#1  (Permalink
Alt 28.11.2001, 18:54
jipman jipman ist offline
Neues Mitglied
 
Registriert seit: 06.09.2001
Beiträge: 29
Frage Shellex Trojaner

Hat jemand nähere Infos zu shellex?
Ich habe nur wenig im Inet über diesen Trojaner gefunden. Habe verschiedene Scanner ausprobiert, aber keiner hat shellex als Trojaner identifiziert. Ich habe nur durch Zufall bemerkt, dass ich infiziert wurde. Jedes mal wenn ich den Rechner hochgefahren habe, wollte er per DFÜ eine Verbindung aufbauen. Ich dachte erst irgendein Microsoft Proggy versendet irgendwelche Daten, bis ich gerafft habe das es von dieser shellex ausgeht. Und zwar sitzt dieses Programm in c:windows, in der Registry finde ich es nicht. Auch in der win.ini und system.ini kann ich keinen Eintrag finden.

Das Teil will sich immer mit 10.0.1.128 über den Port 6667 connecten.
Kann mir jemand was zu dem Teil erzählen? Was habe ich eigentlich für rechtliche Möglichkeiten um den Urheber am ***** zu kriegen? Was muß ich alles speichern, wenn ich Anzeige machen möchte? Noch habe ich das Teil auf meinem Rechner, vielleicht gibt es ja hier Experts die sich näher damit beschäftigen wollen.

gruß
Jipman

Mit Zitat antworten
  #2  (Permalink
Alt 28.11.2001, 19:34
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Shellex Trojaner

Moin,

die IP 10.0.1.128 ist eine "private" Intranetadresse. Bist du vernetzt? Dann such mal in deiner Umgebung...

CU
upsi

__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
  #3  (Permalink
Alt 28.11.2001, 20:13
jipman jipman ist offline
Neues Mitglied
 
Registriert seit: 06.09.2001
Beiträge: 29
Standard Re: Shellex Trojaner

Ich verbinde mich übers Internet mit 10.0.1.128 über Port 6667. Frag mich nicht wie das geht, ich bin auf jeden Fall nicht im lokalen Netzwerk! Wenn ich die Firewall ausstelle und die Verbindung zulasse, kann ich mit netstat eine aktive Verbindung zu 10.0.1.128 feststellen. Es ist also 100% sicher, dass sich das Teil übers Internet mit 10.0.1.128 connected.

Kennt zufällig jemand eine Homepage, auf der man näheres über Shellex erfahren kann?

gruß
jipman

Mit Zitat antworten
  #4  (Permalink
Alt 28.11.2001, 20:42
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Shellex Trojaner

Meinst Du evtl. dieses ShellEx. Über einen Trojaner, der so heisst, ist mir nichts bekannt.

<font color=blue>&laquo; &isin;ngholm &raquo;</font color=blue>
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
  #5  (Permalink
Alt 29.11.2001, 08:28
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Shellex Trojaner

<blockquote><font class="small">In Antwort auf:</font><hr>

Ich verbinde mich übers Internet mit 10.0.1.128 über Port 6667.

<hr></blockquote>Und wie stellst Du das an ??

[img]/forum/images/icons/cool.gif[/img] COKS - Zeugwart -
Club der Onlinekosten.de Sonnenbrillenträger www.coks.de.vu
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
  #6  (Permalink
Alt 29.11.2001, 13:06
jipman jipman ist offline
Neues Mitglied
 
Registriert seit: 06.09.2001
Beiträge: 29
Standard Re: Shellex Trojaner

Bei Aufruf von netstat bekomme ich folgende Meldung, wenn ich die Verbindung von shellex zulasse:

Aktive Verbindungen

Proto Lok. Adresse Rem. Adresse Status
TCP ******:1066 10.0.1.128:6667 SYN_Sent
TCP ******:1074 10.0.1.128:6667 SYN_Sent
TCP ******:1076 10.0.1.128:6667 SYN_Sent
TCP ******:1077 10.0.1.128:6667 SYN_Sent
TCP ******:1082 10.0.1.128:6667 SYN_Sent



Mit Zitat antworten
  #7  (Permalink
Alt 29.11.2001, 13:25
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Shellex Trojaner

achso, dein Rechner verbindet sich mit einem Rechner mit der IP 10.0.1.128...

Mach doch mal einen Tracert auf die IP-Adresse.

ich kriege über VisualRoute die Info: Private Use

Komisch ist nur, daß ich überhaupt eine Antwort kriege. Ein NMAP bringt mir auch offene Ports, aber Deiner ist nicht dabei.

Hier mal eine Antwort aus einer englischen Newsgroup:
I would guess (it is probably quite likely however) that your running an
unpatched version of IIS 5.0 and have been infected by the CodeRed III
worm (or CodeRed II if you so wish).

Have a look in your IIS logfiles for requests with "default.ida" in
them. Also look for "explorer.exe" in your C:\ or D:\ drives and
"root.exe" in c:\inetpub\scripts\.

You box is scanning for other hosts to infect, hence all the SYN_SENT
states. Those that are ESTABLISHED means that it's probably merrily
infecting that IP (Or attempting to).

The top four entries in that list (Barring your own) are connections to
_you_. Either other hosts trying to infect your IIS server or script
kiddies trying to exploit it further. Of course it could be someone
browsing your site


[img]/forum/images/icons/cool.gif[/img] COKS - Zeugwart -
Club der Onlinekosten.de Sonnenbrillenträger www.coks.de.vu
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
 
Anzeige
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Trojaner, Trojaner, ick hör dir trapsen! melchors Sonstiges 0 03.08.2007 14:50
Anwaltspost enthält Trojaner ChrisNRW Sonstiges 2 11.04.2007 15:31
Trojaner: gefährlich? Pikachu! Sonstiges 2 19.01.2002 20:09
Trojaner? WoozySaint Sonstiges 3 10.01.2002 15:24
Trojaner , Hacker ??? weizi Sonstiges 0 24.02.2001 21:10


Alle Zeitangaben in WEZ +2. Es ist jetzt 15:10 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.