explorer.exe will cocolite.ath.cx auf port 80 kontaktieren

#0
30.09.2006, 19:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.09.2006, 19:25
...neu hier

Themenstarter

Beiträge: 9
#17 Nächster Versuch:

Der Reg-Eintrag Icon Times wird hochgezählt, allerdings noch kein explorer.exe - Absturz seither.

Kommst Du damit weiter?
In jedem Falle nochmal vielen Dank für die große Hilfestellung!

Zitat

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Sep 30, 2006 19:23:26


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Manual
Start Name: LocalSystem
Description: AdobeLM ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1024
Started: True
Exit Code: 0
Accept Pause: True
Accept Stop: True

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Disabled
Start Name: LocalSystem
Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service #4
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service #6
Service Name: CVPND
Display Name: Cisco Systems, Inc. VPN Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\cisco systems\vpn client\cvpnd.exe"
State: Running
Process ID: 1040
Started: True
Exit Code: 0
Accept Pause: True
Accept Stop: True

Unknown Service # 7
Service Name: FileZilla Server
Display Name: FileZilla Server FTP server
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\filezilla server\filezilla server.exe
State: Running
Process ID: 1080
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 8
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 9
Service Name: iPod Service
Display Name: iPod Service
Start Mode: Manual
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: "c:\programme\ipod\bin\ipodservice.exe"
State: Running
Process ID: 1200
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 10
Service Name: NOD32krn
Display Name: NOD32 Kernel Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\eset\nod32krn.exe"
State: Running
Process ID: 1128
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: False

Unknown Service #11
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service #12
Service Name: SmcService
Display Name: Sygate Personal Firewall
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sygate\spf\smc.exe
State: Running
Process ID: 676
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 13
Service Name: StarWindService
Display Name: StarWind iSCSI Service
Start Mode: Auto
Start Name: LocalSystem
Description: Enables network access to local devices via iSCSI ...
Service Type: Own Process
Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
State: Running
Process ID: 1452
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service #14
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{67b3ebbd-2037-4afc-b9ad-f8301e5bfeb1}
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 15
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 16
Service Name: WMP54Gv4SVC
Display Name: WMP54Gv4SVC
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\linksys wireless-g pci wireless network monitor\wlservice.exe" "wmp54gv4.exe"
State: Running
Process ID: 1396
Started: True
Exit Code: 0
Accept Pause: True
Accept Stop: True

---> End Service Listing <---

There are 96 Win32 services on this machine.
16 were unrecognized.

Script Execution Time: 32.98438 seconds.
Seitenanfang Seitenende
01.10.2006, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Lade Dir das Tool Autoruns runter
entpacke im abgesicherten Modus von Windows unter Deinem Benutzernamen angemeldet die Zip-Datei
führe autoruns.exe aus
mach bei "Options" bei "Verify Code Signatures" - "Hide Signed Microsoft Entries" jeweils Häckchen und vergewissere Dich, dass bei "Include Empty Locations" kein Häckchen ist.
http://virus-protect.org/artikel/tools/autoruns.html

-----

dann ueberpruefe auch noch mit icesword
http://virus-protect.org/artikel/tools/icesword.html
schau, ob du was auffaelliges findest

-----

mit diesem Proggie kannst du veraenderugen in der Registry feststellen:
http://virus-protect.org/artikel/tools/regshot.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2006, 15:56
...neu hier

Beiträge: 1
#19 Hallo,

habe das selbe Problem gehabt, das ist tatsächlich ein gängiger Hacker Angriff. Nach Rücksprache mit der örtlichen Kripo kann man nur jedem davon abraten ein Remote tool wie VNC zu benutzen, da die Source ja offen für jeden zugänglich ist.
Die Windows remote connection soll ähnlich unsicher sein, da Windows sehr weit verbreitet ist. Mir wurde PCanywhere als Remote tool empfohlen, leider kost das natürlich was.

Betroffene User sollten auf jeden Fall checken ob der Rechner nicht zum "stillen" FTP Server umgemogelt wurde. Eine gängige Attacke ist zB ein Hacker, der die Tür öffnet und ein Stück Speicher belegt, den er dann einem "Filler" mitteilt, der dann anfängt diesen Speicher mit illegalen Inhalten wie .B Kinderp****s/Filme ect. einstellt die wiederum im Web angeboten werden. Nach 5 Wochen hat man dan die Kripo vor der Tür und oftmals selber keine Ahnung von dem ganzen Vorgang (das wurde mir so vom Kripo IT Experten so erzählt).
Seitenanfang Seitenende
02.10.2006, 21:05
...neu hier

Themenstarter

Beiträge: 9
#20 Naja... ganz so dramatisch war die Lage glaube ich noch nicht. Aber Fakt ist, dass ich nicht lokaliseren konnte, woher die Registry-Einträge stammten.

Ich bin jetzt den Weg des geringsten Wiederstandes gegangen und habe das System komplett neu aufgesetzt.

Vielen Dank trotzdem, die Hilfe geleistet haben!

Grüße,
Frank

PS: Falls jemand noch eine Idee hat, wo der Schädling sich finden lassen könnte bin ich natürlich trotzdem noch interessiert. Habe das Altsystem noch auf einer anderen Partition am Laufen, werde von dort jedoch nicht online gehen.
Seitenanfang Seitenende