Explorer.EXE connected 91.217.249.16

raid-rush · 13. November 2010

Hallo,

folgendes ist passiert: beim surfen auf einer seite, hat sich ein trojaner/rootkit? oder ähnliches installiert (durch ein anscheind unbekanntes firefox exploit, neuste version ist installiert).

kurz darauf startete der Explorer.EXE eine verbindung auf einen Server mit der IP 91.217.249.16, an diesen wurden informationen gesendet per GET an eine PHP, (hab leider die daten nichtmehr) es war unter anderem computername ip und information zur hardware.

auf dem rechner läuft windows xp professional (32bit) und das neuste Antivir v10.

Mit einem rootkit scanner (gmer) habe ich versteckte dateien gefunden und diese entfernt.
dann habe ich die infizierte Explorer.exe beendet, daraufhin ging der drwatsn32 los, kurz darauf machten die festplatten ein merkwürdiges geräusch und der rechner ging aus, aber nicht ganz so ähnlich wie standby oder ruhezustand. danach wurde der rechner neugestartet und der bios bootup dauerte relativ lange und die festplatten machten mehrmals das komische gräusch.

nach dem neustart hab ich noch ein paar einträge aus den diensten entfernt und mehrere scanner durchlaufen lassen, es wurden keine dateien mehr gefunden es waren nurnoch die "autostart" einträge da.

rootkit etc wurde nichts gefunden, aber jetzt wollte ich meinen MBR checken... geht leider nicht ganz, beim checken des mbr hängt sich das programm auf (gmer die mbr.exe)
mit einem E/A Lesefehler am Gerät, die log sagt "user != kernel MBR !!! ".

danach lässt sich das programm nichtmehr schließen und das system muss neugestartet werden, durch reboot taste da es nicht runterfahren kann.

so hier die logs vom patienten:

Code:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line: 
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0161803c

