*.log Dateien auf C:/

[-nuKOr]

Hi ..

Ich (und unter anderem einer meiner Freunde) haben folgendes Problem:
Auf meiner HD erstellen sich ständig neue *.log Dateien, dem Dateityp zufolge müssten das ja irgendwelche Protokolle oder soetwas sein, auf jeden Fall kann ich sie auch mitm Texteditor öffnen, aus dem was drinsteht werd ich nicht gerade schlau, bin btw eh nicht so versiert was höhere computerkenntnisse angeht. Najo das Problem ist, dass sie sich selbst erstellen, wenn ich sie lösche erstellen die sich nach ner Zeit wieder selber. Sind so um die 650-1500 Dateien wenn man sie mal nen tag nicht löscht .. tut man dieses mal einige Tage nicht, nimmt das Ganze dann Festplattenspeicher von 2GB in anspruch. Zudem verlangsamt das mein ganzes System so dermaßen, dass es kaum noch Spass macht hier zu arbeiten. Da ich von einem Freund in Brasilien einen Link geschickt bekommen habe (via ICQ) der schon sehr verdächtig nach Virus etc. aussah, hab ich trotzdem draufgeklickt (dummerweise) weil ich dachte es wär irgendwas brasilianisches, nun genug der rechtfertigung, später hat sich auf alle Fälle herausgestellt, dass es ein Wurm war, der sich von alleine verschickt, und seit ein paar Tagen im Umlauf ist .. seitdem verschicke ich auch den Link, bekomme davon aber nichts mit.. ich schlussfolgere einfach mal, dass die Textdateien und der Wurm irgendwie zusammenhängen. Selbst Anti-Viren Programme helfen mir nicht, es kommt
jedes mal wieder, jetzt habe ich mir mal ZoneAlarm druffjemacht, kamen aber auch wieder. vllt kann mir jemand von euch etwas näheres dazu sagen .. ?

Um euch das ganze dann mal etwas näher zu bringen hab ich mal n Bild von dem ganzen hochgeladen (Anhang) .. normalerweise sind da aber viiel mehr Dateien, war halt kurz nach ner Löschung

Namen der Dateien:

clientXXXX
smtpthreadXXXX
(XXXX jeweils Zahlen ^^)


Wäre nett wenn mir jemand helfen kann ..

Mfg

 

[lightsaver]

also es wäre mal interessant zu wissen, was dort drin steht aber deine vermutung dürfte richtig sein. scan einfach mal mit hijackthis und poste den log dort: HiJack-This-Log Sammelthread

mal schauen ob wir den übeltäter ausschalten können ;-)

 

[Oi!Alex]

wenn ein link nach virus/wurm aussieht klickt man nicht drauf aber nun gut zu spät ist zu spät

weißt du wie der wurm sich nennt? (da du ja mittlerweile weißt wo er herkommt und das er im netz kursiert)

versuchs mal mit hijack this abzuchecken ob er was findet...

generell empfehle ich dir wichtige daten (von den du aussgehen kannst sie sind nicht infiziert) zu sichern und zu formatieren - da man nie genau weiß in wie weit der wurm das system verändert hat

und dann sollteste dir gedanken machen was man tun könnte das es nicht nochmal passiert (aus fehlern lernt man)

 

[lightsaver]

(aus fehlern lernt man)

frau nicht? ?(

 

[Oi!Alex]

Original von lightsaver

(aus fehlern lernt man)

frau nicht? ?(

*kein kommentar*
so zurück zum thema....

 

[IsNull]

Mich würde interessieren was der Wurm loggen sollte? evtl ist es in Keylogger oder wie? Aber unter C:\ das logfile abzulegen ist auch nicht gerade schlau.

Kann es nicht irgend ein (guter) Dienst sein?

@-nuKOr: Kannst du mal ein Logfile posten?

Mfg
IsNull

 

[lightsaver]

Mich würde interessieren was der Wurm loggen sollte? evtl ist es in Keylogger oder wie? Aber unter C:\ das logfile abzulegen ist auch nicht gerade schlau.

genau deswegen habe ich ja auch schon geschrieben, dass es interessant wäre, zu wissen, was dort drin steht

 

[-nuKOr]

ja hab mir auch schon ueberlegt, dass die textfiles evtl auch nichts mit dem wurm zu tun haben .. wie er heisst weiss ich leider nicht

dennoch is gerade etwas merkwürdig, undzwar sind bisher keine neuen log-dateien entstanden, und das seitdem ich mit zonealarm einen dienst unterdrücke, ich poste wenn wieder welche kommen, trotzdem hier mal so ein inhalt (was mir dabei auffält: da steht ne geschichte Oo also irgendwas auf englisch, klingt nach erzählung, auf alle fälle nicht nach report .., dazwischen immer einfach zahlenwirwarr : / )







--------------------------------------------------
12/13/06 20:13:14 Start SMTP sending thread : 000000C8
--------------------------------------------------

--------------------------------------------------
12/13/06 20:13:40 ParseLetter. Letter after parsing.Buffer size: 30718
Buffer:

Message-ID: <000b01c71eea$cc54d280$4700a8c0@P7303.p.pppool>

From: "Kandra Phillips" <leejunf@aftermac.com>

TO: <skmr.sunil@wipro.com>

Subject: Hit me up on im

Date: Wed, 13 Dec 2006 04:55:58 -0200

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_002_000D_01C71EEA.CC54D280"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2800.1158

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1158



This is a multi-part message in MIME format.



------=_NextPart_002_000D_01C71EEA.CC54D280

Content-Type: multipart/alternative;

boundary= "----=_NextPart_001_000D_01C71EEA.CC54D280"



------=_NextPart_001_000D_01C71EEA.CC54D280

Content-Type: text/plain;

charset="us-ascii"

Content-Transfer-Encoding: quoted-printable







his desolate house. There was Mrs. Berry and her sister, Miss=

Thornley, and Mrs. Smith. brave as they were in facing Spanish=20=

pirates, they were timid to thesince then she had been her father=

s constant companion until she met

it was a tiny bit torn heat from the "Go north," tree hand he s=

creamed. "Come," I said to Lys, beneficial birds/insects =20=



wealthy similar

the wire with which the stack was fenced.oldest settler had been=20=

in only for three years; but it seemed as ifever since they came,=

but had not worked openly until one particularcardplaying with t=

wo or three of the other impecunious young men of hem. It was Lys=

, and she was alive and so far counter the dawning instrument=20=

of the age of man, while far below orchid in one of obesity th=

ese caves; nor

and he had surgery export learned

Fred hurried forward, and found a man, almost covered with snow,s=

ympathetic understanding of the Irish woman made it easy for her=20=

tofor the Sabbath, had depleted their grubbox, overlooking nothin=

g butblack eyes of his the color of the dirt in the road. They do=

say hes

see, advert unharmed. A huge brute with cavern puzzle with a f=

lat roof by. cool Let us come among you in peace.

liver I wondered again as I had so many times that day Shell sl=

ip her cable some day, Reginald declared soothingly. She

to save instead of take life. But what good was anything to him n=

owI can supply them better than she is getting them now, he said.=

to this one. There was a join in each side, which was intended, a=

nd aOn the bare floor stood an open trunk from which a furtrimmed=

pale

many lessons in the import value of instrument obedience since we=

had entered and contract dragged her back. weekend and of the=20=

fright she had undergone,

Meanwhile had been warning Rance Belmont that the weatherto tor=

ment her overstrained senses.that form of architecture known as a=

Red River frame, and the cornershundredfold.

on, I came to the southern end of snack a line of cliffs brain lo=

ftiermay come. large Take feed Tsa's hole, crisp which lies above=

you." pyjamas "and tartan I have come to claim her. calorie e=

nergy man.

alone on the wide prairie.her words.Patience and her unnatural ho=

ld on life.that she broke right down and cried, and says she to m=

e, I havent

surround catch one's eye the fire. They were human a short tim=

e. Selecting a burning branch aquatic and there came back sp=

aciously an answering chorus of

statue of be located the hem of a garment.that she broke right do=

wn and cried, and says she to me, I havent











------=_NextPart_001_000D_01C71EEA.CC54D280

Content-Type: text/html;

charset="us-ascii"

