![]() |
|
Plagegeister aller Art und deren Bekämpfung: Reste (mailbot o.ä.) nach "rootkit.bagle" infektionWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() Reste (mailbot o.ä.) nach "rootkit.bagle" infektion Hallo zusammen, da ich nicht weiterkomme, wende ich mich mal vertrauensvoll an dieses Forum. Nachdem ich neulich ein aggressives Bagle Rootkit entfernen musste, habe ich noch mit einer unschönen Kleinigkeit zu kämpfen: Mein Rechner versucht in Abständen die ich nicht definieren kann, Mails über verschiedene SMTP Server zu versenden. Mal ist es hotmail, mal ein litauischer provider usw. Die Google Suche nach den angesprochenen IPs brachte keine Hinweise auf bestimmte Seuchen ans Tageslicht. Die ersten Zeichen waren das der Antivir Mailgard Dienst sich beendet hat wenn der versand gestartet hat. Allerdings hat mein Provider diesen Versand bemerkt und mich auf das Problem aufmerksam gemacht. (peinlich peinlich....) Leider gaukeln mir Antivir, MBAM, Spybot, und die anderen üblichen einen sauberen Rechner vor. Meine Analysen mit diversen Prozessnalysewerkzeugen sind leider erfolglos geblieben. Das Mistding ist scheinbar nicht ständig im Speicher. Mein Rechner versendet akut nichts mehr, da die Software Firewall dieses jetzt per Regel verhindert, aber leider versucht er es doch noch. Da ich alle Wiederherstellungskonsolen und auch eine zweite partition mit XP habe kann ich wenn gewünscht auch unter anderen voraussetzungen suchen, allerdings sieht es von da aus auch viel zu clean aus... Hier sind die Logs: Ich beginne ganz unüblich mit Zonealarm, da man hier sieht, dass ich mir das Problem nicht ausdenke. ZoneAlarm verzeichnet das Ereignis mit folgenden zwei Einträgen. Man beachte die ca. 2500 Verbindungsversuche, die jedesmal in dieser Größenordnung liegen. Code:
ATTFilter Beschreibung Host Process for Windows Services wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen. Bewertung Hoch Datum/Uhrzeit 2009-05-11 21:02:30+2:00 Typ Programmzugriff Programm svchost.exe Quell-IP-Adresse Ziel-IP-Adresse 65.55.92.184:25 Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt Anzahl 2554 Quell-DNS Ziel-DNS mx2.hotmail.com Richtlinie Persönliche Richtlinie Code:
ATTFilter Beschreibung Antivirus MailScanner Service wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen. Bewertung Hoch Datum/Uhrzeit 2009-05-11 21:02:34+2:00 Typ Programmzugriff Programm avmailc.exe Quell-IP-Adresse Ziel-IP-Adresse 202.131.27.102:25 Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt Anzahl 4 Quell-DNS Ziel-DNS mx3.naver.com Richtlinie Persönliche Richtlinie HJT: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:40:45, on 11.05.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\mobsync.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.***/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.***/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe -- End of file - 2519 bytes Code:
ATTFilter Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Reader 9.1 - Deutsch Application Suite Application Suite Application Suite ATI AVIVO Codecs Audacity 1.2.6 AutoIt v3.3.0.0 Avira AntiVir Premium AVM FRITZ!fax für FRITZ!Box Beyond TV DVD Burning Foundation Bluesoleil 5.0.5.178 Catalyst Control Center - Branding CCleaner (remove only) Choice Guard ClassicPro© v1.1 Creative Video Blaster WebCam 3 USB/WebCam Plus Driver CutePDF Writer 2.7 DameWare NT Utilities Discovery A Seek And Find Adventure DivX Codec DivX Plus DirectShow Filters DivX Web Player EasyBCD 1.7.2 Elecard MPEG Player eMule Encoder 7140 v3.0 Encoder And Reader Demo EyeCare EyeCon FileZilla Client 3.2.2.1 Flash&Backup Foxit Reader Free FLV Converter V 6.0.0 Google Earth Google Update Helper GrabIt 1.7.2 Beta 3 (build 996) Hex Workshop v6 HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282) Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040) Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308) Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540) Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789) Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127) HotPotatoes v 6.2.5.4 HxD Hex Editor Version 1.7.7.0 HydraVision IrfanView (remove only) Java(TM) 6 Update 5 Last.fm 1.5.4.24567 Magic ISO Maker v5.5 (build 0265) MagicDisc 2.7.106 Malwarebytes' Anti-Malware Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Hotfix (KB929729) Microsoft .NET Framework 3.5 Language Pack SP1 - deu Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office Access MUI (German) 2007 Microsoft Office Enterprise 2007 Microsoft Office Enterprise 2007 Microsoft Office Excel MUI (German) 2007 Microsoft Office Groove MUI (German) 2007 Microsoft Office InfoPath MUI (German) 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office Outlook Connector Microsoft Office Outlook MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Publisher MUI (German) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Word MUI (German) 2007 Microsoft Silverlight Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft SQL Server 2008 Management Objects Microsoft SQL Server Native Client Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU Microsoft Visual C++ 2008 Express Edition with SP1 - DEU Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32 Motorola Driver Installation 3.4.0 Motorola Phone Tools Motorola Software Update Mozilla Firefox (3.0.10) Mozilla Thunderbird (2.0.0.21) MSVCRT MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB941833) MSXML 4.0 SP2 (KB954430) Nero 9 neroxml OpenAL QuickTime RealPlayer Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista Rolling Madness 3D v1.0 RSDLite SciTE4AutoIt3 20-12-2008 SDFormatter Security Update for CAPICOM (KB931906) Security Update for CAPICOM (KB931906) Skype™ 4.0 SolveigMM AVI Trimmer SplitCam SQL Server System CLR Types Teachmaster 4.1 (nur Entfernen) TeamViewer 4 TiltTools Trillian Update for 2007 Microsoft Office System (KB967642) Update for Microsoft Office Outlook 2007 Help (KB957246) Update for Microsoft Office Outlook 2007 Help (KB957246) Update for Outlook 2007 Junk Email Filter (kb968503) Update für Microsoft Office Excel 2007 Help (KB963678) Update für Microsoft Office Powerpoint 2007 Help (KB963669) Update für Microsoft Office Word 2007 Help (KB963665) VC 9.0 Runtime VC80CRTRedist - 8.0.50727.762 VCRedistSetup ViaMichelin Navigation PND VLC media player 0.9.8a Winamp WinCE CAB Manager Windows Live Anmelde-Assistent Windows Live Communications Platform Windows Live Essentials Windows Live Essentials Windows Live Fotogalerie Windows Live Sync Windows Live Writer Windows Live-Uploadtool Windows Mobile-Gerätecenter WinRAR WinUAE 1.5.0 X10 Hardware(TM) Xvid 1.2.1 final uninstall Zattoo 3.3.1 Beta ZoneAlarm Security Suite MBAM: so sauber sind auch die logs von Antivir Premium und Co. Code:
ATTFilter Malwarebytes' Anti-Malware 1.36 Database version: 2109 Windows 6.0.6001 Service Pack 1 11.05.2009 23:19:26 mbam-log-2009-05-11 (23-19-26).txt Scan type: Full Scan (C:\|) Objects scanned: 225036 Time elapsed: 1 hour(s), 43 minute(s), 13 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) vielen Dank an alle, die etwas zur Lösung beitragen können! Das Bagleopfer ![]() |
Themen zu Reste (mailbot o.ä.) nach "rootkit.bagle" infektion |
antivir, antivir guard, antivirus, avira, bagle, control center, converter, desktop, email, entfernen, excel, firefox, flash player, google, hijack, hijackthis, installation, malwarebytes' anti-malware, mozilla, office 2007, problem, prozess, rootkit, rootkit entfernen, server, software, studio, system, vista, visual studio, windows |