explorer.exe will cocolite.ath.cx auf port 80 kontaktieren |
||
---|---|---|
#0
| ||
23.09.2006, 13:31
...neu hier
Beiträge: 9 |
||
|
||
23.09.2006, 21:50
Ehrenmitglied
Beiträge: 29434 |
#2
wir hatten das schon mal hier, ich muesste den Thread suchen
Antivirus hat damals 3 Trojanaer geloescht, http://virus-protect.org/antivirus.html (im abgesicherten Modus scannen) Lade Dir das Tool Autoruns runter http://virus-protect.org/artikel/tools/autoruns.html entpacke im abgesicherten Modus von Windows unter Deinem Benutzernamen angemeldet die Zip-Datei führe autoruns.exe aus mach bei "Options" bei "Verify Code Signatures" - "Hide Signed Microsoft Entries" jeweils Häckchen und vergewissere Dich, dass bei "Include Empty Locations" kein Häckchen ist. poste das Log ist eine argentinische Seite: Zitat ip address: 201.253.13.187 (copy) Zitat canonical name cocolite.ath.cx. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.09.2006, 12:55
...neu hier
Themenstarter Beiträge: 9 |
#3
Hallo Sabina!
Ich werde mich mal an die Tips halten, heute abend mal wieder auf die Suche gehen. Den Thread hatte ich seinerzeit auch gefunden. Antivirus hatte bei mir nichts gefunden, ausser einem JAVA/Blackbox oder so ähnlich. (War eine .jar Datei, die ihm nicht gefallen hat) Was ich mittlerweile aber auch festgestellt habe: In der Registry gibt es einen Zweig unter dem Current User, der diesen komischen cocolite.ath.cx Server als eintrag für einen WindowsUpdate Server eingestellt hatte. Ein Schlüssel hiess glaub ich "homecall" oder so ähnlich. Das fand ich alles schon sehr verdächtig... Ich in Kürze noch mal die Details und befolge die Anweisungen. Auf jeden Fall schon mal vielen Dank, Frankie --- Update: Hier also das Update. Meine Recherchen haben schon folgenden (aus meiner Sicht) besorgniserregenden Eintrag in der Registry zu Tage gefördert: Windows Registry Editor Version 5.00 Zitat [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]Der 19.09. war ein Datum, an dem mein Rechner samt RealVNC lief und ich den fernsteuern wollte. Ich habe es nicht hingekriegt, weil ich das Passwort vergessen hatte. Dafür hat sich scheinbar cocolite installiert. Sent Times = 16. Auweia. Ich habe dann mal einen Eintrag in der hosts-Datei vorgenommen der cocolite.ath.cx 127.0.0.1 zuweist. Damit da erst mal Ruhe ist. Hier ist jetzt zuletzt das Logfile von autoruns.exe mit den vorgeschlagenen Einstellungen. Und nochmals vielen Dank für die Hilfe! Viele Grüße, Frankie Zitat HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Dieser Beitrag wurde am 29.09.2006 um 08:32 Uhr von frankiebm editiert.
|
|
|
||
29.09.2006, 09:50
Ehrenmitglied
Beiträge: 29434 |
#4
hat mir "den Atem verschlagen" - wie zum Geier kommen die an die Windowsupdates ???????????????
Zitat [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]die Windowsupdates sind normaerweise unter diesem Schluessel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions"=dword:00000001 Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WindowsUpdate cocolite in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------ poste bitte dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.09.2006, 09:58
...neu hier
Themenstarter Beiträge: 9 |
#5
Hallo Sabina,
hat mir auch zuerst den Atem verschlagen... Allerdings habe ich mal mit einem anderen Rechner verglichen: Da stehen diese Windowsupdate-Einträge gar nicht unter dem current user. Und auch die Local Machine-Einträge haben nicht die gleichen schlüssel. Ich habe angenommen, dass dieser Zweig nur zur Tarnung gewählt wurde...? Hier das Combofix log: Er schreibt immer wärend des scans, dass die destroy.exe nicht gefunden wird, das macht wohl aber nichts...? Viele Grüße, Frank Zitat Frankie - 06-09-29 9:53:54.60 Service Pack 2--- Update Hier noch der Regscan: Zitat REGEDIT4 Dieser Beitrag wurde am 29.09.2006 um 10:02 Uhr von frankiebm editiert.
