Trojaner durch Port 5000

[chinmoku]

Tja irgendwie erhelte ich neuerdings lauter Fehlermeldungen.

Z.B. wie: Sie haben einen Trojaner bzw. Virus ... ihr System ist nicht geschützt ... gehen Sie auf <<Webseite>> ... O.o

Das alles soll angeblich von Microsoft losgegangen sein, aber dann habe ich einen Scan im I Net gemacht, der mir sagte, dass ich wohl einen Trojaner habe, der durch Port 5000 gekommen ist.

Spybot hab ich ausgeführt, Tuneup Utilities auch, sowie Panda installiert und ausgeführt.

Da kamen diese Meldungen auch wieder ... ich konnte bis eben sogar nicht mal mehr irgendeinen Browser auf meinem System ausführen ...

Moment bleibts ruhig. Aber wenn das Ganze wiederkommt weiss ich nich was ich tun soll ;_;

Ausserdem wurde der PC schon 2x mal automatisch heruntergefahren, weil angeblich irgendein Prozess von mir beendet wurde

O.o'
Ich bitte um Rat.

Ich lass den PC eben nochmal scannen ;_;

[Chocwise]

Hast du gestern, als wir über Azureus plauderten, deine Firewall geschlossen um auszuprobieren ob es ohne besser funzt?
Bei WinXP ohne SP 1 oder 2 ist sowas fatal. Vielleicht hat sich dann in der Zeit einer der Sasser-Derivate bei dir reingezogen. Dieses automatische Runterfahren, nach einer gewissen Zeit, deutet darauf hin.
Nunja. Ich kann hier nu auch lediglich die Ursache erahnen. Ich ab kein XP, ich hab mir nie einen solchen Wurm eingefangen und sämtliche XP-Rechner zu denen ich Zugang hätte, hab ich bereits durch eine Firewall gesichert, dementsprechend auch keine Erfahrung damit.

Ansonsten schau mal hier:
http://www.pctipp.ch/helpdesk/kummer...soft/23281.asp
Sollte Port 5000 nicht vom UPnP geöffnet und verwendet werden, kann es sein das du einen Sockets de Troje-Trojaner/Virus hast:
http://www.trojaner-info.de/archiv/socketsdetroie.html

[chinmoku]

Oh ne gute Frage. Ich glaube ich hatte die Firewall kurz aus, aber ich hab XP SP1.

Ich habe mal einen Screenshot von der ersten Fehlermeldung gemacht:



Upnp hab ich jetzt mal disabled. Mal abwarten.
DA scheinen nämlich alle Sachen durchzukommen O.o

Edit: Strange, irgendwie seh ich deinen link jetzt erst ._. oder haste den editiert?

Aber ... lol ... da hat mich grad schon google hingeführt ^^, deshalb hab ich auch Upnp ausgestellt ^^

[Chocwise]

Oh ne gute Frage. Ich glaube ich hatte die Firewall kurz aus, aber ich hab XP SP1.

Ich habe mal einen Screenshot von der ersten Fehlermeldung gemacht:



Upnp hab ich jetzt mal disabled. Mal abwarten.
DA scheinen nämlich alle Sachen durchzukommen O.o

Edit: Strange, irgendwie seh ich deinen link jetzt erst ._. oder haste den editiert?

Aber ... lol ... da hat mich grad schon google hingeführt ^^, deshalb hab ich auch Upnp ausgestellt ^^

...

Die Meldung die du da bekommen hast, ist ein nutzloses "Feature" von Windows XP. Hast du den Windows XP-eigenen Nachrichtendienst aktiviert, könnte ich dir ohne weiteres eine solche Meldung von meinem Rechner aus, über deine IP an dich senden.
Wie man den Nachrichtendienst WinXP's deaktiviert, findest du mit Google. Einfach "Nachrichtendienst deaktivieren" suchen.
Diese Meldung ist unseriös und als Spam zu betrachten. Keinesfalls eine offizielle Meldung.

Was mir noch Kopfzerbrechen bereitet, ist das automatische herunterfahren.
Vielleicht solltest du doch mal explizit nach Sasser-Derivaten checken.

[Whiz-zarD]

Ach, der schöne Nachrichten Dienst
Deaktiviere ihn und du bekommst keine Nachrichten mehr.
MS schickt niemals sollte nachrichten. Das ist ein Hoax.
Unter Systemsteuerung -> Verwaltung -> Dienste kann du den Nachrichten Dienst deaktivieren. Was ich auf jedenfall machen würde. Denn der Nachrichtendienst hat eine extrem große Sicherheitslücke, die bis heute noch nicht geschlossen ist.

[chinmoku]

*chin dankt euch* ^^

Also der Nachrichtendienst ist jetzt ausgestellt, bevor ich das aber gemacht habe wurde der PC wieder runtergefahren.

Ich wollte einen Screenshot machen, aber des ging irgendwie nich.

Mal schauen ;_;

Jetzt hab ich auch noch ne CPU Auslastung von 100% O.o

[dead_orc]

Ich kann dir nicht helfen, das Problem zu beheben, kann dir aber sagen, wie du den Runterfahr-Mechanismus außer Kraft setzt. In dem Dialog gibt es zwar kein "Abbrechen"-Button o.Ä., aber du kannst in "Ausführen" (das solltest du noch aufbekommen) eingeben shutdown -a. Damit hört der Timer auf und der Computer fährt nicht herunter. Wenn der Prozess nicht tatsächlich beendet wurde, kannst du damit wenigstens noch normal weiter arbeiten.