Kernel Drivers (total 123):
 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
 0x806E5000 \WINDOWS\system32\hal.dll
 0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
 0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
 0xB9EA7000 spau.sys
 0xBA5AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
 0xB9E8F000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
 0xB9E60000 ACPI.sys
 0xB9E4F000 pci.sys
 0xBA0A8000 isapnp.sys
 0xBA670000 pciide.sys
 0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
 0xBA0B8000 MountMgr.sys
 0xB9E30000 ftdisk.sys
 0xBA5AC000 dmload.sys
 0xB9E0A000 dmio.sys
 0xBA330000 PartMgr.sys
 0xBA0C8000 VolSnap.sys
 0xB9DF2000 atapi.sys
 0xBA0D8000 SscRdBus.sys
 0xBA0E8000 disk.sys
 0xBA0F8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
 0xBA108000 SscRdCls.sys
 0xB9DD2000 fltmgr.sys
 0xBA118000 PxHelp20.sys
 0xB9DBB000 KSecDD.sys
 0xB9D2E000 Ntfs.sys
 0xB9D01000 NDIS.sys
 0xB9CE7000 Mup.sys
 0xBA168000 \SystemRoot\system32\DRIVERS\intelppm.sys
 0xB9674000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
 0xB9660000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
 0xBA3A8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
 0xB963C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
 0xBA3B0000 \SystemRoot\system32\DRIVERS\usbehci.sys
 0xB9614000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
 0xBA178000 \SystemRoot\system32\DRIVERS\imapi.sys
 0xBA188000 \SystemRoot\system32\DRIVERS\cdrom.sys
 0xBA198000 \SystemRoot\system32\DRIVERS\redbook.sys
 0xB95F1000 \SystemRoot\system32\DRIVERS\ks.sys
 0xB95D4000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
 0xB959E000 \SystemRoot\System32\Drivers\arqnjpp9.SYS
 0xBA594000 \SystemRoot\system32\drivers\uGuru.sys
 0xBA783000 \SystemRoot\system32\DRIVERS\audstub.sys
 0xBA1A8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
 0xBA59C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
 0xB9587000 \SystemRoot\system32\DRIVERS\ndiswan.sys
 0xBA1B8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
 0xBA1C8000 \SystemRoot\system32\DRIVERS\raspptp.sys
 0xBA440000 \SystemRoot\system32\DRIVERS\TDI.SYS
 0xBA450000 \SystemRoot\system32\DRIVERS\ptilink.sys
 0xBA460000 \SystemRoot\system32\DRIVERS\raspti.sys
 0xB9557000 \SystemRoot\system32\DRIVERS\rdpdr.sys
 0xBA1D8000 \SystemRoot\system32\DRIVERS\termdd.sys
 0xBA480000 \SystemRoot\system32\DRIVERS\kbdclass.sys
 0xBA488000 \SystemRoot\system32\DRIVERS\mouclass.sys
 0xBA5BE000 \SystemRoot\system32\DRIVERS\swenum.sys
 0xB93CF000 \SystemRoot\system32\DRIVERS\update.sys
 0xB9C9B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
 0xBA1E8000 \SystemRoot\System32\Drivers\NDProxy.SYS
 0xBA1F8000 \SystemRoot\system32\DRIVERS\usbhub.sys
 0xBA5C6000 \SystemRoot\system32\DRIVERS\USBD.SYS
 0xB695B000 \SystemRoot\system32\drivers\RtkHDAud.sys
 0xB6937000 \SystemRoot\system32\drivers\portcls.sys
 0xBA208000 \SystemRoot\system32\drivers\drmk.sys
 0xBA5CC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
 0xBA7D9000 \SystemRoot\System32\Drivers\Null.SYS
 0xBA5D0000 \SystemRoot\System32\Drivers\Beep.SYS
 0xBA3D8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
 0xBA3E0000 \SystemRoot\System32\drivers\vga.sys
 0xBA5D4000 \SystemRoot\System32\Drivers\mnmdd.SYS
 0xBA5D8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
 0xBA3F0000 \SystemRoot\System32\Drivers\Msfs.SYS
 0xBA400000 \SystemRoot\System32\Drivers\Npfs.SYS
 0xB8F13000 \SystemRoot\system32\DRIVERS\rasacd.sys
 0xB68B4000 \SystemRoot\system32\DRIVERS\ipsec.sys
 0xBA228000 \SystemRoot\system32\DRIVERS\msgpc.sys
 0xB685B000 \SystemRoot\system32\DRIVERS\tcpip.sys
 0xB6833000 \SystemRoot\system32\DRIVERS\netbt.sys
 0xB680D000 \SystemRoot\system32\DRIVERS\ipnat.sys
 0xBA238000 \SystemRoot\system32\DRIVERS\wanarp.sys
 0xBA57C000 \SystemRoot\System32\drivers\ws2ifsl.sys
 0xB67EB000 \SystemRoot\System32\drivers\afd.sys
 0xBA248000 \SystemRoot\system32\DRIVERS\netbios.sys
 0xB67B8000 \SystemRoot\System32\drivers\truecrypt.sys
 0xBA420000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
 0xB678D000 \SystemRoot\system32\DRIVERS\rdbss.sys
 0xBA684000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
 0xBA430000 \SystemRoot\system32\DRIVERS\usbccgp.sys
 0xB66F5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
 0xBA258000 \SystemRoot\System32\Drivers\Fips.SYS
 0xB66D9000 \SystemRoot\system32\DRIVERS\avipbb.sys
 0xB692F000 \SystemRoot\system32\DRIVERS\hidusb.sys
 0xBA278000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
 0xBA5E0000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
 0xB68FF000 \SystemRoot\system32\DRIVERS\kbdhid.sys
 0xBA458000 \??\C:\WINDOWS\system32\drivers\VMkbd.sys
 0xB6789000 \SystemRoot\system32\DRIVERS\mouhid.sys
 0xBF800000 \SystemRoot\System32\win32k.sys
 0xB6775000 \SystemRoot\System32\drivers\Dxapi.sys
 0xBA470000 \SystemRoot\System32\watchdog.sys
 0xBF000000 \SystemRoot\System32\drivers\dxg.sys
 0xBA7D0000 \SystemRoot\System32\drivers\dxgthk.sys
 0xBF012000 \SystemRoot\System32\nv4_disp.dll
 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
 0xB6385000 \SystemRoot\system32\DRIVERS\avgntflt.sys
 0xBA3D0000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys
 0xB63A5000 \SystemRoot\system32\DRIVERS\VMNET.SYS
 0xB6399000 \SystemRoot\system32\DRIVERS\ndisuio.sys
 0xB6461000 \??\C:\WINDOWS\system32\drivers\hcmon.sys
 0xB60A0000 \SystemRoot\system32\drivers\wdmaud.sys
 0xB6441000 \SystemRoot\system32\drivers\sysaudio.sys
 0xB6155000 \??\C:\WINDOWS\system32\Drivers\vmci.sys
 0xB5EBB000 \??\C:\WINDOWS\system32\Drivers\vmx86.sys
 0xBA358000 \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
 0xB64A1000 \SystemRoot\System32\Drivers\Cdfs.SYS
 0xB5CAB000 \SystemRoot\system32\DRIVERS\srv.sys
 0xB5EB3000 \??\C:\Programme\VMware\VMware Workstation\vstor2-ws60.sys
 0xB5A87000 \??\C:\Programme\RivaTuner\RivaTuner32.sys
 0xBA478000 \SystemRoot\System32\Drivers\TDTCP.SYS
 0xB5828000 \SystemRoot\System32\Drivers\RDPWD.SYS
 0x7C910000 \WINDOWS\system32\ntdll.dll
 0x10000000 \Programme\DAEMON Tools Lite\daemon.dll