|
|
|
||
29.09.2006, 10:00
Ehrenmitglied
Beiträge: 29434 |
#6
ich hab editiert - du warst zu schnell - schau mal und poste, worum ich noch gebeten habe
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.09.2006, 10:03
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
29.09.2006, 10:25
Ehrenmitglied
Beiträge: 29434 |
#8
nun sollten die Eintraege vom Hacker raus
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4PC neustarten dann ueberpruefe mit regsearch, ob es wirklich raus ist ** Start - Ausführen -> reinkopieren: notepad "C:\Windows\System32\drivers\etc\hosts" poste den text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.09.2006, 15:56
Ehrenmitglied
Beiträge: 6028 |
#9
@Sabina
Zum RealVNC http://secunia.com/advisories/20107/ Ein Bild von w32-gen.us sehe Anhang Anhang: w32-gen1.JPG __________ MfG Argus |
|
|
||
29.09.2006, 16:22
Ehrenmitglied
Beiträge: 29434 |
#10
wenn es das ist: natuerlich loeschen - C:\Programme\UltraVNC
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.09.2006, 19:15
...neu hier
Themenstarter Beiträge: 9 |
#11
also die hosts ist ziemlich unspekatulär.
Zitat # Copyright (c) 1993-1999 Microsoft Corp.hatte ich selbst vorgenommen den cocolite-Eintrag. Das RealVNC (welches definitiv den fremdzugriff verursacht hat) ist schon lange deinstalliert. UltraVNC scheint die Sicherheitslücke nicht zu haben. Wird allerdings von mir auch nur noch sparsam eingesetzt nach dem Desaster. Ich habe immer noch ein leicht ungutes Gefühl... Denn der Registry-Eintrag selber tut ja erst mal nichts. Leider weiss ich immer noch nicht, wer diese Einträge wie vorgenommen hat. Ich gehe also davon aus, dass sich noch irgendwas auf meiner Kiste eingeschlichen hat. Wie schätzt Ihr die Gefahr ein? Was mich z.B. auch noch irritiert wenn ich die Firewall-Logs durchsehe, sind ständige Zugriffsversuche auf groups.google.com durch meine explorer.exe, die ich nicht bewusst initiiere. Kann das ein Spamroboter sein? Viele Grüße und auf jeden Fall schon mal vielen Dank. --- UPDATE nur eine halbe Stunde später: meine explorer.exe wurde aus irgendwelchen Gründen gekilled. Die Taskleiste hat nicht mehr reagiert. Ich habe anschliessend manuell über den Taskmaanger wieder die explorer.exe gestartet. Ein kleines Fenster ist aufgepoppt "Persönliche Einstellungen"... Und siehe da: Anschliessend war wieder ein Eintrag in der Registry unter dem Current User. Da ist doch noch was faul! Zitat Windows Registry Editor Version 5.00 Zitat REGEDIT4---Noch ein Update: Habe man das Anwendungslog durchstöbert... Die Einträge Zitat Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.2180, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.2180, Fehleradresse 0x00010f29.und Zitat Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes Modul dbghelp.dll, Version 5.1.2600.2180, Fehleradresse 0x0001295d.Die beiden dll's habe ich mal bei jotti scannen lassen. Ohne negatives Ergebnis. Wie's momentan aussieht tendiere ich mittelfristig schon zu einer Windows-Neuinstallation Schade Dieser Beitrag wurde am 29.09.2006 um 19:56 Uhr von frankiebm editiert.
|
|
|
||
29.09.2006, 23:38
Ehrenmitglied
Beiträge: 29434 |
#12
1.