[Starplayer]

Nach dem Befehl "shutdown -a" solltest du mal nen Windowsupdate durchführen. Microsoft hat erst letztens ein Tool, welches laut Angaben "böse Porgramme oder Software" entfernen soll" in die Updatefunktion integriert.

[BeyondTheTruth]

STOOOOP!

Du sagst du hast deine Firewall deaktiviert, bekommst seit dem solche Meldungen und außerdem fährt sich dein PC immer runter.
Klingt ganz stark danach, als hättest du deine Firewall noch nicht wieder (richtig) aktiviert. Sonst würden in der Regel auch die MSG vom Nachrichtendienst nicht durchkommen können...

[chinmoku]

hmm, aber die gute Firewall "spricht" immer zu mir, da kommen immer Popups, die sagen, dass irgendwelche Leute auf mein System wollen und dann werden die geblockt xD

Das dumme ist nur, dass diese Popups immernoch kommen, obwohl ich auf das Häkchen klicke, das bestätigen soll, dass die Popups nimma erscheinen ^^

Ich hab btw Sygate

Hier nochmal ein Screenshot.
Wenn ich da auf OK kommtein Countdown.
Ich hab noch net auf Abbrechen gedrückt, ich glaube das mache ich mal als nächstes ._.

[Chocwise]

hmm, aber die gute Firewall "spricht" immer zu mir, da kommen immer Popups, die sagen, dass irgendwelche Leute auf mein System wollen und dann werden die geblockt xD

Das dumme ist nur, dass diese Popups immernoch kommen, obwohl ich auf das Häkchen klicke, das bestätigen soll, dass die Popups nimma erscheinen ^^
...

...

Geh mal in Sygate nach Tools -> Options und mach dort ein Häkchen bei "Hide Messages" oder so. Ich hab selbst die deutsche Pro-Version deswegen musste ich jetzt approximieren wie das wohl in der engl. Version heißt.

[chinmoku]

Geh mal in Sygate nach Tools -> Options und mach dort ein Häkchen bei "Hide Messages" oder so. Ich hab selbst die deutsche Pro-Version deswegen musste ich jetzt approximieren wie das wohl in der engl. Version heißt.

...

Scheint zu funktionieren ^^

Hmm ... ich musste grade wieder neustarten ._.'
Dann dachte ich: OMG, ich hab ja keine 100 % Auslastung mehr. Kaum habe ich wieder Opera geöffnet --> Wieder 100% Auslastung. Aber die hab ich egal was ich mache ;_;

Und jetzt ist wieder sonen Fenster da --> Fehlermeldung ._.

[BeyondTheTruth]

installier mal HijackThis ( http://www.chip.de/downloads/c1_downloads_13011934.html ) lass es laufen und poste das Ergebnis.
Die Firewall ist nun sicher eingeschaltet?

[chinmoku]

Firewall ist wieder richtig konfiguriert ._.

Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:56, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
CWINDOWS\System32\smss.exe
CWINDOWS\SYSTEM32\winlogon.exe
CWINDOWS\system32\services.exe
CWINDOWS\system32\lsass.exe
CWINDOWS\system32\svchost.exe
CWINDOWS\System32\svchost.exe
FProgramme\Sygate\SPF\smc.exe
CWINDOWS\Explorer.EXE
CWINDOWS\System32\sstray.exe
CProgramme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
CWINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
CWINDOWS\system32\spoolsv.exe
FProgramme\MessengerPlus! 3\MsgPlus.exe
FProgramme\iTunes\iTunesHelper.exe
CProgramme\Java\jre1.5.0_01\bin\jusched.exe
CProgramme\Eset\nod32kui.exe
CWINDOWS\System32\ctfmon.exe
FProgramme\NMapWin\bin\nmapserv.exe
CProgramme\Eset\nod32krn.exe
CWINDOWS\System32\nvsvc32.exe
CWINDOWS\System32\svchost.exe
CProgramme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
CProgramme\iPod\bin\iPodService.exe
FProgramme\Opera\opera.exe
FProgramme\ICQLite\ICQLite.exe
FProgramme\eMule\emule.exe
CDokumente und Einstellungen\chinmoku.PC01\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - CWINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE CWINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE CWINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TkBellExe] "CProgramme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] CWINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [MessengerPlus3] "FProgramme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] CWINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] FProgramme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "CWINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] CWINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] CWINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] CWINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] CWINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SmcService] FPROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] CProgramme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "CProgramme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] CWINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] FProgramme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://FPROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CProgramme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CProgramme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - FPROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - FProgramme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - FProgramme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AA7ED34-BC94-4EDA-8A51-B0431762DBAE}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - CProgramme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - CProgramme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMap - Unknown owner - FProgramme\NMapWin\bin\nmapserv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - CProgramme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - CWINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - FProgramme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - FProgramme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - CProgramme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

[devilsadvocate]

Kopier diesen Text ab "Running Processes" mal hier rein und geh dann auf auswerten. Dann kannst du checken was gut ist und was nicht.

[chinmoku]

Das hatte ich schon direkt gemacht als BeyondTheTruth mir Hijack This empfohlen hast. Der hat alles als gut bewertet O.o

Ich hab jetzt mal nen komische Anti Viren Prog laufen ( dauert btw sau lange ;_; )

Der hat einen Trojaner gefunden ... bin ich gleich mal auf löschen gegangen. Ich lass das Prog aber mal weiterlaufen ...

Läuft schon seit Stunden, aber hat grad mal 60.000 Dateien durchforstet ;_;

[Starplayer]

Wenn das auch nichts bringt dann benutz mal Stinger. Vielleicht hilft ja das weiter. Ist ein feines Tool.