Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.08.2007, 14:42   #1
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Hi,

eigentlich wollte ich schon mein BIOS flashen, Windows neuinstallieren und schlimmeres, weil ich einfach nicht mehr weiterkam mit meinem Problem.

Sobald irgend ein Browser geöffnet ist und für ein paar Sekunden läuft friert der PC ein, Standbild, kein Taskman, kein Piepen, nur Resetten geht nocht.

Habe tagelang überprüft ob irgendwelche Treiberleichen herumschwirren, ob der PC temperaturmäßig gut läuft, ob evtl. Autostarts das Problem verursachen und und und...

Dann heute bekam ich sofort nach der Einwahl ins Netzt einen Bluescreen (WIN XP) und der sagte mir etwas von wegen "Driver_IRQ" blabla... Ich habe also danach gegoogelt und gelesen, dass diese Meldung unter anderem vorkommt, wenn ein PC von zuvielen Verbindungen auf einmal "gefloodet" wird.

Aha, das hört sich nach einem Wurm oder einer DDos Attacke an, also habe ich mal mit HiJackFree von a² gesucht und nichts auffälliges gefunden, bis auf die 3 bedrohlichen offenen Ports, habe auch nach Rootkits gesucht und mit 5 verschiedenen Scannern nach Viren und Trojanern...

Also hier mal die Ergebnisse:
a-squared HiJackFree Analysis

So, das seht ihr die 3 offenen Ports, eine DDos Attacke wäre darüber anscheinend möglich.

Btw. falls ihr euch wundert warum ich diesen langen Text schreiben kann, ohne das mein PC 5x eingefroren ist, ich habe sämtliche Firewallregeln gelöscht und nur die 5 zugelassen, die ich dafür brauche um hier einen Thread zu erstellen, bisher keine Abstürze, was aber nichts heißt, an manchen Tagen llief der PC auch bis zu 20 Min ohne Absturz...

Ich bin kein absoluter Anfänger, Firewall und Leak Tests auf meinem PC laufen immer gut ab, unnötige Ports sind zu, XP AntiSpy usw. hab ich acuh.

Aber ich finde einfach nicht die Würmer, bzw. ich hab keine Ahnung, wie ich die Ports schließen kann oder was ich noch tun kann.

Habe grundsätzlich immer alle Updates usw. auf dem neuesten Stand, natürlich habe ich recht viele Programme auf meinem PC, aber dadruch dass der Absturz nur kommt, wenn ein Browser geöffnet ist, können die es ja schonmal nicht in Schuld sein.

----


Also muss ich jetzt tatsächlich meinen PC neuinstallieren ? Früher hatte ich BitDefender und an dem Tag, an dem ich zu den kostenlosen Programmen Avast (für Viren) und Jetico (Firewall) umgestiegen bin, die angeblich sehr gut sind, gingen die Probleme los.

BitDefender will ich mir nicht nochmal kaufen, weil das Programm recht aggressiv ist und viele Probleme wie verzögertem Booten oder schlechte Darstellung von Internetseiten mit sich brachte...

Hier noch die HijackThis Logs:
Die Programme DS Sidebar, YZ Shadow und UberIcon sind kein Trojaner! Das gehört zum BriCoPack ( Download BricoPack Vista Inspirat Ultimate 2 on CrystalXP.net - Shell Packs ) und tut keinem weh...

http://www.2-mb.de/f/vy63cdugebarlvhxhfcn35k0dj.txt
http://www.2-mb.de/f/42r8p86illiab5ayqexl50rcvh.txt

Sorry, der Uploader erlaubt keine .txt files...

Ich mach einfach einen Doppelpost, damit ihr nicht die Übersicht verliert...

Geändert von FTP99CMP (22.08.2007 um 14:53 Uhr)

Alt 22.08.2007, 14:54   #2
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Logfile of HijackThis v1.99.1
Scan saved at 15:42:51, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\miranda-im-v0.4.0.3\Aktuelles Miranda\miranda32.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\Symbolleiste\Cleanup Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C871207D-F7E0-46F3-99C0-FD3E8F5460BB}: NameServer = 217.237.151.205 217.237.148.70
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: KNZMOH - Unknown owner - C:\DOKUME~1\HomePC\LOKALE~1\Temp\KNZMOH.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

-------------------
-------------------
-------------------

StartupList report, 22.08.2007, 15:43:24
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\Symbolleiste\Cleanup Tools\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16512)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\miranda-im-v0.4.0.3\Aktuelles Miranda\miranda32.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\Symbolleiste\Cleanup Tools\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\HomePC\Startmenü\Programme\Autostart]
RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

JeticoPFStartup = "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
avast! = "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
StartCCC = C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
SIDEBAR = "C:\Programme\Desktop Sidebar\dsidebar.exe"
RocketDock = "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Idea2 SidebarBrowserMonitor Class - C:\Programme\Desktop Sidebar\sbhelp.dll - {45AD732C-2CE2-4666-B366-B2214AD57A49}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = C:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\HomePC\LOKALE~1\Temp\_iu14D2N.tmp|||A

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 5.995 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
__________________


Alt 23.08.2007, 20:26   #3
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Öhh, ich könnte etwas Hilfe echt gut gebrauchen ?

Hallo ? Forum ?
__________________

Alt 23.08.2007, 20:52   #4
.::|||::.
 

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Aus deinem Namen schliesse ich, dass du herausgefunden hast, welche Trojaner die Ports benutzen:
Zitat:
Port 1492:
FTP99CMP, Back.Orifice.FTP (TCP)
Port 1509:
Psyber Streaming Server (TCP)
Port 1524:
Trin00 (DDoS) (TCP)
Da wird man fündig, ich glaube auch, das DDos-Attacken auf dich ausgeführt werden!
Psyber Streaming Server, Back.Orifice.FTP sind Remote-Administrationstools (Rats) mit Backdooreigenschaften!
Ausserdem hast du noch Spyware und evt. ein Rootkit!
Für mich macht eine bereinigung keinen Sinn, es tut mir Leid, mache dich ans Neuafsetzen (siehe Signatur).
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 23.08.2007, 22:37   #5
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Oh, so negativ ist meine Einstellung eigentlich nicht. Ich habe die Firewall gewechselt und nutze nun COMODO, der Portscan hat keine bösen Ports mehr gefunden, und es friert auch nichts mehr ein.

Wenn ich jetzt noch irgendwelche Würmer habe, dann kann man sie wirklich nicht lokalisieren und vermutlich nützt das auch nichts.

Habe auch nochmal Bitdefender installiert, der hat 2 Trojaner entfernt.

Etwas Grundsätzliches:
Die Ports die da angezeigt werden, KÖNNEN missbraucht werden, aber es muss nicht sein.

Beim Neuaufsetzen würde mein PC ja sofort wieder befallen, noch sicherer kann man als "NICHT VOLL CRACK" seinen PC kaum machen.


Alt 24.08.2007, 08:14   #6
.::|||::.
 

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Zitat:
Etwas Grundsätzliches:
Die Ports die da angezeigt werden, KÖNNEN missbraucht werden, aber es muss nicht sein.
Nehmen wir den Port 1524 welcher von Trin00 genutzt wird, welcher nur darauf aus ist DDos-Attacken auszuführen. Nun meldet dein System sehr viele DDos-Attacken auf eben diesem Port. Ist es da nicht offensichtlich, das Trin00 aktiv ist/war?
Du weisst nicht, welche Hintertürchen noch von den Backdoors geöffnet wurden, welche Informationen man schon uüber dich hat aber du kommst damit ja offensichtlich klar!
Du weisst ja was du tust!
Mein Rat bleibt derselbe!
Mfg
__________________
--> Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524

Alt 24.08.2007, 08:22   #7
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Also in meinem HJ Log sind keinerlei Würmer zu finden.

Und mit den Ports ist das einfach so, dass einige Programme wie IRQ oder ICQ gefährliche Ports abhören. Wenn auch nur ein Dropper o.Ä. wirklich noch auf dem System wär, müsste einer der Scans mal was finden.

Aber jeder hat diese Programme, habs gerade ausprobiert, wenn ich der Firewall erlaube über Miranda (das ist ein ICQ Messenger nur ohne Spyware und Adware) ist einer dieser ROTEN PORTS da, wenn ich es verbiete ist er weg.

Da kann man doch nichts machen, das wär nach der Neuinsallation doch kaum anders.

Oder ?

Vorher hatte ich die Jetico Firewall, irgendwie ist die nicht damit klar gekommen. Ich hab fast den Eindruck, dass man damit ausschließlich Programe blockieren kann. Mit der Comodo Firewall läuft es schon besser.

Oder gibts ne bessere kostenlose Firewall ?

Alt 24.08.2007, 08:35   #8
.::|||::.
 

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Zitat:
Zitat von FTP99CMP Beitrag anzeigen
Also in meinem HJ Log sind keinerlei Würmer zu finden.
Na gut kommen wir zu dem Hijackthis-log, kannst du Bitte einen Scan mit Blacklight machen?-->Signatur!
Wer hat denn gesagt, dass die Backdoors noch aktiv sind? War mal einer drauf, kann damit alles gemacht werden! Firewall tunneln, Rootkits installieren und z.b deinen Antivirus deaktivieren oder die Scans manipulieren!

Zitat:
Aber jeder hat diese Programme, habs gerade ausprobiert
Genau, jeder hat auf seinem Pc 2 Backdoors und ein Tool um DDos-Attacken auszuführen!
Falls du Miranda meinst, das hab Ich auch ned drauf...

EDIT//
Kannst du auch noch ein Log mit tcpview machen und posten, Danke!
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 24.08.2007, 14:00   #9
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Ok mach ich sofort, wenn das aber jetzt auch i.O. ist würdest Du mir zustimmen, dass mein PC sauber ist ?

Also hier:
[System Process]:0 TCP home:1270 mu-in-f99.google.com:http TIME_WAIT
ashMaiSv.exe:2660 TCP home:1357 home:0 LISTENING
ashMaiSv.exe:2660 TCP home:12143 home:0 LISTENING
ashMaiSv.exe:2660 TCP home:12025 home:0 LISTENING
ashMaiSv.exe:2660 TCP home:12119 home:0 LISTENING
ashWebSv.exe:2704 TCP home:12080 home:0 LISTENING
dsidebar.exe:1936 TCP home:1655 localhost:1357 CLOSE_WAIT
miranda32.exe:3492 TCP home:1095 64.12.30.72:5190 ESTABLISHED
miranda32.exe:3492 TCP home:1084 64.12.25.53:5190 ESTABLISHED
miranda32.exe:3492 TCP home:1075 home:0 LISTENING
navigator.exe:3712 TCP home:1666 hu-in-f104.google.com:http ESTABLISHED
navigator.exe:3712 TCP home:1708 195.145.9.166:http ESTABLISHED
navigator.exe:3712 TCP home:1806 195.145.9.158:http ESTABLISHED
navigator.exe:3712 TCP home:1807 195.145.9.158:http ESTABLISHED
navigator.exe:3712 TCP home:1818 195.145.9.158:http ESTABLISHED
navigator.exe:3712 TCP home:1817 195.145.9.166:http ESTABLISHED
navigator.exe:3712 TCP home:1819 195.145.9.166:http ESTABLISHED
navigator.exe:3712 TCP home:1773 hu-in-f104.google.com:http ESTABLISHED
navigator.exe:3712 TCP home:1664 fk-in-f164.google.com:http ESTABLISHED
navigator.exe:3712 TCP home:1717 213.200.97.169:http ESTABLISHED
navigator.exe:3712 TCP home:1804 lm-in-f147.google.com:http ESTABLISHED
navigator.exe:3712 TCP home:1225 localhost:1226 ESTABLISHED
navigator.exe:3712 TCP home:1226 localhost:1225 ESTABLISHED
navigator.exe:3712 TCP home:1246 localhost:1247 ESTABLISHED
navigator.exe:3712 TCP home:1247 localhost:1246 ESTABLISHED
navigator.exe:3712 TCP home:1653 mu-in-f104.google.com:http ESTABLISHED
navigator.exe:3712 TCP home:1638 mu-in-f165.google.com:http ESTABLISHED
Steam.exe:3292 TCP home:1491 valve75.milan.clanserver4u.net:27030 ESTABLISHED
Steam.exe:3292 UDP home:1109 *:*
Steam.exe:3292 UDP home:1036 *:*
Steam.exe:3292 UDP home:1110 *:*
Steam.exe:3292 UDP home:1643 *:*
Steam.exe:3292 UDP home:1112 *:*
svchost.exe:1032 TCP home:epmap home:0 LISTENING
svchost.exe:1184 UDP home:1032 *:*
vsserv.exe:2580 TCP home:10110 home:0 LISTENING
vsserv.exe:2580 TCP home:10025 home:0 LISTENING


Und Blacklight hat nichts gefunden.

Btw. DU hast keinen Messenger ? Das ist doch absolut kein Sicherheitsrisiko...

Alt 24.08.2007, 14:06   #10
.::|||::.
 

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Zitat:
Zitat von FTP99CMP Beitrag anzeigen
Ok mach ich sofort, wenn das aber jetzt auch i.O. ist würdest Du mir zustimmen, dass mein PC sauber ist ?
Nein^^
Aber das ein Neuaufsetzen nicht sooo zwingend ist wie vor 4 Posts.
Im Moment scheint nichts aktiv zu sein, also ist es dir Überlassen, was du machen willst...
Falls aber doch noch Probleme auftreten (z.b. wenn Logindaten plötzlich nicht mehr gehen oder dein Pc Spam verschickt) würde ich Neuaufsetzen...
Aber: Du kennst meine Meinung zu dem Ganzen, ich kann dich nur nicht dazu zwingen!
Zitat:
Btw. DU hast keinen Messenger ? Das ist doch absolut kein Sicherheitsrisiko...
Doch, ICH habe einen Messenger und IMO ist es ein Sicherheitsrisiko, eins von vielen...
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 24.08.2007, 14:19   #11
Heike
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Zitat:
Zitat von .::|||::. Beitrag anzeigen
EDIT//
Kannst du auch noch ein Log mit tcpview machen und posten, Danke!
diese Logs sind schon seit langem relativ sinnfrei.

RATs mit reverser Verbindung werden, wenn keine Verbindung zum Client aufgebaut ist, nur zufällig angezeigt.
Trojaner-Server mit reverser Verbindung öffnen nämlich keinen Port mehr, sondern sie fordern eine Verbindungsaufnahme beim Client an, der in diesem Fall einen "offenen" Port hat.

naja, das nur nebenbei.

Zitat:
Aber das ein Neuaufsetzen nicht sooo zwingend ist wie vor 4 Posts.
und wir kommen doch noch dahin:
1) nach dem Essen Zähne putzen
2) jeden Sonntag: format C:\

have fun,
Heike
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 24.08.2007, 14:36   #12
undoreal
/// AVZ-Toolkit Guru
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Prost Heike..


Um mal Klartext zu sprechen:

Was viele nicht verstehen und auch hier offensichtlich noch nicht verstanden wurde
Zitat:
Wenn auch nur ein Dropper o.Ä. wirklich noch auf dem System wär, müsste einer der Scans mal was finden.
ist folgendes:

Ein Backdoortrojaner verändert ein System und baut Hintertüren in dieses System ein. Diese sind ohne Prüfsumme von keinem Scanner und keinem Menschen zu entdecken und können, wie schon von Heike erläutert ohne Wissen des Users Verbindung mit der großen Weiten Welt aufnehmen. Und sie werden es tun! Viele Leute glauben häufig das sei Panikmache oder der gleichen aber gleichzeitig ärgern sie sich über die 500 Spam-Mails die Sie täglich in den Papierkorb verschieben müssen. Woher kommen die wohl? Von infizierten Rechner dessen User genauso leichtsinnig waren weil ihr "AntiViren"-Programm ja nichts mehr findet.. Aber es heißt ja auch nicht "Anti-Trojaner"-Programm. So etwas gibt es nicht. AntiViren Progs können die Ursprungsdateien des Trojaners aufspüren und vernichten aber nicht die Veränderungen die dieser vorher auf dem System vorgenommen hat.

So, noch was unklar? ^^

Was können Trojaner

Setzte die Kiste neu auf!

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.08.2007, 14:54   #13
FTP99CMP
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Ja klar, wenn ich auf einmal irgendwelche Anzeichen von Schädlingen wie z.B. Spam finde, werde ich auch neu formatieren und mit wieder Bitdefender besorgen.

Aber im Moment hab ich gar keine Anzeichen. Habe ein SPiel installiert und beim Start kommt ne Fehlermeldung, die laut Google auch manchmal mit nem Trojaner zu tun hat, aber solche Sachen können auch so passieren.

Also ich warte erst einmal ab, solange es wirklich überhaupt kein sicheres Anzeichen von Schädlingssoftware gibt.

Oder was fürn Scan/ Trick könnte ich noch anwenden um was zu finden ?

Vorsichtshalber mach ich in den nächsten Wochen mal kein Online Banking. Alle anderen Daten können sie von mir haben, der Schaden würde sich in Grenzen halt. Selbst beim Banking hab ich extra ein Konto mit wenig Geld eingerichtet für den Fall der Fälle.

Aber nach meinem Gefühl ist da nix Böses... kann es aber nicht beschwören

Alt 24.08.2007, 15:17   #14
myrtille
/// TB-Ausbilder
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Zitat:
Aber im Moment hab ich gar keine Anzeichen. Habe ein SPiel installiert und beim Start kommt ne Fehlermeldung, die laut Google auch manchmal mit nem Trojaner zu tun hat, aber solche Sachen können auch so passieren.
Aber wir wissen und du weißt eigentlich auch, dass auf deinem Rechner mindestens ein Trojaner ist. Die Wahrscheinlichkeit, das das einfach so passiert ist verdammt gering.