Processes (total 30):
 0 System Idle Process
 4 System
 500 C:\WINDOWS\system32\smss.exe
 580 csrss.exe
 636 C:\WINDOWS\system32\winlogon.exe
 720 C:\WINDOWS\system32\services.exe
 740 C:\WINDOWS\system32\lsass.exe
 960 C:\WINDOWS\system32\svchost.exe
 1016 svchost.exe
 1172 C:\WINDOWS\system32\svchost.exe
 1196 svchost.exe
 1280 svchost.exe
 1360 C:\WINDOWS\system32\spoolsv.exe
 1404 C:\Programme\Avira\AntiVir Desktop\sched.exe
 1764 C:\WINDOWS\explorer.exe
 1920 C:\Programme\Avira\AntiVir Desktop\avguard.exe
 1964 C:\WINDOWS\system32\svchost.exe
 1988 wdfmgr.exe
 2024 C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
 432 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
 436 C:\WINDOWS\system32\vmnat.exe
 516 C:\WINDOWS\system32\ctfmon.exe
 544 C:\Programme\DAEMON Tools Lite\daemon.exe
 1060 C:\Programme\VMware\VMware Workstation\vmware-authd.exe
 2312 alg.exe
 3872 C:\Programme\Mozilla Firefox\firefox.exe
 360 C:\Programme\Miranda\miranda32.exe
 2792 C:\WINDOWS\system32\notepad.exe
 2620 C:\Programme\Mozilla Firefox\plugin-container.exe
 3092 C:\TOOLS\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> error 1
\\.\E: --> error 1
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000008`b7af9000 (NTFS)
\\.\P: --> error 1
\\.\Q: --> error 1
\\.\Y: --> \\.\PhysicalDrive3 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD321KJ, Rev: CP100-11
PhysicalDrive3 Model Number: SuperSpeedRAMDisk9.0, Rev: 1.0 

 Size Device Name MBR Status
 --------------------------------------------
 298 GB \\.\PhysicalDrive0 Windows XP MBR code detected 
 0 GB \\.\PhysicalDrive3 RE: Unknown MBR code
 

Found non-standard or infected MBR.

ich kann leider nur die alte gmer version starten, die neue hängt sich auf und das system muss neugestartet werden. evtl hängt das mit der ramdisk zusammen!?

diese sptd.sys ist glaub ich unbedenklich die ist von daemontool.
explorer.exe hab ich widerhergestellt.
netzwerksniffer hat seit dem auch nichtsmehr gemeldet, scheint alles clean.
was meint ihr, ist noch irgend etwas auffälliges zu sehen?

Anzeige

raid-rush · 13. November 2010

AW: Explorer.EXE connected 91.217.249.16

Code:

