Mar 28, 2006, updated at Mar 31, 2006 (UTC)

7882

Port 3172 Schliesen

Hallo

Hoffe poste hier richtig

Habe mehrere Rechner im Privaten Netz und habe auf allen 4 stück einen
Portscan durchgeführt. Auf einem Rechner wird der Port 3172 für mydoom
Angezeigt.
Ein Virnscan findet nichts.

Ist ein Win xp pro Rechner alle Updates
Firewall an
Router ist eine Fritzbox 5050

Nun wie stelle ich den port ab

Danke

Please also mark the comments that contributed to the solution of the article

Content-Key: 29109

Url: https://administrator.de/contentid/29109

Printed on: April 20, 2024 at 07:04 o'clock

16 Comments

Latest comment

REchtsklick auf die Netzwerkverbindung ... "Windows Firewall Einstellungen ändern"
Klick auf "keine Ausnahmen zulassen".

Oder - ne Fehlmeldung vom Scanner? Oder - Bug in XP FW?

Hallo

Danke für die schnelle Antwort

Es sind keine Ausnahmen zugelassen.
In der fritzbox werden auch keine ports weitergeleitet.
Mann darf ja keine progis nennen nur soviel
sei gesagt GF...

moin

kann gut sein, dass das prog ein bug hat. Jedoch würd ich dir auch raten, eine andere Firewall als diese von XP Haus zu nehmen.

z.B. http://www.keiro.com

Dort kannst du ja nochmals prüfen, ob die Ports immer noch offen sind. Gibt auf jedenfall bessere Einstellungsmöglichkeiten.

Hallo Shaby

Danke für die Antwort.
Auf denn Anderen Rechnern ist dieser Port nicht auf.
Alles XP pro mit sp2 und Firewall und alle haben die selben
Einstellungen zb keine Freigaben.
Drucker und Datei freigabe deaktiviert.

Progi ist von hier
http://www.gfisoftware.de/

wirklich seltsam!

Evtl. hast du dir bereits was eingefangen. Würd mal ein Rootkit Removal Tool laufen lassen. Hast du es mit verschiedenen Benutzerkonten versucht (Admin, User usw.)?

Hallo Shaby

Ja Habe verschiedene Benutzer probiert das selbe.
Hier die Logfile.

<Scan UIScan="" Session="123506078" Profile="Trojan Ports" CreatedOn="28.03.2006 12:35:09" ReadOnly="0">
<IPsToScan ProcessID="" LogonType="">192.168.178.21</IPsToScan>
- <hosts>
- <host visible="1">
<hostname>SERVER</hostname>
<username />
<mac>00-0E-A6-C1-0F-92</mac>
<ip>192.168.178.21</ip>
<snmp>0</snmp>
<smb>0</smb>
<nmb>0</nmb>
<mac_vendor>ASUSTEK COMPUTER INC.</mac_vendor>
<ttl>128</ttl>
<real_ttl>128</real_ttl>
<iswindows>1</iswindows>
<respondedToPing>1</respondedToPing>
<timestamp>0</timestamp>
<os>Windows</os>
<domain />
<lanman />
<usage />
<servpack />
<language />
<scanended>1</scanended>
<wmi>0</wmi>
<usb enable="0" />
- <udp_ports>
<port name="3127" desc="Mydoom" isTrojan="1" />
</udp_ports>
- <alerts>
- <severity level="0">
- <backdoors>
<backdoor>Mydoom(3127)</backdoor>
</backdoors>

Und da taucht er wieder auf WAS NUN
ich denke mir ich install. winxp neu

Danke für die Schnelle Hilfe

Kannst auch mal online Scan bei Symantec machen

www.symantec.de unter "Security Response". Vielleicht findet der was.

Hallo Duno

Danke für denn Tip.
Habe verschiedene Online-scans durchgeführt
Bleibt gleich.
Ich installiere Winxp neu und melde mich
dann hier noch mal.

Vielen Dank für Deine Hilfe und die der Anderen.
mfg
m.j.n

Hallo alle zusammen

Habe Winxp neu installiert und einen scan durchgeführt.

