Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Viren und Trojaner

GELÖST

Port 3172 Schliesen

Mitglied: Brutus007

Brutus007 (Level 1) - Jetzt verbinden

28.03.2006, aktualisiert 31.03.2006, 7331 Aufrufe, 16 Kommentare

Hallo

Hoffe poste hier richtig

Habe mehrere Rechner im Privaten Netz und habe auf allen 4 stück einen
Portscan durchgeführt. Auf einem Rechner wird der Port 3172 für mydoom
Angezeigt.
Ein Virnscan findet nichts.

Ist ein Win xp pro Rechner alle Updates
Firewall an
Router ist eine Fritzbox 5050

Nun wie stelle ich den port ab

Danke
Mitglied: 27119
28.03.2006 um 10:13 Uhr
REchtsklick auf die Netzwerkverbindung ... "Windows Firewall Einstellungen ändern"
Klick auf "keine Ausnahmen zulassen".

Oder - ne Fehlmeldung vom Scanner? Oder - Bug in XP FW?
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 10:46 Uhr
Hallo

Danke für die schnelle Antwort

Es sind keine Ausnahmen zugelassen.
In der fritzbox werden auch keine ports weitergeleitet.
Mann darf ja keine progis nennen nur soviel
sei gesagt GF...
Bitte warten ..
Mitglied: Shaby
28.03.2006 um 10:54 Uhr
moin

kann gut sein, dass das prog ein bug hat. Jedoch würd ich dir auch raten, eine andere Firewall als diese von XP Haus zu nehmen.

z.B. http://www.keiro.com

Dort kannst du ja nochmals prüfen, ob die Ports immer noch offen sind. Gibt auf jedenfall bessere Einstellungsmöglichkeiten.
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 11:26 Uhr
Hallo Shaby

Danke für die Antwort.
Auf denn Anderen Rechnern ist dieser Port nicht auf.
Alles XP pro mit sp2 und Firewall und alle haben die selben
Einstellungen zb keine Freigaben.
Drucker und Datei freigabe deaktiviert.

Progi ist von hier
http://www.gfisoftware.de/
Bitte warten ..
Mitglied: Shaby
28.03.2006 um 11:52 Uhr
wirklich seltsam!

Evtl. hast du dir bereits was eingefangen. Würd mal ein Rootkit Removal Tool laufen lassen. Hast du es mit verschiedenen Benutzerkonten versucht (Admin, User usw.)?
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 12:48 Uhr
Hallo Shaby

Ja Habe verschiedene Benutzer probiert das selbe.
Hier die Logfile.

<Scan UIScan="" Session="123506078" Profile="Trojan Ports" CreatedOn="28.03.2006 12:35:09" ReadOnly="0">
<IPsToScan ProcessID="" LogonType="">192.168.178.21</IPsToScan>
- <hosts>
- <host visible="1">
<hostname>SERVER</hostname>
<username />
<mac>00-0E-A6-C1-0F-92</mac>
<ip>192.168.178.21</ip>
<snmp>0</snmp>
<smb>0</smb>
<nmb>0</nmb>
<mac_vendor>ASUSTEK COMPUTER INC.</mac_vendor>
<ttl>128</ttl>
<real_ttl>128</real_ttl>
<iswindows>1</iswindows>
<respondedToPing>1</respondedToPing>
<timestamp>0</timestamp>
<os>Windows</os>
<domain />
<lanman />
<usage />
<servpack />
<language />
<scanended>1</scanended>
<wmi>0</wmi>
<usb enable="0" />
- <udp_ports>
<port name="3127" desc="Mydoom" isTrojan="1" />
</udp_ports>
- <alerts>
- <severity level="0">
- <backdoors>
<backdoor>Mydoom(3127)</backdoor>
</backdoors>

Und da taucht er wieder auf WAS NUN
ich denke mir ich install. winxp neu

Danke für die Schnelle Hilfe
Bitte warten ..
Mitglied: 27119
28.03.2006 um 13:25 Uhr
Kannst auch mal online Scan bei Symantec machen

www.symantec.de unter "Security Response". Vielleicht findet der was.
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 14:02 Uhr
Hallo Duno

Danke für denn Tip.
Habe verschiedene Online-scans durchgeführt
Bleibt gleich.
Ich installiere Winxp neu und melde mich
dann hier noch mal.

Vielen Dank für Deine Hilfe und die der Anderen.
mfg
m.j.n
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 15:08 Uhr
Hallo alle zusammen

Habe Winxp neu installiert und einen scan durchgeführt.

Das Ergebnis ist gleich port UDP 3172 offen und in klammer mydoom.
Ich werde damit leben müssen.Behalte denn Port halt im Auge.
Denke jetzt auch vieleicht ein BUG

Danke für die Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: gnarff
29.03.2006 um 22:14 Uhr
das macht zwar alles keinen sinn fuer mich kannst aber trotzdem mal schaun ob du folgende files auf dem computer hast

1. im system oder .temp ordner : taskmon.exe shimgapi.dll

2. registry: HKML\Software\Windows\CurrentVersion\run\Taskmon ...dort taskmon.exe

3. shimgapi.dll modifiziert folgenden registrierdatenbankeintrag HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\ um den eintrag default="pfad zur shimgapi.dll' [[das gilt auch fuer die B-variante]]

4.ergaenzt er die registry um folgende eintragungen:
a.) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
b.)HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

hast du nichts von dem, solltest dir ueberlegen eine vernuenftige firewall zu installieren...

saludos
gnarff

saludos
gnarff
Bitte warten ..
Mitglied: Brutus007
30.03.2006 um 10:18 Uhr
Hallo Gnarff

Danke für die Antwort.

Die Dateien Taskmon.exe und Shimgabi.dll sind auf dem Rechner und in der
Reg. nicht zu finden.


Habe mit regedit auf denn Eintrag
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
gefunden drinnen steht nur:

name:standart typ: reg_expand_sz wert:
%systemroot%\system32\webcheck.dll

Name: ThreadingModel typ: reg_sz wert: Apartment


in der registry gibt es denn

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\KnownDLLs]
"comdlg32"="comdlg32.dll"

und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU]
"a"=hex:49,00,45,00,58,00,50,00,4c,00,4f,00,52,00,45,00,2e,00,45,00,58,00,45,\
00,00,00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,\
65,00,20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,\
00,6c,00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,\
75,00,6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00
"MRUList"="cba"
"b"=hex:65,00,6d,00,75,00,6c,00,65,00,2e,00,65,00,78,00,65,00,00,00,43,00,3a,\
00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,6d,00,65,00,5c,00,56,00,\
69,00,64,00,65,00,6f,00,4c,00,41,00,4e,00,5c,00,56,00,4c,00,43,00,00,00
"c"=hex:72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,00,\
00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,65,00,\
20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,00,6c,\
00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,75,00,\
6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00

mehr gab es nicht in der regi
Ich glaube das ist ein BUG

Danke für eure Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: gnarff
30.03.2006 um 19:14 Uhr
ehm, bevor du jubelst solltest du mal kurz checken die ob comdlg32.dll auch wirklich da ist, wo sie hingehoert c:\windows\system32\comdlg32.dll
schau auch im startup nach.

um ganz sicher zu sein lad dir mal hijack this runter und poste mir den scanlog.

saludos
gnarff
Bitte warten ..
Mitglied: Brutus007
31.03.2006 um 09:06 Uhr
Hallo

Habe gesucht und auf allen Rechnern ist die comdlg32.dll
in Windows/system32 und Windows/system32/dllcach zu
finden.Habe eine neuere Programm version Installiert.
Jetzt taucht dieser Port nicht mehr auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: Shaby
31.03.2006 um 10:52 Uhr
Hallo

Habe gesucht und auf allen Rechnern ist die
comdlg32.dll
in Windows/system32 und
Windows/system32/dllcach zu
finden.Habe eine neuere Programm version
Installiert.
Jetzt taucht dieser Port nicht mehr
auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste
dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n

Was für eine neue Programm version hast du installiert?
Bitte warten ..
Mitglied: Brutus007
31.03.2006 um 12:53 Uhr
Hallo

Am Anfang Nr 4.0 hatte da die Fehler.
Die Logfile voe Hijack ist auch dabei.
Habe jetzt die Testversion 7.0 und da
ist alles in Ordnung.Denke Mal es war
ein Fehler im Programm.
Danke für eure schnelle und tolle Hilfe.
MFG
M.J.N

Hier noch die alte log file:

Logfile of HijackThis v1.99.1
Scan saved at 08:26:34, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\client\client.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\michael\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Programme\client\client.exe
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Bitte warten ..
Mitglied: gnarff
31.03.2006 um 19:28 Uhr
ja, brutus, alles ok.
herzlichen glueckwunsch

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Mac OS X
Mac ports -f activate port
Frage von AlchimedesMac OS X

Hallo, Ich nutze unter MacOs ports. Nachdem Sierra ,Xcode und Commandline-Tools Updates wurden ports deactiviert. Die bisherige bekannte Vorgangsweise ...

Firewall
2x Port forwarding auf Port 80
gelöst Frage von letstryandfindoutFirewall7 Kommentare

Hallo zusammen, ich habe eine m0n0wall am laufen bei der ich HTTP und HTTPS auf eine IP durchgeschleift habte. ...

Switche und Hubs
Was ist ein Access-Port?
gelöst Frage von teret4242Switche und Hubs5 Kommentare

Moin, was versteht man unter einem Access-Port bei Switchen? Konnte leider nichts brauchbares bei Google finden Gruß

E-Mail
EMails über Port 587 versenden oder Port 25
Frage von staybbE-Mail1 Kommentar

Hallo, wenn ich angenommen einen eigenen Postfix Mailserver betreibe und voll konfigurieren kann, ist es aufjedenfall schon fast vorgeschrieben ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 6 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit23 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen22 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...