c4a45d nicht finden, trotz Einblengung aller versteckten Dateien. Mit Prozess Manager von TuneUp Utilities komme ich zwar ins Verzeichnis ".e895e9d5f9c4a45d" aber die .e895e9d5f9c4a45d.exe wird wiederum nicht eingeblendet. WIE KANN ICH DIESEN PROZESS ERREICHEN UND AUSSCHALTEN? Es ist nämlich der einzige versteckte Prozess auf meinem Rechner laut Rising Antivirus. |
25.10.2008, 18:35 | #6 |
| IE will auf 77.221.133.173 und 75.126.83.150 Volltreffer!!! Habe gerade festgestellt, dass der automatische Aufruf von 77.221.133.173 schon seit ein paar Stunden nicht mehr auftrat und mir dann genauer die Logfiles von dem aktuell installierten Rising Antivirus angeschaut. Siehe da, das einzige was Rising als infiziert gefunden und gelöscht hat, war die Datei e895e9d5f9c4a45d.exe. Sie wurde als Trojan.DL.Win32.Undef.bfi identifiziert. Weiter hieß es in Rising AV: Prozess greift auf infizierte Datei zu: C:\WINDOWS\SYSTEM32\SERVICES.EXE. Gefunden wurde das ganze dadurch dass ich unter "Auto-Protect" bei "Dateimonitor" alles auf auf die höchste Scanstufe einstellte. Im gleichen Zug hat auch endlich aufgehört, dass alle 10 Minuten eine neue tmp[ansteigende Hexadezimal-Ziffer].tmp im Ordner C:\Windows\Temp erzeugt wird. Ich weiß zwar nicht was ein Rootkit ist, nehme aber mal an dass das so was ähnliches war, da erst das chinesische AV Progi, welches auch schon beim Booten scannt, diese Datei aufgespürt hat. Weder Panda, TrendMicro, Kaspersky noch Antivir hatten diese infizierte Datei gefunden. Hoffe dass mein Rechner jetzt sauber ist und bleibt. Einen fetten Dank nach China! Ich hoffe meine 4-Tage-Virensuch-Odysse hat damit endlich ein Ende gefunden. PS: Falls doch noch jemand Anmerkungen zu meinen oben aufgeführten Logs hat, bin ich auch weiterhin dankbar. |
Themen zu IE will auf 77.221.133.173 und 75.126.83.150 |
8.tmp, aufrufe, backdoor, einstellungen, erstellt, explorer, frage, geblockt, gelöscht, hintergrund, hängen, internet, internet explorer, java exploit, lokale, nichts, programme, prozess, schadcode, server, startet, temp, tr/patched.ck.56, verbindung, verdächtige, virus, win, zonealarm |