scanne mit Counterspy und poste den report http://virus-protect.org/counterspy.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.09.2006, 18:06
...neu hier
Themenstarter Beiträge: 9 |
#13
Update
Oh mann... Immer noch kein Erfolg. Die Fünde vom Counterspy hatte ich ja aller gelöscht. Allerdings wird ständig meine explorer.exe "abgeschossen". Anschliessend popt immer ein kleines Fenster auf mit "Persönliche Einstellungen". Diesmal habe ich auch drauf geachtet: Er tut irgendwas an den services.exe. Mein ursprünglicher Post wurde leider abgeschnitten. Die Registry Einträge sind auch wieder da. Sent Times 4 macht mich ein bisschen nervös. Habt Ihr noch eine Idee? Viele Grüße, Frankie --- Hallo. Das ist der Report vom Counterspy... Immer wenn ich den Rechner hochfahre will die explorer.exe mit groups.google.com sofort kontakt aufnehmen. Keine Ahnung woher das kommt. Zitat Spyware Scan Details Dieser Beitrag wurde am 30.09.2006 um 18:33 Uhr von frankiebm editiert.
|
|
|
||
30.09.2006, 18:37
Ehrenmitglied
Beiträge: 29434 |
#14
nun, jetzt ist der ganze Muell runter, es sollte alles o.k. sein.
loesche noch mal die relevanten Daten aus der Registry und berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.09.2006, 18:42
...neu hier
Themenstarter Beiträge: 9 |
#15
Tja, wie schon beschrieben in dem Update (hatte erst spät erkannt, das der Beitrag gekappt wurde), der Registry-Eintrag Windowsupdate kommt immer wieder
Ich hatte vorhin den PC nicht bewacht, als der Counterspy gescannt hat. Zur Sicherheit hatte ich den WLAN Adapter deaktiviert. Und währenddessen wurde wieder meine explorer.exe gekilled. Ich konnte die WLAN-Karte nicht mehr hochfahren... Dann hatte ich den Reg-Eintrag wieder gelöscht. Kommt aber wieder. Die explorer.exe 2x wieder "abgeschossen" und die Sent Times standen auf 2. Irgendwas ist noch aktiv... Das töten der Explorer.exe sieht folgendermassen aus: Es poppt oben rechts immer ein kleines Fensterchen "Persönliche Einstellungen" auf (nur einen Sekundenbruchteil), der was in den Anwendungsdaten des Current Users zu tun scheint. Und er vergeht sich scheinbar an den Diensten (services.exe). Ist schon faszinierend: Der WindowUpdate-Eintrag ist schon wieder da. Allerdings nur der Eintrag "Icon Times = 45". Mal sehen, wann er wieder sendet (oder senden will)... Jetzt habe ich den Eintrag wieder gelöscht und es ist nur der Schlüssel Windows Update da... Dieser Beitrag wurde am 30.09.2006 um 18:52 Uhr von frankiebm editiert.
|
|
|
||
Ich bin mittlerweile ziemlich sicher, das mein REALVNC mir einen Eindringling ins Haus geholt hat. Gestern öffnet sich plötzlich meine Run-Box und jemand versucht sich an http:\\www.w32-gen.us\oagain.exe. HILFE!
Ich habe sofort alle Verbindungen gekappt und gegengesteuert.
Der VNC ist mittlerweile deinstalliert.
Wenig später stürzt meine "explorer.exe" ab und startet sich neu. Und plötzlich bewegt sich meine Maus... Schnell den Rechner aus. Horror.
Mehrer Virenscans, HJT, Adaware, Spybot haben keine Meldungen generiert, die mich beunruhigt hätten.
Aber ich befürchte, dass noch irgendetwas los ist.
Was mich z.B. total stutzig macht ist die explorer.exe, die laut neu installierter spf - Firewall immer einen Rechner cocolite.ath.cx auf Port 80 anfunken will. Ich kenn dieses Ziel nicht (ist wohl eine dyndns.org-Domain).
Hat jemand eine Idee, was ich tun kann, um, wieder ruhig zu schlafen?
Viele Grüße,
Frankie
--------------
UPDATE:
Diese Adresse http://cocolite.ath.cx macht mich verrückt. Ich wüsste gerne mal, wer diese Anfrage initial auslöst. Wie komm ich dem auf die Spur?
Letztendlich stellt sich die Anfrage über die explorer.exe dar...
Kann mir jemand detektivische Hilfe leisten?