Content-Transfer-Encoding: quoted-printable





<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD>

<META http-equiv=3DContent-Type content=3D"text/html; charset=3Du=

s-ascii">

<META content=3D"MSHTML 6.00.2800.1158" name=3DGENERATOR>

<STYLE></STYLE>

</HEAD>

<BODY bgColor=3D#ffffff><FONT face=3DArial size=3D1>

<DIV>

<p><IMG alt=3D"" hspace=3D0 src=3D"cid:005b01c71e72$fab0bc20$39ac=

62df@leejunf" align=3Dbaseline border=3D0></p>

<BR>his desolate house.     There was Mr=

s. Berry and her sister, Miss Thornley, and Mrs. Smith. &nbs=

p;brave as they were in facing Spanish pirates, they were timid t=

o thesince then she had been her fathers constant companion until=

she met <BR>

it was a tiny bit torn heat from the   "Go north,"=

tree hand he screamed.    "Come," I said to=20=

Lys, beneficial birds/insects      <BR>
=


wealthy similar   

<BR>the wire with which the stack was fenced.oldest settler had b=

een in only for three years; but it seemed as ifever since they c=

ame, but had not worked openly until one particularcardplaying wi=

th two or three of the other impecunious young men of 

hem. It was Lys, and she was alive and so far counter  &nbsp=

; the dawning instrument of the age of man, while far below&=

nbsp;   orchid in one of obesity these caves; nor&=

nbsp;  &nbsp<BR>

and he had surgery export learned     <B=

R>

Fred hurried forward, and found a man, almost covered with snow,s=

ympathetic understanding of the Irish woman made it easy for her=20=

tofor the Sabbath, had depleted their grubbox, overlooking nothin=

g butblack eyes of his the color of the dirt in the road. They do=

say hes   <BR>

see, advert unharmed. A huge brute with    cavern=20=

puzzle with a flat roof  by. cool Let us come among you=

in peace.         <=

BR>

liver I wondered again as I had so many times that day &nbsp=

; Shell slip her cable some day, Reginald declared soothingl=

y. She       <BR>

to save instead of take life. But what good was anything to him n=

owI can supply them better than she is getting them now, he said.=

to this one. There was a join in each side, which was intended, a=

nd aOn the bare floor stood an open trunk from which a furtrimmed=

pale     <BR>

many lessons in the import value of instrument obedience since we=

had entered  and contract dragged her back.  week=

end and of the fright she had undergone,    <BR>

Meanwhile had been warning Rance Belmont that the weatherto tor=

ment her overstrained senses.that form of architecture known as a=

Red River frame, and the cornershundredfold.   &n=

bsp;     <BR>

on, I came to the southern end of snack a line of cliffs brain lo=

ftiermay come. large Take feed Tsa's hole, crisp which lies above=

you."   pyjamas "and tartan I have come to claim her.&=

nbsp; 

calorie energy man.  <BR>

alone on the wide prairie.her words.Patience and her unnatural ho=

ld on life.that she broke right down and cried, and says she to m=

e, I havent   <BR>

surround catch one's eye the fire. They were human  &nb=

sp; a short time. Selecting a burning branch aquatic  &=

nbsp;   and there came back spaciously an answerin=

g chorus of         =

&nbsp<BR>

statue of be located the hem of a garment.that she broke right do=

wn and cried, and says she to me, I havent  

    



</DIV></FONT></BODY></HTML>









------=_NextPart_001_000D_01C71EEA.CC54D280--





------=_NextPart_002_000D_01C71EEA.CC54D280

Content-Type: image/gif;

name="ned_on_your.gif"

Content-Transfer-Encoding: base64

Content-ID: <005b01c71e72$fab0bc20$39ac62df@leejunf>



R0lGODdhjAGLAaUAAAgECBypGoyGjKfbkf8ECP7QXtbTztzm+NGRUZ5pMDFBY/3LzrO3v////97X

1tYkJe+KjEpFSu/n5//7/23IMFCpUEI8QuNSUgBl/wAMijm6/TGX43Nxc+tvc3uR2LvF2ggka+vB

ku+cM/8wMQ9xDrSdiQgkc3bm/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACwAAAAAjAGLAQAI/wAbCBxIsKDBgwgT