2010/11/13 10:49:11.0968 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/11/13 10:49:11.0984 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/11/13 10:49:12.0015 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2010/11/13 10:49:12.0046 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2010/11/13 10:49:12.0140 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/11/13 10:49:12.0171 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/11/13 10:49:12.0218 atksgt (f0d933b42cd0594048e4d5200ae9e417) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2010/11/13 10:49:12.0234 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/11/13 10:49:12.0250 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/11/13 10:49:12.0312 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2010/11/13 10:49:12.0343 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2010/11/13 10:49:12.0375 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2010/11/13 10:49:12.0390 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/11/13 10:49:12.0421 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/11/13 10:49:12.0453 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/11/13 10:49:12.0484 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/11/13 10:49:12.0500 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/11/13 10:49:12.0562 DgiVecp (770471de2550820feeb7e5d24bf2e273) C:\WINDOWS\system32\Drivers\DgiVecp.sys
2010/11/13 10:49:12.0593 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/11/13 10:49:12.0625 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2010/11/13 10:49:12.0656 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2010/11/13 10:49:12.0671 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/11/13 10:49:12.0687 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2010/11/13 10:49:12.0718 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/11/13 10:49:12.0750 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/11/13 10:49:12.0765 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2010/11/13 10:49:12.0781 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2010/11/13 10:49:12.0812 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2010/11/13 10:49:12.0843 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2010/11/13 10:49:12.0859 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/11/13 10:49:12.0875 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/11/13 10:49:12.0906 gmer (b56eb0a2210980e76390bd670bcb618b) C:\WINDOWS\system32\DRIVERS\gmer.sys
2010/11/13 10:49:12.0921 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/11/13 10:49:12.0953 hamachi (7929a161f9951d173ca9900fe7067391) C:\WINDOWS\system32\DRIVERS\hamachi.sys
2010/11/13 10:49:12.0984 hcmon (6934d249d27aab3a0d86e4da9c3ae006) C:\WINDOWS\system32\drivers\hcmon.sys
2010/11/13 10:49:13.0000 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2010/11/13 10:49:13.0015 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/11/13 10:49:13.0046 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/11/13 10:49:13.0078 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/11/13 10:49:13.0109 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/11/13 10:49:13.0218 IntcAzAudAddService (1824c4894aa438cd06c976e44b9e7353) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2010/11/13 10:49:13.0265 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2010/11/13 10:49:13.0281 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/11/13 10:49:13.0312 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/11/13 10:49:13.0328 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/11/13 10:49:13.0343 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/11/13 10:49:13.0359 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/11/13 10:49:13.0390 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/11/13 10:49:13.0421 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/11/13 10:49:13.0437 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/11/13 10:49:13.0468 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/11/13 10:49:13.0484 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2010/11/13 10:49:13.0500 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/11/13 10:49:13.0531 lirsgt (f8a7212d0864ef5e9185fb95e6623f4d) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2010/11/13 10:49:13.0562 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/11/13 10:49:13.0578 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2010/11/13 10:49:13.0593 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/11/13 10:49:13.0609 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/11/13 10:49:13.0625 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/11/13 10:49:13.0656 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/11/13 10:49:13.0703 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/11/13 10:49:13.0718 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2010/11/13 10:49:13.0750 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/11/13 10:49:13.0765 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/11/13 10:49:13.0765 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/11/13 10:49:13.0796 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/11/13 10:49:13.0796 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2010/11/13 10:49:13.0828 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2010/11/13 10:49:13.0828 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/11/13 10:49:13.0843 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/11/13 10:49:13.0859 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/11/13 10:49:13.0875 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/11/13 10:49:13.0890 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/11/13 10:49:13.0921 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/11/13 10:49:13.0937 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2010/11/13 10:49:13.0968 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/11/13 10:49:13.0984 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/11/13 10:49:14.0125 nv (ce34061a298bfb4ebd1a0bb8592dc977) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2010/11/13 10:49:14.0171 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/11/13 10:49:14.0187 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/11/13 10:49:14.0203 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2010/11/13 10:49:14.0234 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/11/13 10:49:14.0265 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/11/13 10:49:14.0281 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/11/13 10:49:14.0296 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/11/13 10:49:14.0312 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/11/13 10:49:14.0359 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/11/13 10:49:14.0390 PQNTDrv (590f057b19488420f720bf6423388775) C:\WINDOWS\system32\drivers\PQNTDrv.sys
2010/11/13 10:49:14.0406 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/11/13 10:49:14.0437 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2010/11/13 10:49:14.0484 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/11/13 10:49:14.0500 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/11/13 10:49:14.0500 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/11/13 10:49:14.0515 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/11/13 10:49:14.0531 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/11/13 10:49:14.0531 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/11/13 10:49:14.0562 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2010/11/13 10:49:14.0578 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/11/13 10:49:14.0593 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/11/13 10:49:14.0640 RivaTuner32 (c0c8909be3ecc9df8089112bf9be954e) C:\Programme\RivaTuner\RivaTuner32.sys
2010/11/13 10:49:14.0656 RTL8023xp (67c9511a760149797e806ffd9f14ad37) C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys
2010/11/13 10:49:14.0687 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/11/13 10:49:14.0703 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2010/11/13 10:49:14.0718 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/11/13 10:49:14.0750 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2010/11/13 10:49:14.0796 sptd (71e276f6d189413266ea22171806597b) C:\WINDOWS\system32\Drivers\sptd.sys
2010/11/13 10:49:14.0796 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b
2010/11/13 10:49:14.0796 sptd - detected Locked file (1)
2010/11/13 10:49:14.0812 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/11/13 10:49:14.0843 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/11/13 10:49:14.0875 SscRdBus (d7cde7c4e9635476c41592bedcc60100) C:\WINDOWS\system32\DRIVERS\SscRdBus.sys
2010/11/13 10:49:14.0890 SscRdCls (2e4c214067dac46353549a8322dd6af8) C:\WINDOWS\system32\DRIVERS\SscRdCls.sys
2010/11/13 10:49:14.0921 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2010/11/13 10:49:14.0937 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/11/13 10:49:14.0937 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2010/11/13 10:49:15.0000 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/11/13 10:49:15.0015 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/11/13 10:49:15.0031 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/11/13 10:49:15.0046 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/11/13 10:49:15.0062 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/11/13 10:49:15.0109 truecrypt (db0815523ac07445a2f09dcd2acea8c3) C:\WINDOWS\system32\drivers\truecrypt.sys
2010/11/13 10:49:15.0125 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2010/11/13 10:49:15.0140 UGURU (19495be95ed2ddcca6eec7f57ebeeb57) C:\WINDOWS\system32\drivers\uGuru.sys
2010/11/13 10:49:15.0171 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2010/11/13 10:49:15.0203 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/11/13 10:49:15.0234 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/11/13 10:49:15.0250 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/11/13 10:49:15.0281 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/11/13 10:49:15.0296 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2010/11/13 10:49:15.0312 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/11/13 10:49:15.0343 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2010/11/13 10:49:15.0359 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2010/11/13 10:49:15.0406 vmci (9a4e30b2ed25c5d3cbeceb9de3af6be4) C:\WINDOWS\system32\Drivers\vmci.sys
2010/11/13 10:49:15.0437 vmkbd (45e341e59f14cd88a64fdbe74ed0dd13) C:\WINDOWS\system32\drivers\VMkbd.sys
2010/11/13 10:49:15.0453 VMnetBridge (a9f52e6f9953c53698de898c0d7dc0c8) C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys
2010/11/13 10:49:15.0468 VMnetuserif (bd91e17551acf87ce8de7fbcfcb923f0) C:\WINDOWS\system32\drivers\vmnetuserif.sys
2010/11/13 10:49:15.0500 vmx86 (95cda1fed4fb42dc0cf329d728eafd2a) C:\WINDOWS\system32\Drivers\vmx86.sys
2010/11/13 10:49:15.0515 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/11/13 10:49:15.0625 vstor2-ws60 (98929c5c5314c4c048e2f60492c26723) C:\Programme\VMware\VMware Workstation\vstor2-ws60.sys
2010/11/13 10:49:15.0656 w810bus (5e8b60606fc4173b69cdecd964f22d28) C:\WINDOWS\system32\DRIVERS\w810bus.sys
2010/11/13 10:49:15.0671 w810mdfl (c0cc4f5a3c58b4c07ec4a82a5ae24714) C:\WINDOWS\system32\DRIVERS\w810mdfl.sys
2010/11/13 10:49:15.0687 w810mdm (2aafeedc3bfe14419cbce7ceea59dd05) C:\WINDOWS\system32\DRIVERS\w810mdm.sys
2010/11/13 10:49:15.0718 w810mgmt (b0037db3f890d0ffcf7e35f356a435ec) C:\WINDOWS\system32\DRIVERS\w810mgmt.sys
2010/11/13 10:49:15.0750 w810obex (bf609636068f17246f94b490c5812483) C:\WINDOWS\system32\DRIVERS\w810obex.sys
2010/11/13 10:49:15.0781 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/11/13 10:49:15.0812 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/11/13 10:49:15.0843 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys

pyro · 13. November 2010

AW: Explorer.EXE connected 91.217.249.16

Würde zur Sicherheit mal mit ner Windows-CD starten und mittels fixmbr den MBR neu schreiben, bzw. wenn du GRUB benutzt mit ner Linux-Live-CD. Zu Windows kann ich nix sagen, da hab ich keine Ahnung

alsdwo3 · 13. November 2010

AW: Explorer.EXE connected 91.217.249.16

Wenn ich du waere wuerde ich lieber alle wichtigen Daten sichern und dass Ding lieber komplett platt machen und neu aufsetzen.

Auch wenn du jetzt nichts auffaelliges mehr siehst, kann sich ja immer noch son Drecks Ding versteckt haben

E: Und das was pyro sagt, ggf. machen

E²: @Alex hab da wohl was vertauscht ^^

Alex² · 13. November 2010

AW: Explorer.EXE connected 91.217.249.16

Mach am besten alles Platt, was du platt machen kannst. Hier greift wirklich mal spottings Sicht der Dinge:

Warum man bei Infektionen den Rechner neu installieren sollte - RR:Board

Das Ding scheint doch eine gewisse komplexität zu besitzen, die man so nicht einschätzen kann.

Ansonsten:

1) Windows CD rein
2) "R" drücken
3) fixmbr oder mbrfix eingeben (bin mir grad net sicher)

Das sind Lücken im IE, raid war mit Firefox unterwegs.

//Hab den Server (91.217.249.16) mal genauer unter die Lupe genommen:

Code:

uname -a
Linux ua71.realhost.cn 2.6.18-194.8.1.el5PAE #1 SMP Thu Jul 1 19:46:23 EDT 2010 i686 i686 i386 GNU/Linux

Code:

uptime
 00:56:05 up 25 days, 5:32, 0 users, load average: 1.44, 1.41, 1.40

Code:

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
avahi:x:70:70:Avahi daemon:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
avahi-autoipd:x:100:102:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
apache:x:101:500::/var/www:/bin/false
diradmin:x:102:103::/usr/local/directadmin:/bin/false
mysql:x:103:104:MySQL server:/var/lib/mysql:/bin/false
webapps:x:500:501::/var/www/html:/bin/false
majordomo:x:104:2::/etc/virtual/majordomo:/bin/false
dovecot:x:105:105::/home/dovecot:/bin/false
admin:x:501:502::/home/admin:/bin/bash
authorizat:x:502:503::/home/authorizat:/bin/bash
damptime:x:503:504::/home/damptime:/bin/bash
layerboard:x:504:505::/home/layerboard:/bin/bash
limeshift:x:505:506::/home/limeshift:/bin/bash
hunt:x:506:507::/home/hunt:/bin/bash

Code:

cat /etc/virtual/domains
authorizationbook.com
damptime.com
dddddsd.sd
layerboard.com
limeshift.com
ua71.realhost.cn

Code:

ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 2152 672 ? Ss Oct19 0:00 init [3]
root 2 0.0 0.0 0 0 ? S< Oct19 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN Oct19 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S< Oct19 0:00 [watchdog/0]
root 5 0.0 0.0 0 0 ? S< Oct19 0:00 [migration/1]
root 6 0.0 0.0 0 0 ? SN Oct19 0:00 [ksoftirqd/1]
root 7 0.0 0.0 0 0 ? S< Oct19 0:00 [watchdog/1]
root 8 0.0 0.0 0 0 ? S< Oct19 0:00 [events/0]
root 9 0.0 0.0 0 0 ? S< Oct19 0:00 [events/1]
root 10 0.0 0.0 0 0 ? S< Oct19 0:00 [khelper]
root 11 0.0 0.0 0 0 ? S< Oct19 0:00 [kthread]
root 15 0.0 0.0 0 0 ? S< Oct19 0:00 [kblockd/0]
root 16 0.0 0.0 0 0 ? S< Oct19 0:00 [kblockd/1]
root 17 0.0 0.0 0 0 ? S< Oct19 0:00 [kacpid]
root 121 0.0 0.0 0 0 ? S< Oct19 0:00 [cqueue/0]
root 122 0.0 0.0 0 0 ? S< Oct19 0:00 [cqueue/1]
root 125 0.0 0.0 0 0 ? S< Oct19 0:00 [khubd]
root 127 0.0 0.0 0 0 ? S< Oct19 0:00 [kseriod]
root 193 0.0 0.0 0 0 ? S Oct19 0:00 [khungtaskd]
root 194 0.0 0.0 0 0 ? S Oct19 0:00 [pdflush]
root 195 0.0 0.0 0 0 ? S Oct19 0:07 [pdflush]
root 196 0.0 0.0 0 0 ? S< Oct19 0:00 [kswapd0]
root 197 0.0 0.0 0 0 ? S< Oct19 0:00 [aio/0]
root 198 0.0 0.0 0 0 ? S< Oct19 0:00 [aio/1]
root 355 0.0 0.0 0 0 ? S< Oct19 0:00 [kpsmoused]
root 386 0.0 0.0 0 0 ? S< Oct19 0:00 [ata/0]
root 387 0.0 0.0 0 0 ? S< Oct19 0:00 [ata/1]
root 388 0.0 0.0 0 0 ? S< Oct19 0:00 [ata_aux]
root 392 0.0 0.0 0 0 ? S< Oct19 0:00 [scsi_eh_0]
root 393 0.0 0.0 0 0 ? S< Oct19 0:00 [scsi_eh_1]
root 397 0.0 0.0 0 0 ? S< Oct19 0:00 [kstriped]
root 410 0.0 0.0 0 0 ? S< Oct19 0:00 [ksnapd]
root 425 0.0 0.0 0 0 ? S< Oct19 2:03 [kjournald]
root 450 0.0 0.0 0 0 ? S< Oct19 0:00 [kauditd]
root 483 0.0 0.0 2368 644 ? S<s Oct19 0:00 /sbin/udevd -d
root 1114 0.0 0.0 0 0 ? S< Oct19 0:00 [hd-audio0]
root 1378 0.0 0.0 0 0 ? S< Oct19 0:00 [kmpathd/0]
root 1379 0.0 0.0 0 0 ? S< Oct19 0:00 [kmpathd/1]
root 1380 0.0 0.0 0 0 ? S< Oct19 0:00 [kmpath_handlerd]
root 1440 0.0 0.0 0 0 ? S< Oct19 0:00 [kjournald]
root 1835 0.0 0.0 13644 860 ? S<sl Oct19 0:30 auditd
root 1837 0.0 0.0 13180 808 ? S<sl Oct19 0:03 /sbin/audispd
root 2052 0.0 0.0 0 0 ? S< Oct19 0:01 [kondemand/0]
root 2053 0.0 0.0 0 0 ? S< Oct19 0:00 [kondemand/1]
rpc 2090 0.0 0.0 1904 604 ? Ss Oct19 0:00 portmap
apache 2099 0.3 0.2 25772 11872 ? S 00:51 0:01 /usr/sbin/httpd -k start -DSSL
root 2121 0.0 0.0 0 0 ? S< Oct19 0:00 [rpciod/0]
root 2122 0.0 0.0 0 0 ? S< Oct19 0:00 [rpciod/1]
rpcuser 2129 0.0 0.0 1956 740 ? Ss Oct19 0:00 rpc.statd
root 2161 0.0 0.0 5924 644 ? Ss Oct19 0:00 rpc.idmapd
dbus 2184 0.0 0.0 2836 960 ? Ss Oct19 0:02 dbus-daemon --system
root 2197 0.0 0.0 2248 764 ? Ss Oct19 0:00 /usr/sbin/hcid
root 2227 0.0 0.0 0 0 ? S< Oct19 0:00 [krfcommd]
root 2273 0.0 0.0 12948 1316 ? Ssl Oct19 0:04 pcscd
root 2287 0.0 0.0 1752 528 ? Ss Oct19 0:00 /usr/sbin/acpid
68 2304 0.0 0.0 5876 3972 ? Ss Oct19 0:00 hald
root 2305 0.0 0.0 3256 988 ? S Oct19 0:00 hald-runner
68 2312 0.0 0.0 2100 812 ? S Oct19 0:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
root 2339 0.0 0.0 2000 460 ? Ss Oct19 0:00 /usr/bin/hidd --server
root 2364 0.0 0.0 30328 1388 ? Ssl Oct19 0:00 automount
root 2385 0.0 0.0 2112 608 ? Ss Oct19 0:00 dovecot
root 2389 0.0 0.0 2840 1404 ? S Oct19 0:00 dovecot-auth
root 2430 0.0 0.0 10364 2420 ? Ss Oct19 0:00 cupsd
root 2465 0.0 0.0 2828 844 ? Ss Oct19 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 2475 0.0 0.0 4620 1212 ? S Oct19 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid
mysql 2529 0.0 0.5 42228 23524 ? S Oct19 4:38 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2530 0.0 0.5 42228 23524 ? S Oct19 5:05 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2531 0.0 0.5 42228 23524 ? S Oct19 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2532 0.0 0.5 42228 23524 ? S Oct19 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2533 0.0 0.5 42228 23524 ? S Oct19 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2534 0.0 0.5 42228 23524 ? S Oct19 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2536 0.0 0.5 42228 23524 ? S Oct19 0:02 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2537 0.0 0.5 42228 23524 ? S Oct19 0:03 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2538 0.0 0.5 42228 23524 ? S Oct19 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 2539 0.0 0.5 42228 23524 ? R Oct19 9:26 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
root 2560 0.0 0.0 3236 448 ? Ss Oct19 0:00 /usr/local/directadmin/da-popb4smtp
nobody 2573 0.0 0.0 8996 1276 ? Ss Oct19 0:00 /usr/local/directadmin/directadmin d
mail 2585 0.0 0.0 8988 1072 ? Ss Oct19 0:00 /usr/sbin/exim -bd -q15m -oP /var/run/exim.pid
root 2598 0.0 0.0 1992 368 ? Ss Oct19 0:00 gpm -m /dev/input/mice -t exps2
ftp 2630 0.0 0.0 2760 1328 ? Ss Oct19 0:06 proftpd: (accepting connections)
root 2643 0.0 0.0 5376 1112 ? Ss Oct19 0:01 crond
xfs 2670 0.0 0.0 3512 1260 ? Ss Oct19 0:00 xfs -droppriv -daemon
root 2697 0.0 0.0 2352 428 ? Ss Oct19 0:00 /usr/sbin/atd
avahi 2723 0.0 0.0 2688 1256 ? Ss Oct19 0:00 avahi-daemon: running [ua71.local]
avahi 2724 0.0 0.0 2688 312 ? Ss Oct19 0:00 avahi-daemon: chroot helper
daemon 2767 0.5 4.8 1229736 201032 ? Sl Oct19 182:09 /opt/openfire/jre/bin/java -server -DopenfireHome=/opt/openfire -Dopenfire.lib.dir=/opt/openfire/lib -classpath /opt/openfire/lib/startup.jar -jar /opt/openfire/lib/startup.jar
root 2826 0.0 0.0 3604 528 ? S Oct19 0:00 /usr/sbin/smartd -q never