Trojaner wollen meist nicht gefunden werden, deswegen wirst du auch im Normalfall nicht mitkriegen, wenn dich einer befällt und die besseren wissen wie sie Antivirenprogramme aushebeln, ports "versteckt" öffnen, firewalls tunneln etc..
Die Ersteller des Trojaner wollen schließlich in Ruhe aus deinem Rechner einen Server für Kinderporno und Spam machen, der auch in ein paar Jahren noch funktioniert.
Spätestens wenn dir die Polizei die Tür eintritt oder dein Provider dir die Leitung kündigt, wirst du aber einsehen müssen, dass das alles nicht nur einfach so passiert ist und es sich nicht nur um 10000 Zufälle handelt, sondern tatsächlich einen kausalen Zusammenhang gibt.

Die wollen nicht nur deine Passwörter, die wollen vor allem deine Serials! Oder was glaubst du vorher die ganzen Serials für die keygen kommen? Wäre schon doof wegen so nem Scheiß seinen Windowskey zu verlieren, oder?

Setz neu auf!
lg myrtille

EDIT: Das freut mich aber, liebes Irrlicht, dass du mir nicht das ignoranteste Post anhängen willst. :aplaus:

Geändert von myrtille (24.08.2007 um 15:47 Uhr)

Alt 24.08.2007, 15:18   #15
irrlicht
 
Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Standard

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524



Die Wahl zum"ignorantesten und dümmsten Post des Monats" können wir uns sparen...

Ich sehe einen ganz klaren Sieger.....
..und es ist nicht der von "myrtille" ,die mir jetzt dazwischenkam...

Somit denke ich das dieser Thread keinen weiteren Kommentar braucht,was nach Lage der Dinge auch mehr als zwecklos ist....
Irrlicht

Antwort

Themen zu Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524
analysis, auf einmal, avast, bios, bitdefender, bluescree, bluescreen, booten, browser, defender, download, eingefroren, ellung, gelöscht, hijackthis, keine ahnung, offene ports, piepen, programme, reset, scan, schließen, seite, seiten, sekunden, taskman, trojaner, updates, viren, vista, warum, windows, wurm, xp antispy



Ähnliche Themen: Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524


  1. Offene Ports schützen
    Diskussionsforum - 21.08.2015 (6)
  2. Siemens schließt offene Ports in industrieller Steuerungssoftware
    Nachrichten - 09.12.2013 (0)
  3. Portscan: Offene Ports
    Antiviren-, Firewall- und andere Schutzprogramme - 18.08.2013 (2)
  4. Verschiedene Offene Ports - evtl. Trojaner oder ähnliches dabei?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (7)
  5. Offene Ports nach Netstat -a Scan
    Log-Analyse und Auswertung - 22.03.2013 (18)
  6. Windows 7 x86 / 32-Bit Offene Ports es werden keine Dienste zu den Ports angezeigt! Trojaner?
    Alles rund um Windows - 31.12.2012 (11)
  7. Offene Ports in der Fritz Box..
    Netzwerk und Hardware - 30.03.2009 (1)
  8. offene Ports, Serverumleitung?
    Log-Analyse und Auswertung - 29.11.2008 (0)
  9. Netgear DG834GB: Offene Ports per Default!
    Netzwerk und Hardware - 23.07.2008 (10)
  10. Offene Ports zeigen und schließen
    Antiviren-, Firewall- und andere Schutzprogramme - 17.12.2007 (1)
  11. Offene Ports
    Alles rund um Windows - 19.12.2004 (2)
  12. Offene Ports gefunden wie schliessen?!
    Plagegeister aller Art und deren Bekämpfung - 10.12.2004 (2)
  13. offene/geschlossene ports
    Antiviren-, Firewall- und andere Schutzprogramme - 30.11.2004 (1)
  14. Offene Ports.. Na und? Oder doch nicht?
    Antiviren-, Firewall- und andere Schutzprogramme - 22.06.2004 (5)
  15. Offene Ports
    Netzwerk und Hardware - 02.04.2003 (7)
  16. Zwei offene Ports nach Internetverbindungsfreigabe
    Antiviren-, Firewall- und andere Schutzprogramme - 14.02.2003 (4)
  17. .NET (XP) Offene Ports 3001,3002, 3003...
    Netzwerk und Hardware - 06.01.2003 (6)

Zum Thema Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 - Hi, eigentlich wollte ich schon mein BIOS flashen, Windows neuinstallieren und schlimmeres, weil ich einfach nicht mehr weiterkam mit meinem Problem. Sobald irgend ein Browser geöffnet ist und für ein - Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524...
Archiv
Du betrachtest: Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.