Das Ergebnis ist gleich port UDP 3172 offen und in klammer mydoom.
Ich werde damit leben müssen.Behalte denn Port halt im Auge.
Denke jetzt auch vieleicht ein BUG

Danke für die Hilfe
mfg
m.j.n

das macht zwar alles keinen sinn fuer mich kannst aber trotzdem mal schaun ob du folgende files auf dem computer hast

1. im system oder .temp ordner : taskmon.exe shimgapi.dll

2. registry: HKML\Software\Windows\CurrentVersion\run\Taskmon ...dort taskmon.exe

3. shimgapi.dll modifiziert folgenden registrierdatenbankeintrag HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\ um den eintrag default="pfad zur shimgapi.dll' [[das gilt auch fuer die B-variante]]

4.ergaenzt er die registry um folgende eintragungen:
a.) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
b.)HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

hast du nichts von dem, solltest dir ueberlegen eine vernuenftige firewall zu installieren...

saludos
gnarff

saludos
gnarff

Hallo Gnarff

Danke für die Antwort.

Die Dateien Taskmon.exe und Shimgabi.dll sind auf dem Rechner und in der
Reg. nicht zu finden.

Habe mit regedit auf denn Eintrag
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
gefunden drinnen steht nur:

name:standart typ: reg_expand_sz wert:
%systemroot%\system32\webcheck.dll

Name: ThreadingModel typ: reg_sz wert: Apartment

in der registry gibt es denn

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\KnownDLLs]
"comdlg32"="comdlg32.dll"

und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU]
"a"=hex:49,00,45,00,58,00,50,00,4c,00,4f,00,52,00,45,00,2e,00,45,00,58,00,45,\
00,00,00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,\
65,00,20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,\
00,6c,00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,\
75,00,6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00
"MRUList"="cba"
"b"=hex:65,00,6d,00,75,00,6c,00,65,00,2e,00,65,00,78,00,65,00,00,00,43,00,3a,\
00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,6d,00,65,00,5c,00,56,00,\
69,00,64,00,65,00,6f,00,4c,00,41,00,4e,00,5c,00,56,00,4c,00,43,00,00,00
"c"=hex:72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,00,\
00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,65,00,\
20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,00,6c,\
00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,75,00,\
6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00

mehr gab es nicht in der regi
Ich glaube das ist ein BUG

Danke für eure Hilfe
mfg
m.j.n

ehm, bevor du jubelst solltest du mal kurz checken die ob comdlg32.dll auch wirklich da ist, wo sie hingehoert c:\windows\system32\comdlg32.dll
schau auch im startup nach.

um ganz sicher zu sein lad dir mal hijack this runter und poste mir den scanlog.

saludos
gnarff

Hallo

Habe gesucht und auf allen Rechnern ist die comdlg32.dll
in Windows/system32 und Windows/system32/dllcach zu
finden.Habe eine neuere Programm version Installiert.
Jetzt taucht dieser Port nicht mehr auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n

Hallo

Habe gesucht und auf allen Rechnern ist die
comdlg32.dll
in Windows/system32 und
Windows/system32/dllcach zu
finden.Habe eine neuere Programm version
Installiert.
Jetzt taucht dieser Port nicht mehr
auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste
dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n

Was für eine neue Programm version hast du installiert?

Hallo

Am Anfang Nr 4.0 hatte da die Fehler.
Die Logfile voe Hijack ist auch dabei.
Habe jetzt die Testversion 7.0 und da
ist alles in Ordnung.Denke Mal es war
ein Fehler im Programm.
Danke für eure schnelle und tolle Hilfe.
MFG
M.J.N

Hier noch die alte log file:

Logfile of HijackThis v1.99.1
Scan saved at 08:26:34, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\client\client.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\michael\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Programme\client\client.exe
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

ja, brutus, alles ok.
herzlichen glueckwunsch

saludos
gnarff

German solved Question Viruses, Trojans Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment