Trojaner Prob (Port 5000)
 

Hallo,

ich habe ein imo großes Problem mit einem Trojaner (der lässt mich einfach net in ruhe ;_;)

Alles fing an mit komischen Nachrichten, die angeblich von Microsoft losgeschickt werden. Nun gut, die kamen wohl vom komischen Nachrichtendienst --> Dienst abgestellt --> Ging wieder "alles" normal.

Das dachte ich aber auch nur. Ich habe Spybot laufen lassen, Tune Up Utilities hab ich laufen lassen, nen Scan von Sygate gemacht... --> Alles ohne Erfolg
._.

Ich vermute, dass der Trojaner durch den Port 5000 gekommen ist. Und das können nur ein paar bestimmte: Sockets de Troie, Bubbel, Back Door Setup sowie Socket23.

Ich habe dann irgendso ein Anti Viren Prog runtergeladen, das angeblich Sockets de Troie entfernen soll.
Ich führe es seit Stunden aus (dauert tierisch lange). Es hat dann auch etwas gefunden, und ich habs gelöscht, aber was soll ich tun, wenn das jetzt nicht der Trojaner ist? Laut log, heisst das Ding: Win32/Sniffer.Advenfer.A Trojaner.

Der PC fährt btw auch öfters runter, da nach eininger Zeit eine Fehlermeldung kommt: Diese Hier.

Ausserdem hat der PC nach kurzer Zeit ne Auslastung von 100%, obwohl eigentlich nich wirklich was läuft ._.

Ich weisss nimma weiter ;_;

Du hast uns die wichtigsten Infos vorenthalten:

1.) Welches Betriebssystem?

2) Warum?

3) Welches?

4) Wo?

Mach einfach das, was 80% der Neuankömmlinge hier ohne Aufforderung machen:
1. Hijackthis-Logfile
2. E-Scan + Logfile

Bei Fragen: Boardsuche!

Gruß :daumenhoc
Yopie

Ein Hijack This Log hab ich schon getestet, hat alles für gut/sehr gut empfunden.

Betriebssystem: Win XP Pro SP1
Durch den Port 5000, da ich ein Sygate Scan ausgeführt hab und das bei rausgekommen ist.

Das Anti Viren Prog heisst: NOD 32

Das Prog hat im Pfad "F:\Systeme Volume Information\... etwas gefunden

O.o obwohl es den Pfad gar nicht gibt xD

Bist du dir da sicher?! :teufel3:

Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Dann ist dieser Ordner sichtbar.

Behebung ->
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung bei Bedarf wieder aktivieren

Führe trotzdem den 4. Punkt von Yopie's Empfehlung aus.

Ich habe mal hier mein Hijack This Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:39:19, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\MessengerPlus! 3\MsgPlus.exe
F:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\NMapWin\bin\nmapserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Programme\Opera\opera.exe
C:\Programme\Eset\nod32krn.exe
C:\Dokumente und Einstellungen\chinmoku.PC01\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [MessengerPlus3] "F:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] F:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AA7ED34-BC94-4EDA-8A51-B0431762DBAE}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMap - Unknown owner - F:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Habe es kontrolliert und es scheint alles normal.

Achja, was ist ein E Scan? Konnte darüber nichts finden.

Dein Log-File ist soweit in Ordnung.

Wende trotzdem eScan AntiVirus, wie beschrieben an.

Dies solltest du noch abarbeiten:
Das System updaten (SP2 installieren) und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...msie/index.htm
- Sichere und komfortablere Browser wie z.B. Mozilla Suite oder Firefox verwenden http://www.mozilla.org/

btw:
Hast du bei der Installation von Messeneger Plus !3 die Spyware-Komponenten deaktiviert?

Spyware wurde deaktiviert. Und mein Standartbrowser ist Opera, aber grad bin ich mit Firefox on - wieder (immernoch) eine Auslastung von 100% O.o

Mit dem IE geh ich nimma on xD

Ich werde mal die Sachen abarbeiten und dann berichten!

Welchen Prozess verursacht eigentlich die hohe Auslastung?

Das hab ich auch noch nicht wirklich herausgefunden!

Im Taskmanager ist das eindeutig 1) firefox 2) Explorer 3) svchost.exe --> Dieser Prozess zeigte (das letzte Mal heute um 2 Uhr) eine Fehlermeldung (nach dieser Meldung hat er sich nach einer Minute selber heruntergefahren)

E Scan hat btw einen Virus entdeckt, der aber nicht gelöscht werden kann, weil ich eine Trial Verison hab >< xD

Poste auch mal die Fehler die in der Ereignisanzeige ausgegeben werden.
[Win Taste] + [R] drücken -> eventvwr.msc eingeben -> nach Fehler und Warnungen suchen und posten.

Das ist auch richtig so.
eScan sollte im abgesicherten Modus ausgeführt, wenn dies dann erledigt ist, dann postest du uns die Virus Log Information:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hmm also alle Fehler jetzt zu posten dauert wohl nen bissle lange,
ich habe von allem einen Screenshot gemacht (nacgut, unter System nicht alles)

Der erste Trojaner befand sich in dem gleichen Verzeichnis wie der 2. aber der erste wird nicht mehr gefunden O.o (er heisst: win32.dyfuca.du)

Der 2. heisst Backdoor.win32.codbot.m

Im I Net finde ich nichts nennenswertes über diesen Trojaner.

Siehe http://www.sophos.de/virusinfo/analyses/w32codbots.html, http://www.sophos.de/virusinfo/analy...codbotgen.html, http://www.viruslist.com/de/viruses/...?virusid=74656 und http://www.c-enter.hu/center/0240177.html.

Daher lautet meine Empfehlung -> siehe Signatur.