Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Port 3172 Schliesen

Mitglied: Brutus007

Brutus007 (Level 1) - Jetzt verbinden

28.03.2006, aktualisiert 31.03.2006, 7342 Aufrufe, 16 Kommentare

Hallo

Hoffe poste hier richtig

Habe mehrere Rechner im Privaten Netz und habe auf allen 4 stück einen
Portscan durchgeführt. Auf einem Rechner wird der Port 3172 für mydoom
Angezeigt.
Ein Virnscan findet nichts.

Ist ein Win xp pro Rechner alle Updates
Firewall an
Router ist eine Fritzbox 5050

Nun wie stelle ich den port ab

Danke
Mitglied: 27119
28.03.2006 um 10:13 Uhr
REchtsklick auf die Netzwerkverbindung ... "Windows Firewall Einstellungen ändern"
Klick auf "keine Ausnahmen zulassen".

Oder - ne Fehlmeldung vom Scanner? Oder - Bug in XP FW?
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 10:46 Uhr
Hallo

Danke für die schnelle Antwort

Es sind keine Ausnahmen zugelassen.
In der fritzbox werden auch keine ports weitergeleitet.
Mann darf ja keine progis nennen nur soviel
sei gesagt GF...
Bitte warten ..
Mitglied: Shaby
28.03.2006 um 10:54 Uhr
moin

kann gut sein, dass das prog ein bug hat. Jedoch würd ich dir auch raten, eine andere Firewall als diese von XP Haus zu nehmen.

z.B. http://www.keiro.com

Dort kannst du ja nochmals prüfen, ob die Ports immer noch offen sind. Gibt auf jedenfall bessere Einstellungsmöglichkeiten.
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 11:26 Uhr
Hallo Shaby

Danke für die Antwort.
Auf denn Anderen Rechnern ist dieser Port nicht auf.
Alles XP pro mit sp2 und Firewall und alle haben die selben
Einstellungen zb keine Freigaben.
Drucker und Datei freigabe deaktiviert.

Progi ist von hier
http://www.gfisoftware.de/
Bitte warten ..
Mitglied: Shaby
28.03.2006 um 11:52 Uhr
wirklich seltsam!

Evtl. hast du dir bereits was eingefangen. Würd mal ein Rootkit Removal Tool laufen lassen. Hast du es mit verschiedenen Benutzerkonten versucht (Admin, User usw.)?
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 12:48 Uhr
Hallo Shaby

Ja Habe verschiedene Benutzer probiert das selbe.
Hier die Logfile.

<Scan UIScan="" Session="123506078" Profile="Trojan Ports" CreatedOn="28.03.2006 12:35:09" ReadOnly="0">
<IPsToScan ProcessID="" LogonType="">192.168.178.21</IPsToScan>
- <hosts>
- <host visible="1">
<hostname>SERVER</hostname>
<username />
<mac>00-0E-A6-C1-0F-92</mac>
<ip>192.168.178.21</ip>
<snmp>0</snmp>
<smb>0</smb>
<nmb>0</nmb>
<mac_vendor>ASUSTEK COMPUTER INC.</mac_vendor>
<ttl>128</ttl>
<real_ttl>128</real_ttl>
<iswindows>1</iswindows>
<respondedToPing>1</respondedToPing>
<timestamp>0</timestamp>
<os>Windows</os>
<domain />
<lanman />
<usage />
<servpack />
<language />
<scanended>1</scanended>
<wmi>0</wmi>
<usb enable="0" />
- <udp_ports>
<port name="3127" desc="Mydoom" isTrojan="1" />
</udp_ports>
- <alerts>
- <severity level="0">
- <backdoors>
<backdoor>Mydoom(3127)</backdoor>
</backdoors>

Und da taucht er wieder auf WAS NUN
ich denke mir ich install. winxp neu

Danke für die Schnelle Hilfe
Bitte warten ..
Mitglied: 27119
28.03.2006 um 13:25 Uhr
Kannst auch mal online Scan bei Symantec machen

www.symantec.de unter "Security Response". Vielleicht findet der was.
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 14:02 Uhr
Hallo Duno

Danke für denn Tip.
Habe verschiedene Online-scans durchgeführt
Bleibt gleich.
Ich installiere Winxp neu und melde mich
dann hier noch mal.

Vielen Dank für Deine Hilfe und die der Anderen.
mfg
m.j.n
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 15:08 Uhr
Hallo alle zusammen

Habe Winxp neu installiert und einen scan durchgeführt.

Das Ergebnis ist gleich port UDP 3172 offen und in klammer mydoom.
Ich werde damit leben müssen.Behalte denn Port halt im Auge.
Denke jetzt auch vieleicht ein BUG

Danke für die Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: gnarff
29.03.2006 um 22:14 Uhr
das macht zwar alles keinen sinn fuer mich kannst aber trotzdem mal schaun ob du folgende files auf dem computer hast

1. im system oder .temp ordner : taskmon.exe shimgapi.dll

2. registry: HKML\Software\Windows\CurrentVersion\run\Taskmon ...dort taskmon.exe

3. shimgapi.dll modifiziert folgenden registrierdatenbankeintrag HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\ um den eintrag default="pfad zur shimgapi.dll' [[das gilt auch fuer die B-variante]]

4.ergaenzt er die registry um folgende eintragungen:
a.) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
b.)HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

hast du nichts von dem, solltest dir ueberlegen eine vernuenftige firewall zu installieren...

saludos
gnarff

saludos
gnarff
Bitte warten ..
Mitglied: Brutus007
30.03.2006 um 10:18 Uhr
Hallo Gnarff

Danke für die Antwort.