KlzIsKHDhxAjSpxIsaLFixgzatzIsaPHjyBDihxJsqTJkyhTqlzJsqXLlzBjypxJs6bNmzhz6tzJ

s6fPnxoBcED5QYBBEACSKv1gkAOAiwKQJh2KUoAElVKVCo1otWAErUmZJhTwVMJWoGg9njUJgirB

tm+fOuCIVMBcBkivliQ7NyXcik6Pgogr9iBZvWkTc1xb8u9btw0+WDC6MWphgYxFHsYKWWJgrxYK

WuhMkGwDxIpTW8wcOavRz3gpm446Va/T2lm9Qv4AQgDZr0Ll8l4qELjjgawHOj5LlvhtoXi1Ms26

tblQB7TXZidd8fhA6wBkK/8dap1B3IKWG0QP2yCwA6HpMZOXyuHq89vIn6rumdls6AZfFQUAU05R

Bd9WkkXQAFkEAmCedw0cl9dvkX0WFm8KWjAYgAMSJBllBzk2Wnv6fZAUiVZJph9ZRmloFYvYlcVi

awrOiKFGENpoAQASkDWUieTp99Z/A/Fm1Fk79shjA1sxB4KARiW4IIInXnXifi4Zh1pB3kVlnkBw

VXfie3i5hRcDmz0mmFYRmOfUl7M5SBBehTEGZH5KRegWaxEMlmZBWyHVl5inrUWnYwx0qJCWCQGn

lILoDRjfd0IO1GdBQJqmHAebbfUVZoMhKumSmD11JZYs7fhoQpl9VlyoCgb/J6BZYA1oYlICiAUh

hFPa9hSDpamqlYfhGbSjngONGJkAz/U6EAMc3BarW3AFRitYDAir1JcIaQvpQRF8q5tUTKkarUCa

nkfscGD5tmR4SpZrVa2jnlYqk5WiShR1ch7UalnF/Roej22F2VlfzOL6Hmm88oUuj8A+KxerDMOK

XJDR0uZshOFxgJeCjsHlcH/9JcTutghBaGJbvoHwpYCebqiuxA58GqmVXR0IJmmmDWoqwPoSpa2i

R3UWMZM/TrVgXf4tpGGE4spnmKKBHT0liFNvmaSIQ611omkSmFjntBc7C4DMyKG9kIrSIcQaCERa

PeUHrlqaL6GodSreWQAQ/0kpYnA38HTQKtVKcUHvbRggmFslumSBjHPI1I0QJvemQO4lZeXPbr7d

21zN2QUsCL1FuCF+n5lolFkgkC01WZ0PVbPAVC3OKlgJQeiUfWFFjNTGlqKN1OStPxxjAwsLdGt9










das ist noch nciht alles was drinsteht, aber ich dneke mal noh länger wäre unnötig

 

[lightsaver]

also ganz ehrlich, das sieht für mich nach nem virus aus, der sich per email verschickt. oder dein rechner wird zum spamversenden missbraucht. aber halt irgendwas in diese richtung. du solltest also auf jeden fall scannen. welchen dienst unterdrückst du denn? und poste mal wirklich ein hijackthis-log.

ansonsten würde ich dir mitlerweile wohl auch empfehlen, die wichtigsten sachen zu sichern und das system komplett neu zu machen. wer weiß was du dir genau eingefangen hast und was da noch nachgeladen wurde.

 

[IsNull]

Ist ja seltsam. Da gibts unter anderem Html Parts mit seltsamen/unlogischen Texten drin.

Irgend welche Geschichten auf English. über "Miss Thornley, and Mrs. Smith".

Naja wie lightsaver schon bemerkt hat, sieht nicht nach einem guten/nützlichen Dienst aus.

Mfg
IsNull

 

[lightsaver]

na falls du das hier

R0lGODdhjAGLAaUAAAgECBypGoyGjKfbkf8ECP7QXtbTztzm+NGRUZ5pMDFBY/3LzrO3v////97
X

1tYkJe+KjEpFSu/n5//7/23IMFCpUEI8QuNSUgBl/wAMijm6/TGX43Nxc+tvc3uR2LvF2ggka+v
B

ku+cM/8wMQ9xDrSdiQgkc3bm/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
A

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACwAAAAAjAGLAQAI/wAbCBxIsKDBgwg
T
.....

meinst, dann dürfte das die kodierung vom anhang (vermutlich dem .gif) sein ;-)

 

[-nuKOr]

okay, danke fuer die hilfe, hört sich für mich auch logisch an ..

ich bin gerade bei nem freund, wenn ich zu hause bin mach ich das mal mit den hijackthis-logs ..

überigens sehr cool wie schnell hier geantwortet wird

mfg



edit: bin jetzt zu hause .. hijackthis sagt ich soll mir eine firewall holen .. habe ich auch gemacht (zone alarm) .. die log files sind bisher noch nicht wieder aufgetaucht

 

[amenophis]

ist ja besser wie ein Krimi 8o, schau mal hier

hast du frontpage oder irgend ein html editor, kopiere den gesammten Text in html rein und schau was im Vorschaumodus passiert??

 

[lightsaver]

hast das log gleich selber ausgewertet oder wie?

 

[Magical]

nehmen wir an es sei ein virus und kein auf den ersten blick sinloser spam,
müsste in dem code des gif bildes ein programm versteckt sein, es sollte kaum ein problem darstellen ihn zu scannen oder?

 

[-nuKOr]

ok hab die prozesse die nicht unbedingt nötig sind und gefhrlich sind gelöscht ... danke fuer den tip

 

[IsNull]

hast du frontpage oder irgend ein html editor, kopiere den gesammten Text in html rein und schau was im Vorschaumodus passiert??

Du brachst dafür doch keinen Html-Editor. ?( Mach'n Textfile (txt), reinkopieren und in *.html umbenennen.

Mfg
IsNull

 

[amenophis]

wieso auch einfach, wenn es schwer geht???