Seite 2 von 4
Verfasst: 22.09.2004, 14:33
von Sinclair
Mit den Textfiles will es nicht klappen (trotz Kopieren und Einfügen), ich versuche es aber weiter. Eine heiße Spur scheint mir tatsächlich die Datei msexploren.exe. Die habe ich laut Eigenschaften erst seit dem 16. 9., und genau seit diesem Datum spinnt der PC. Außerdem habe ich eben mal den Taskmanager beobachtet: Dort steht msexploren bei mir an dritter Stelle von oben. Anfangs ohne Regung (00), gibt es dann eine kurze CPU-Aktivität, und just danach erscheint unten irgendwo die shell.exe, die ich inzwischen gewohnheitsmäßig abschieße. Am liebsten würde ich msexploren löschen, aber ich bin im Zweifel. Haben die anderen Betroffenen auch msexploren und die nicht Betroffenen eben nicht? Das wäre doch schon mal ein Hinweis.
Gruß - Sinclair
Verfasst: 22.09.2004, 12:54
von Engel0702
Hallo Wolfi
Schicke dir als anhang meine schreibweise (bekomme sie hierhin nicht kopiert) Bekomme keine txt datei heraus!
Schmeisse bald den pc weg, gibt bestimmt besseres mit dieser zeit zu machen.
Verfasst: 22.09.2004, 12:23
von Wolfi
Hi Engel0702 u. Sinclair,
ihr müsst das genauso eintippen od. kopieren u. einfügen, wie ich\'s geschrieben habe. Dann werden entsprechende TXT-Files erstellt. Diese hier dann bei Dateianhang anhängen (event. auf 2x). Hiermit läßt sich anhand der PID vergleichen, ob ein Trojaner eine Verbind. aufbaut.
Verfasst: 22.09.2004, 11:59
von Sinclair
Sorry, Word-Datei als Anhang geht wohl nicht. Daher hier direkt (mit allen Fehlmeldungen, damit vielleicht zu sehen ist, was ich falsch eingegeben habe):
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\\Dokumente und Einstellungen\\Dieter>C:
C:\\Dokumente und Einstellungen\\Dieter>tasklist
Der Befehl \"tasklist\" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
C:\\Dokumente und Einstellungen\\Dieter>C:\\
Der Befehl \"C:\\\" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
C:\\Dokumente und Einstellungen\\Dieter>tasklist/svc
Der Befehl \"tasklist\" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
C:\\Dokumente und Einstellungen\\Dieter>tasklist / svc
Der Befehl \"tasklist\" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
C:\\Dokumente und Einstellungen\\Dieter>tasklist\\svc
Das System kann den angegebenen Pfad nicht finden.
C:\\Dokumente und Einstellungen\\Dieter>netstat
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP Sinclair:3009 localhost:18350 HERGESTELLT
TCP Sinclair:18350 localhost:3009 HERGESTELLT
C:\\Dokumente und Einstellungen\\Dieter>net stat -a
Die Syntax dieses Befehls lautet:
NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
C:\\Dokumente und Einstellungen\\Dieter>netstat
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP Sinclair:3009 localhost:18350 HERGESTELLT
TCP Sinclair:18350 localhost:3009 HERGESTELLT
C:\\Dokumente und Einstellungen\\Dieter>netstat -a -o -n
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 636
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN 4
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN 672
TCP 0.0.0.0:1026 0.0.0.0:0 ABHÖREN 4
TCP 0.0.0.0:3009 0.0.0.0:0 ABHÖREN 1848
TCP 0.0.0.0:5000 0.0.0.0:0 ABHÖREN 852
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÖREN 1064
TCP 127.0.0.1:3001 0.0.0.0:0 ABHÖREN 1052
TCP 127.0.0.1:3002 0.0.0.0:0 ABHÖREN 672
TCP 127.0.0.1:3003 0.0.0.0:0 ABHÖREN 672
TCP 127.0.0.1:3009 127.0.0.1:18350 HERGESTELLT 1848
TCP 127.0.0.1:18350 127.0.0.1:3009 HERGESTELLT 1064
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 484
UDP 127.0.0.1:123 *:* 672
UDP 127.0.0.1:1900 *:* 852
UDP 217.252.195.79:123 *:* 672
UDP 217.252.195.79:1900 *:* 852
C:\\Dokumente und Einstellungen\\Dieter>netstat -a -o -n
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 636
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN 4
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN 672