root 2829 0.0 0.0 1740 428 tty1 Ss+ Oct19 0:00 /sbin/mingetty tty1
root 2830 0.0 0.0 1740 452 tty2 Ss+ Oct19 0:00 /sbin/mingetty tty2
root 2831 0.0 0.0 1740 428 tty3 Ss+ Oct19 0:00 /sbin/mingetty tty3
root 2832 0.0 0.0 1740 424 tty4 Ss+ Oct19 0:00 /sbin/mingetty tty4
root 2834 0.0 0.0 1740 452 tty5 Ss+ Oct19 0:00 /sbin/mingetty tty5
root 2837 0.0 0.0 1740 428 tty6 Ss+ Oct19 0:00 /sbin/mingetty tty6
root 2888 0.0 0.2 27744 11252 ? SN Oct19 0:06 /usr/bin/python -tt /usr/sbin/yum-updatesd
root 2890 0.0 0.0 2648 1140 ? SN Oct19 0:00 /usr/libexec/gam_server
named 2972 0.0 0.1 51748 5092 ? Ssl Oct19 0:00 /usr/sbin/named -u named
apache 3418 0.3 0.2 25772 11876 ? S 00:55 0:00 /usr/sbin/httpd -k start -DSSL
apache 3477 0.3 0.2 25772 11892 ? S 00:55 0:00 /usr/sbin/httpd -k start -DSSL
apache 3619 0.3 0.2 25772 11884 ? S 00:55 0:00 /usr/sbin/httpd -k start -DSSL
apache 3768 0.3 0.2 25796 11900 ? S 00:56 0:00 /usr/sbin/httpd -k start -DSSL
apache 3998 0.3 0.2 25772 11892 ? S 00:56 0:00 /usr/sbin/httpd -k start -DSSL
mysql 4080 0.0 0.5 42100 23504 ? S 00:57 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
apache 4086 0.3 0.2 25772 11888 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4104 0.4 0.2 25580 11672 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4163 0.3 0.2 25772 11876 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4198 0.3 0.2 25580 11680 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4216 0.4 0.2 25580 11696 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4217 0.3 0.2 25772 11876 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4218 0.2 0.2 25772 11872 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4219 0.3 0.2 25580 11680 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4272 0.3 0.2 25580 11676 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4347 0.4 0.2 25580 11672 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4352 0.3 0.2 25580 11668 ? S 00:57 0:00 /usr/sbin/httpd -k start -DSSL
apache 4386 0.1 0.2 25692 11852 ? S 00:58 0:00 /usr/sbin/httpd -k start -DSSL
apache 4412 0.0 0.2 25312 10172 ? S 00:58 0:00 /usr/sbin/httpd -k start -DSSL
daemon 4416 0.0 0.0 4344 948 ? R 00:58 0:00 ps aux
dovecot 9081 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 10331 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
root 10348 0.0 0.0 7192 1068 ? Ss Oct20 0:00 /usr/sbin/sshd
dovecot 10349 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
dovecot 10367 0.0 0.0 5172 1880 ? S Nov13 0:00 imap-login
dovecot 10388 0.0 0.0 5172 1888 ? S Nov13 0:00 imap-login
dovecot 10407 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
dovecot 11050 0.0 0.0 5172 1880 ? S Nov13 0:00 imap-login
dovecot 11875 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
dovecot 11893 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
dovecot 11906 0.0 0.0 5172 1880 ? S Nov13 0:00 imap-login
dovecot 11926 0.0 0.0 5172 1880 ? S Nov13 0:00 imap-login
dovecot 13637 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
dovecot 13644 0.0 0.0 5160 1932 ? S Nov13 0:00 pop3-login
mysql 14107 0.0 0.5 42100 23504 ? S Nov13 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
dovecot 14719 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 14720 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
dovecot 14758 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
dovecot 14800 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 14807 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 14808 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
dovecot 14816 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 14823 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 14881 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
mysql 15164 0.0 0.5 42100 23504 ? S Nov11 1:18 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
dovecot 15167 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
nobody 15182 0.0 0.0 8996 528 ? S Nov13 0:00 /usr/local/directadmin/directadmin d
dovecot 15198 0.0 0.0 5172 1880 ? S Nov13 0:00 imap-login
nobody 15200 0.0 0.0 8996 528 ? S Nov13 0:00 /usr/local/directadmin/directadmin d
nobody 15584 0.0 0.0 8996 528 ? S Nov13 0:00 /usr/local/directadmin/directadmin d
mysql 16028 0.0 0.5 42100 23504 ? S Nov09 0:57 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
root 19516 0.0 0.2 25312 12004 ? Ss 00:11 0:00 /usr/sbin/httpd -k start -DSSL
dovecot 19710 0.0 0.0 5172 1952 ? S Nov13 0:00 imap-login
dovecot 19720 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
nobody 20047 0.0 0.0 8996 528 ? S Nov13 0:00 /usr/local/directadmin/directadmin d
mysql 24447 0.0 0.5 42100 23504 ? S 00:24 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 25713 0.0 0.5 42100 23504 ? S Oct27 4:20 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
mysql 27015 0.0 0.5 42100 23504 ? S Nov10 0:32 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ua71.realhost.cn.pid --skip-external-locking
daemon 28428 0.0 0.0 4720 1184 ? S 00:34 0:00 bash
dovecot 28924 0.0 0.0 5160 1872 ? S Nov13 0:00 pop3-login
dovecot 28932 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
dovecot 28980 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
dovecot 28981 0.0 0.0 5172 1880 ? S Nov13 0:00 imap-login
dovecot 28993 0.0 0.0 5160 1868 ? S Nov13 0:00 pop3-login
dovecot 28994 0.0 0.0 5172 1884 ? S Nov13 0:00 imap-login
nobody 29037 0.0 0.0 8996 528 ? S Nov13 0:00 /usr/local/directadmin/directadmin d

