| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Reste (mailbot o.ä.) nach "rootkit.bagle" infektionWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.05.2009, 23:23
| #1 |
| |  Reste (mailbot o.ä.) nach "rootkit.bagle" infektion Hallo zusammen, da ich nicht weiterkomme, wende ich mich mal vertrauensvoll an dieses Forum. Nachdem ich neulich ein aggressives Bagle Rootkit entfernen musste, habe ich noch mit einer unschönen Kleinigkeit zu kämpfen: Mein Rechner versucht in Abständen die ich nicht definieren kann, Mails über verschiedene SMTP Server zu versenden. Mal ist es hotmail, mal ein litauischer provider usw. Die Google Suche nach den angesprochenen IPs brachte keine Hinweise auf bestimmte Seuchen ans Tageslicht. Die ersten Zeichen waren das der Antivir Mailgard Dienst sich beendet hat wenn der versand gestartet hat. Allerdings hat mein Provider diesen Versand bemerkt und mich auf das Problem aufmerksam gemacht. (peinlich peinlich....) Leider gaukeln mir Antivir, MBAM, Spybot, und die anderen üblichen einen sauberen Rechner vor. Meine Analysen mit diversen Prozessnalysewerkzeugen sind leider erfolglos geblieben. Das Mistding ist scheinbar nicht ständig im Speicher. Mein Rechner versendet akut nichts mehr, da die Software Firewall dieses jetzt per Regel verhindert, aber leider versucht er es doch noch. Da ich alle Wiederherstellungskonsolen und auch eine zweite partition mit XP habe kann ich wenn gewünscht auch unter anderen voraussetzungen suchen, allerdings sieht es von da aus auch viel zu clean aus... Hier sind die Logs: Ich beginne ganz unüblich mit Zonealarm, da man hier sieht, dass ich mir das Problem nicht ausdenke. ZoneAlarm verzeichnet das Ereignis mit folgenden zwei Einträgen. Man beachte die ca. 2500 Verbindungsversuche, die jedesmal in dieser Größenordnung liegen. Code:
ATTFilter Beschreibung Host Process for Windows Services wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen.
Bewertung Hoch
Datum/Uhrzeit 2009-05-11 21:02:30+2:00
Typ Programmzugriff
Programm svchost.exe
Quell-IP-Adresse
Ziel-IP-Adresse 65.55.92.184:25
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 2554
Quell-DNS
Ziel-DNS mx2.hotmail.com
Richtlinie Persönliche Richtlinie
Code:
ATTFilter Beschreibung Antivirus MailScanner Service wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen.
Bewertung Hoch
Datum/Uhrzeit 2009-05-11 21:02:34+2:00
Typ Programmzugriff
Programm avmailc.exe
Quell-IP-Adresse
Ziel-IP-Adresse 202.131.27.102:25
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 4
Quell-DNS
Ziel-DNS mx3.naver.com
Richtlinie Persönliche Richtlinie
HJT: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:40:45, on 11.05.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\mobsync.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.***/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.***/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe -- End of file - 2519 bytes Code:
ATTFilter Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1 - Deutsch
Application Suite
Application Suite
Application Suite
ATI AVIVO Codecs
Audacity 1.2.6
AutoIt v3.3.0.0
Avira AntiVir Premium
AVM FRITZ!fax für FRITZ!Box
Beyond TV DVD Burning Foundation
Bluesoleil 5.0.5.178
Catalyst Control Center - Branding
CCleaner (remove only)
Choice Guard
ClassicPro© v1.1
Creative Video Blaster WebCam 3 USB/WebCam Plus Driver
CutePDF Writer 2.7
DameWare NT Utilities
Discovery A Seek And Find Adventure
DivX Codec
DivX Plus DirectShow Filters
DivX Web Player
EasyBCD 1.7.2
Elecard MPEG Player
eMule
Encoder 7140 v3.0
Encoder And Reader Demo
EyeCare
EyeCon
FileZilla Client 3.2.2.1
Flash&Backup
Foxit Reader
Free FLV Converter V 6.0.0
Google Earth
Google Update Helper
GrabIt 1.7.2 Beta 3 (build 996)
Hex Workshop v6
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)
HotPotatoes v 6.2.5.4
HxD Hex Editor Version 1.7.7.0
HydraVision
IrfanView (remove only)
Java(TM) 6 Update 5
Last.fm 1.5.4.24567
Magic ISO Maker v5.5 (build 0265)
MagicDisc 2.7.106
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook Connector
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server Native Client
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Motorola Driver Installation 3.4.0
Motorola Phone Tools
Motorola Software Update
Mozilla Firefox (3.0.10)
Mozilla Thunderbird (2.0.0.21)
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
Nero 9
neroxml
OpenAL
QuickTime
RealPlayer
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
Rolling Madness 3D v1.0
RSDLite
SciTE4AutoIt3 20-12-2008
SDFormatter
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Skype™ 4.0
SolveigMM AVI Trimmer
SplitCam
SQL Server System CLR Types
Teachmaster 4.1 (nur Entfernen)
TeamViewer 4
TiltTools
Trillian
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Outlook 2007 Junk Email Filter (kb968503)
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VC 9.0 Runtime
VC80CRTRedist - 8.0.50727.762
VCRedistSetup
ViaMichelin Navigation PND
VLC media player 0.9.8a
Winamp
WinCE CAB Manager
Windows Live Anmelde-Assistent
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Sync
Windows Live Writer
Windows Live-Uploadtool
Windows Mobile-Gerätecenter
WinRAR
WinUAE 1.5.0
X10 Hardware(TM)
Xvid 1.2.1 final uninstall
Zattoo 3.3.1 Beta
ZoneAlarm Security Suite
MBAM: so sauber sind auch die logs von Antivir Premium und Co. Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Database version: 2109
Windows 6.0.6001 Service Pack 1
11.05.2009 23:19:26
mbam-log-2009-05-11 (23-19-26).txt
Scan type: Full Scan (C:\|)
Objects scanned: 225036
Time elapsed: 1 hour(s), 43 minute(s), 13 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
vielen Dank an alle, die etwas zur Lösung beitragen können! Das Bagleopfer  |
| Themen zu Reste (mailbot o.ä.) nach "rootkit.bagle" infektion |
| antivir, antivir guard, antivirus, avira, bagle, control center, converter, desktop, email, entfernen, excel, firefox, flash player, google, hijack, hijackthis, installation, malwarebytes' anti-malware, mozilla, office 2007, problem, prozess, rootkit, rootkit entfernen, server, software, studio, system, vista, visual studio, windows |
Baum-Darstellung