|
Sicherheitslücke durch Windows-Update? Hallo! Heute ist mir aufgefallen, dass meine firewall (Kerio) ständig Pakete blockiert, die als "BACKDOOR trojan active" und "successful-user" (also kein einfacher scan) gekennzeichnet sind. Danach steht dann entweder deltasource, millennium, aimspy, theprayer1, silencer-webex-doly, Whackjob, Thething oder andere... Mein aktuell gehaltener Symantec AntiVir findet allerdings keine Trojaner auf meinem System und ich wüsste auch nicht, wo ich mir welche eingefangen haben soll. Ich habe in der XP-Systemwiederherstellung geschaut, was ich an dem Tag installiert habe, an dem die erste Meldung eingetragen ist, und da steht: "software distribution service 2.0" Laut google kommt das evtl. vom WindowsUpdate v5. Hat jemand eine Idee, was das sein könnte und wichiger noch: was ich dagegen machen kann? Vielen Dank! |
Sind es eingehende Anfragen? Wieso sind das keine Scans (ich weiss leider nicht, was "successful user" genau bedeutet)? Über das Windows-Update hast du dir sicher keien Trojaner eingefangen, wenn du ein internes Netzwerk hast solltest du höchstens mal nachsehen, ob die Datei und Druckerfreigabe bei der XP-Firewall als "Ausnahme" markiert ist, da gab es einige Konfusion. Ein Log mit diesem Programm erstellen: http://www.trojaner-board.de/51130-a...ijackthis.html Inhalt hier ins Forum posten. |
Vielleicht wird das automatische Windowsupdate so "interpretiert". Schalte mal über "Sicherheitscenter" => "Automatische Updates" => "automatische Updates deaktivieren" dieses aus (dort HAKERL SETZEN) und harre der Dinge http://www.trojaner-board.com/images/smilies/wink.gif |
Vielleicht hat sichs schon erledigt. Hatte wohl jemand am Router das UPnP angeschaltet, was ein Durchkommen der Trojaneranfragen zu meinem Rechner erklären könnte (kann ich nicht wirklich einschätzen, hört sich aber logisch an :lach: ). Seit ichs abgeschaltet habe, kam keine Attacke mehr... Falls doch, erstatte ich gleich Meldung :) Vielen Dank trotzdem für die Hilfe! |
Hi, ich hab das gleiche Problem, wie Armalion, allerdings bin ich DSL-User, habe also keinen Router. Bei mir kommt im Kerio-Log immer die Meldung: "BACKDOOR trojan active deltasource", Quellen sin immer verschiedene Websites, Angriffsklasse :succesful user, Priorität: high. Er tuts zwar immer blocken, aber könnte es sein, dass die Backdoor bei mir schon drauf is? Könnt ihr mir weiterhelfen? :confused: Thx im Vorraus and "Take it easy" :daumenhoc |
Zitat:
Zitat:
|
Bitte ein Log erstellen, siehe oben. Ohne nähere Informationen über den Rechner können wir nur herumraten. |
Hast Du BitTorrent? Das wäre nämlich die Antwort. Das habe ich im Kerio-Forum gefunden: ... Yes, Kerio 4.1 has been ascribing a lot of my BitTorrent activity to "Backdoor Deltasource" since I upgraded it which slows BT down considerably but doesn't stop it all together ... http://forums.kerio.com/index.php?t=...9097869a8c5d0a |
Erst mal der Hijack-Log: Logfile of HijackThis v1.98.0 Scan saved at 22:35:11, on 12.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\Drivers\XWMSAPI.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.6\Desktopprogramm ver.1.6.exe C:\WINDOWS\System32\ups.exe D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe D:\Programme\T-Online\T-DSL SpeedManager\tsmsvc.exe D:\Programme\Winamp\winamp.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\Mozilla Firebird\firefox.exe D:\Programme\Hijack 1.98\HijackThis.exe O1 - Hosts: die von Microsoft TCP/IP O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [InstantAccess] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Personal 5.0\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQ 4.0\ICQLite.exe -trayboot O4 - Startup: Desktopprogramm ver.1.6.lnk = D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.6\Desktopprogramm ver.1.6.exe O4 - Startup: ICQ 4.0.lnk = D:\Programme\ICQ\ICQ 4.0\ICQLite.exe O4 - Startup: Kräftigungswecker.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Bild zum Bildarchiv senden - file://D:\DigiC\Temp\MGI00000.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1089322130125 O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.161 217.237.151.33 Ja, ich habe Azureus (used Bittorrent Client), das dürfte wohl die Antwort gewesen sein. Herzlichen Dank. Wegen 'Take it easy!', mir is kein gescheiter Name eingefallen, außerdem wollt ich nich schon wieder meine Standardnamen usen. Ich will stark betonen, dass ich weder Drogen noch Zigaretten jemals angefasst hab. Nebenbei euer "pfui-Smilie" funzt nicht... . :heulen: |
Ich kann sonst auf Anhieb nichts Gefährliches entdecken- |
wow, ihr seid schnell mein post 22:46, Mountains 22:49. Thx für die Info :aplaus: :aplaus::aplaus: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:53 Uhr. |
Copyright ©2000-2024, Trojaner-Board