Code:

ls -al /var/www/html
???é???|?? 76
drwxr-xr-x 6 root root 4096 ?ÿ?Ä?? 7 20:47 .
drwxr-xr-x 9 root root 4096 ?ÿ?Ä?? 7 20:33 ..
-rw-r--r-- 1 root root 44 ?ÿ?Ä?? 7 20:33 index.html
lrwxrwxrwx 1 root root 44 ?ÿ?Ä?? 7 20:47 phpMyAdmin -> /var/www/html/phpMyAdmin-3.3.4-all-languages
drwxr-xr-x 11 webapps webapps 4096 ?ÿ?Ä?? 7 20:47 phpMyAdmin-3.3.4-all-languages
-rwxr-xr-x 1 root root 65 ?ÿ?Ä?? 7 20:26 redirect.php
lrwxrwxrwx 1 root root 19 ?ÿ?Ä?? 7 20:46 roundcube -> roundcubemail-0.3.1
drwxr-xr-x 10 webapps webapps 4096 ?ÿ?Ä?? 7 20:46 roundcubemail-0.3.1
lrwxrwxrwx 1 root root 19 ?ÿ?Ä?? 7 20:47 squirrelmail -> squirrelmail-1.4.20
drwxr-xr-x 16 webapps webapps 4096 ?£???Ç 7 2010 squirrelmail-1.4.20
drwxr-xr-x 11 webapps webapps 4096 ?ÿ?Ä?? 7 20:26 webmail

Code:

cat /var/www/html/redirect.php
<?
header("Location: http://".$_SERVER['HTTP_HOST'].":2222");
?>

Ansonsten sind ein haufen aktiver Verbindung über Port 80 zu sehen. Sind DSL-Rechner aus aller Welt, mein Problem ist dass ich nicht feststellen kann was diese so interessant finden.

raid-rush · 14. November 2010

AW: Explorer.EXE connected 91.217.249.16

genau die domain wars, an damptime.com/music/irgendne.php?get=string
wurden die daten gesendet.

auf damptime.com/music/ kommt dann "Welcome to the home of authorizationbook.com"
die domain liegt ja laut vhosts auch auf dem server.

also ich vermute mal der server steuert ein botnet.

Nützliche Suchen

Explorer.EXE connected 91.217.249.16

Videos zum Themenbereich