Die Dateien Taskmon.exe und Shimgabi.dll sind auf dem Rechner und in der
Reg. nicht zu finden.


Habe mit regedit auf denn Eintrag
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
gefunden drinnen steht nur:

name:standart typ: reg_expand_sz wert:
%systemroot%\system32\webcheck.dll

Name: ThreadingModel typ: reg_sz wert: Apartment


in der registry gibt es denn

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\KnownDLLs]
"comdlg32"="comdlg32.dll"

und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU]
"a"=hex:49,00,45,00,58,00,50,00,4c,00,4f,00,52,00,45,00,2e,00,45,00,58,00,45,\
00,00,00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,\
65,00,20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,\
00,6c,00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,\
75,00,6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00
"MRUList"="cba"
"b"=hex:65,00,6d,00,75,00,6c,00,65,00,2e,00,65,00,78,00,65,00,00,00,43,00,3a,\
00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,6d,00,65,00,5c,00,56,00,\
69,00,64,00,65,00,6f,00,4c,00,41,00,4e,00,5c,00,56,00,4c,00,43,00,00,00
"c"=hex:72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,00,\
00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,65,00,\
20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,00,6c,\
00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,75,00,\
6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00

mehr gab es nicht in der regi
Ich glaube das ist ein BUG

Danke für eure Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: gnarff
30.03.2006 um 19:14 Uhr
ehm, bevor du jubelst solltest du mal kurz checken die ob comdlg32.dll auch wirklich da ist, wo sie hingehoert c:\windows\system32\comdlg32.dll
schau auch im startup nach.

um ganz sicher zu sein lad dir mal hijack this runter und poste mir den scanlog.

saludos
gnarff
Bitte warten ..
Mitglied: Brutus007
31.03.2006 um 09:06 Uhr
Hallo

Habe gesucht und auf allen Rechnern ist die comdlg32.dll
in Windows/system32 und Windows/system32/dllcach zu
finden.Habe eine neuere Programm version Installiert.
Jetzt taucht dieser Port nicht mehr auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: Shaby
31.03.2006 um 10:52 Uhr
Hallo

Habe gesucht und auf allen Rechnern ist die
comdlg32.dll
in Windows/system32 und
Windows/system32/dllcach zu
finden.Habe eine neuere Programm version
Installiert.
Jetzt taucht dieser Port nicht mehr
auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste
dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n

Was für eine neue Programm version hast du installiert?
Bitte warten ..
Mitglied: Brutus007
31.03.2006 um 12:53 Uhr
Hallo

Am Anfang Nr 4.0 hatte da die Fehler.
Die Logfile voe Hijack ist auch dabei.
Habe jetzt die Testversion 7.0 und da
ist alles in Ordnung.Denke Mal es war
ein Fehler im Programm.
Danke für eure schnelle und tolle Hilfe.
MFG
M.J.N

Hier noch die alte log file:

Logfile of HijackThis v1.99.1
Scan saved at 08:26:34, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\client\client.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\michael\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Programme\client\client.exe
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Bitte warten ..
Mitglied: gnarff
31.03.2006 um 19:28 Uhr
ja, brutus, alles ok.
herzlichen glueckwunsch

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Mac OS X
Mac ports -f activate port
Frage von AlchimedesMac OS X

Hallo, Ich nutze unter MacOs ports. Nachdem Sierra ,Xcode und Commandline-Tools Updates wurden ports deactiviert. Die bisherige bekannte Vorgangsweise ...

Firewall
2x Port forwarding auf Port 80
gelöst Frage von letstryandfindoutFirewall7 Kommentare

Hallo zusammen, ich habe eine m0n0wall am laufen bei der ich HTTP und HTTPS auf eine IP durchgeschleift habte. ...

E-Mail

EMails über Port 587 versenden oder Port 25

Frage von staybbE-Mail1 Kommentar

Hallo, wenn ich angenommen einen eigenen Postfix Mailserver betreibe und voll konfigurieren kann, ist es aufjedenfall schon fast vorgeschrieben ...

Switche und Hubs

Was genau bedeutet Port Mirroring?

gelöst Frage von windelterroristSwitche und Hubs7 Kommentare

Morgen Ich hab da so ne Frage an euch :) Ich sollte bei einem NETGEAR ProSafe 8 Port Gigabit ...

Neue Wissensbeiträge
Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 2 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 5 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 2 TagenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++28 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...

Hyper-V
HyperV DC + DNS + AC
gelöst Frage von HardstylesHyper-V16 Kommentare

Hallo kann mir jemand sagen wieso meine Domänen Computer kein Internetzugang erhalten? Ich hab hier ein Server wo die ...