TCP 0.0.0.0:1026 0.0.0.0:0 ABHÖREN 4
TCP 0.0.0.0:3009 0.0.0.0:0 ABHÖREN 1848
TCP 0.0.0.0:3016 0.0.0.0:0 ABHÖREN 1980
TCP 0.0.0.0:3018 0.0.0.0:0 ABHÖREN 1980
TCP 0.0.0.0:5000 0.0.0.0:0 ABHÖREN 852
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÖREN 1064
TCP 127.0.0.1:3001 0.0.0.0:0 ABHÖREN 1052
TCP 127.0.0.1:3002 0.0.0.0:0 ABHÖREN 672
TCP 127.0.0.1:3003 0.0.0.0:0 ABHÖREN 672
TCP 127.0.0.1:3009 127.0.0.1:18350 HERGESTELLT 1848
TCP 127.0.0.1:18350 127.0.0.1:3009 HERGESTELLT 1064
TCP 217.252.195.79:3016 216.239.59.99:80 HERGESTELLT 1980
TCP 217.252.195.79:3018 198.88.20.155:80 SCHLIESSEN_WARTEN 1980
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 484
UDP 0.0.0.0:3014 *:* 816
UDP 0.0.0.0:3015 *:* 816
UDP 127.0.0.1:123 *:* 672
UDP 127.0.0.1:1900 *:* 852
UDP 217.252.195.79:123 *:* 672
UDP 217.252.195.79:1900 *:* 852
C:\\Dokumente und Einstellungen\\Dieter>net stat -a -o -n
Die Syntax dieses Befehls lautet:
NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
C:\\Dokumente und Einstellungen\\Dieter>net stat -a -o -n
Die Syntax dieses Befehls lautet:
NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
C:\\Dokumente und Einstellungen\\Dieter>tasklist/svc
Der Befehl \"tasklist\" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
C:\\Dokumente und Einstellungen\\Dieter>tasklist/svc>tasklist.txt
Der Befehl \"tasklist\" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
C:\\Dokumente und Einstellungen\\Dieter>
Verfasst: 22.09.2004, 11:55
von Sinclair
Das mit den Prozessen habe ich nicht hingekriegt (wie auch dem Anhang zu entnehmen), mit den aktiven Verbindungen müßte es geklappt haben. Die erste Liste zeigt den Status, bevor im Task-Manager die check.exe auftauchte, die zweite während check.exe aufgetaucht war.
Wo ich mir den Dialer eingefangen habe, kann ich nicht nachvollziehen. Im Forum Computerbetrug.de hat jemand berichtet, er hätte ihn sich auf einer niederländischen Seite Mokkels.nl geholt.
Dort habe ich jetzt auch eine interessante Post gelesen:
\"Gestern hat Stinger die c:\\windows\\msexploren.exe als mit BackDoor-CGZ infiziert gemeldet dieser Trojaner ist seit 15.9.04 bekannt. Die Datei ließ sich nicht säubern. Meine Freundin wollte schon Doxycyclin ins Diskettenlaufwerk geben, weil das gegen viröse Infekte wirkt. Ich habe die Datei dann doch gelöscht und noch keine Nachteile entdeckt. Der Rechner hat nicht mehr auf diese teure Nummer umgewählt. Kennt jemand die Detei msexploren.exe?\"
Ob das die Lösung ist, weiß ich nicht, aber jedenfalls habe ich auch so eine Datei, die auch immer im Task-Manager ist. Ãœbrigens weiß ich auch nicht, was Stinger ist, aber was will man von einem wie mir erwarten, der nicht mal eine Liste laufender Prozesse erstellen kann...
Bitte dran bleiben. Gruß - Sinclair
Verfasst: 22.09.2004, 11:38
von Engel0702
Naja, fast! hier noch die akt. verbindung :erschreck:
Verfasst: 22.09.2004, 11:34
von Engel0702
Wenn ich jetzt nichts falsch gemacht habe,sollten die laufenden prozesse und die akt. verbindungen als anhang dabei sein. :rotwerd:
Verfasst: 22.09.2004, 09:09
von Wolfi
Postet doch mal eine Liste der laufenden Prozesse. Start > ausführen > cmd Dort eingeben tasklist /svc > tasklist.txt. Diese als Anhang mitposten.
Event. auch Liste der akt. Verbindungen. Start > ausführen > cmd Dort eingeben netstat -a -o -n > netstat.txt.
Verfasst: 22.09.2004, 00:38
von mirko
Wenn einer von euch mir die Internet-Seite nennen könntet, auf der es den Dialer gibt, dann würde ich mir freiwillig das Teil installieren lassen. Ansonsten kann man nichts machen, da die Sache nicht nachvollziehbar ist.
Verfasst: 22.09.2004, 00:35
von Sinclair
Vielleicht wäre es gut, alle Betroffenen würden einmal einen Datenvergleich via Hijack o. ä. machen, nur weiß ich nicht, wie man so einen Hijack hier posten kann. Es muß ja irgendeine Quelldatei für diese check.exe geben.
Bin wirklich langsam am Verzweifeln.
Sinclair
Verfasst: 21.09.2004, 22:12
von sommer_jan
Ich habe seit 4 Tagen alle hier geschilderten Symptome auf meinem Rechner gehabt und kann nur sagen: Mega Hartnäckig.
Mit verschiedenen Browsern, über verschiedene Einwahlen (freenet, lycos) , habe TZ Spyware Adware Remover, antivir von H+BEDV drüber laufen lassen. Alles ohne Erfolg. Habe mit regedit und anderen Sachen Autostart und alles mögliche angesehen und soweit ichs wußte Sachen gelöscht.
Ständig und in verschiedenen Intervallen schlug der 0190-Warner zu.
Seit heute mittag wurde ich nicht mehr getrennt.
Ich habe mir von Windows alle .exe Dateien meines Rechners suchen lassen und da gab es drei verdächtige Verzeichnisse, die im Namen Buchstaben und Zahlen hatten - ich glaube in einem tmp-Verzeichnis und die als datum das heutige trugen zu Zeiten, in denen ich online war und getrennt wurde. Ich habe diese mit pgp verschlüsselt und die Originale löschen lassen, so dass sie wohl nicht mehr aktiv sind und seit dem ist das Problem weg.
Ich werde morgen mal vermelden, ob das so geblieben ist und werde die isolierten Verzeichnisse entschlüsseln und deren Namen preisgeben.
Bis dahin, nicht verzweifeln, auch wenn einem danach ist.
Jan
Zu früh gefreut - lief knapp eine Stunde, und wurde rückfällig.
Jetzt bin ich wieder im Reigen der Verzweifelten.
Verfasst: 21.09.2004, 19:34
von Sinclair
Im Forum Computerbetrug.de gehts tatsächlich um denselben Dialer, aber eine Lösung habe ich da nicht entdecken können. Die Javasys scheint es auch nicht unbedingt zu sein. Ich habe sie umbenannt und dann neu gestartet. Dabei habe ich den Taskmanager (Prozesse) beobachtet, und in der Tat: Aus heiterem Himmel (ohne daß ich ins Internet gegangen wäre) tauchte eine Datei Check.exe auf. Mit der habe ich dann gemacht, was ich erst mit Javasys machen wollte (die tauchte im Task nicht auf), nämlich \"Prozess beenden\". Jetzt bin ich schon eine Viertelstunde im Netz, ohne daß sich der Warner meldet, eine neuerdings ganz ungewohnte Erfahrung. Anscheinend kann man das Ding also rechtzeitig im Taskmanager abschalten (obwohl ich im Prefetch wieder die Check.exe sehe), was aber natürlich auch keine wirkliche Lösung ist. Aber vielleicht gibt das ja einen Hinweis auf die Herkunft.
Ãœbrigens habe ich zwischenzeitlich auch eine Meldung bekommen, im DFÃœ-Netzwerk sei eine Verbindung \"all\" mit Rufnummer 0 vorhanden. Zu sehen war aber nichts, und als ich löschen wollte, hieß es, \"konnte nicht gelöscht werden\".
Antivir, Adaware etc. finden leider auch nichts.
Schöne Grüße (ich bin froh, daß ihr euch um mein Problem kümmert)
Sinclair
Verfasst: 21.09.2004, 13:07
von mirko
Schaut euch mal im Computerbetrug.de und Dialerschutz.de Forum
diesen Beitrag an.
Ich habe es nur kurz überflogen, es scheint aber um diesen Dialer zu gehen.
Verfasst: 21.09.2004, 13:05
von Wolfi
PS:
Screenshot gesamter Bildschirm = Taste \"Druck\", aktives Fenster = AltGr + Druck, dann in Paint den Inhalt der Zwischenablage einfügen, abspeichern, fertig ist das Bild. Noch einfacher gehts mit Mirkos
SimpleScreenshot
Verfasst: 21.09.2004, 12:56
von Wolfi
Im Prinzip habe ich die kompl. Lösung hingeschrieben. Nur machen musst Du das schon selber. :biggrin:
Geh her u. such die javasys.exe. Mausklick rechts, im Kontextmenü umbenennen anklicken, Datei umbenennen in javasys.ex1 . Sollte diese sich nicht umbenennen lassen, öffne den Taskmanager ( Rechtsklick auf Taskleiste -das Teil wo die bunten Bildchen sind, meist unten am Bildschirm- Register Prozesse anklicken, nach javasys.exe suchen, auswählen (muss blau hinterlegt sein) u. unten auf \"Prozess beenden\" klicken. Dann nochmals das mit dem Umbenennen versuchen.
Hast Du eigentlich schon mal einen aktuellen Virenscanner und Ad-aware oä. laufen lassen?