Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Port 3172 Schliesen

Frage Sicherheit Viren und Trojaner

Mitglied: Brutus007

Brutus007 (Level 1) - Jetzt verbinden

28.03.2006, aktualisiert 31.03.2006, 7274 Aufrufe, 16 Kommentare

Hallo

Hoffe poste hier richtig

Habe mehrere Rechner im Privaten Netz und habe auf allen 4 stück einen
Portscan durchgeführt. Auf einem Rechner wird der Port 3172 für mydoom
Angezeigt.
Ein Virnscan findet nichts.

Ist ein Win xp pro Rechner alle Updates
Firewall an
Router ist eine Fritzbox 5050

Nun wie stelle ich den port ab

Danke
Mitglied: 27119
28.03.2006 um 10:13 Uhr
REchtsklick auf die Netzwerkverbindung ... "Windows Firewall Einstellungen ändern"
Klick auf "keine Ausnahmen zulassen".

Oder - ne Fehlmeldung vom Scanner? Oder - Bug in XP FW?
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 10:46 Uhr
Hallo

Danke für die schnelle Antwort

Es sind keine Ausnahmen zugelassen.
In der fritzbox werden auch keine ports weitergeleitet.
Mann darf ja keine progis nennen nur soviel
sei gesagt GF...
Bitte warten ..
Mitglied: Shaby
28.03.2006 um 10:54 Uhr
moin

kann gut sein, dass das prog ein bug hat. Jedoch würd ich dir auch raten, eine andere Firewall als diese von XP Haus zu nehmen.

z.B. http://www.keiro.com

Dort kannst du ja nochmals prüfen, ob die Ports immer noch offen sind. Gibt auf jedenfall bessere Einstellungsmöglichkeiten.
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 11:26 Uhr
Hallo Shaby

Danke für die Antwort.
Auf denn Anderen Rechnern ist dieser Port nicht auf.
Alles XP pro mit sp2 und Firewall und alle haben die selben
Einstellungen zb keine Freigaben.
Drucker und Datei freigabe deaktiviert.

Progi ist von hier
http://www.gfisoftware.de/
Bitte warten ..
Mitglied: Shaby
28.03.2006 um 11:52 Uhr
wirklich seltsam!

Evtl. hast du dir bereits was eingefangen. Würd mal ein Rootkit Removal Tool laufen lassen. Hast du es mit verschiedenen Benutzerkonten versucht (Admin, User usw.)?
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 12:48 Uhr
Hallo Shaby

Ja Habe verschiedene Benutzer probiert das selbe.
Hier die Logfile.

<Scan UIScan="" Session="123506078" Profile="Trojan Ports" CreatedOn="28.03.2006 12:35:09" ReadOnly="0">
<IPsToScan ProcessID="" LogonType="">192.168.178.21</IPsToScan>
- <hosts>
- <host visible="1">
<hostname>SERVER</hostname>
<username />
<mac>00-0E-A6-C1-0F-92</mac>
<ip>192.168.178.21</ip>
<snmp>0</snmp>
<smb>0</smb>
<nmb>0</nmb>
<mac_vendor>ASUSTEK COMPUTER INC.</mac_vendor>
<ttl>128</ttl>
<real_ttl>128</real_ttl>
<iswindows>1</iswindows>
<respondedToPing>1</respondedToPing>
<timestamp>0</timestamp>
<os>Windows</os>
<domain />
<lanman />
<usage />
<servpack />
<language />
<scanended>1</scanended>
<wmi>0</wmi>
<usb enable="0" />
- <udp_ports>
<port name="3127" desc="Mydoom" isTrojan="1" />
</udp_ports>
- <alerts>
- <severity level="0">
- <backdoors>
<backdoor>Mydoom(3127)</backdoor>
</backdoors>

Und da taucht er wieder auf WAS NUN
ich denke mir ich install. winxp neu

Danke für die Schnelle Hilfe
Bitte warten ..
Mitglied: 27119
28.03.2006 um 13:25 Uhr
Kannst auch mal online Scan bei Symantec machen

www.symantec.de unter "Security Response". Vielleicht findet der was.
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 14:02 Uhr
Hallo Duno

Danke für denn Tip.
Habe verschiedene Online-scans durchgeführt
Bleibt gleich.
Ich installiere Winxp neu und melde mich
dann hier noch mal.

Vielen Dank für Deine Hilfe und die der Anderen.
mfg
m.j.n
Bitte warten ..
Mitglied: Brutus007
28.03.2006 um 15:08 Uhr
Hallo alle zusammen

Habe Winxp neu installiert und einen scan durchgeführt.

Das Ergebnis ist gleich port UDP 3172 offen und in klammer mydoom.
Ich werde damit leben müssen.Behalte denn Port halt im Auge.
Denke jetzt auch vieleicht ein BUG

Danke für die Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: gnarff
29.03.2006 um 22:14 Uhr
das macht zwar alles keinen sinn fuer mich kannst aber trotzdem mal schaun ob du folgende files auf dem computer hast

1. im system oder .temp ordner : taskmon.exe shimgapi.dll

2. registry: HKML\Software\Windows\CurrentVersion\run\Taskmon ...dort taskmon.exe

3. shimgapi.dll modifiziert folgenden registrierdatenbankeintrag HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\ um den eintrag default="pfad zur shimgapi.dll' [[das gilt auch fuer die B-variante]]

4.ergaenzt er die registry um folgende eintragungen:
a.) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
b.)HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

hast du nichts von dem, solltest dir ueberlegen eine vernuenftige firewall zu installieren...

saludos
gnarff

saludos
gnarff
Bitte warten ..
Mitglied: Brutus007
30.03.2006 um 10:18 Uhr
Hallo Gnarff

Danke für die Antwort.

Die Dateien Taskmon.exe und Shimgabi.dll sind auf dem Rechner und in der
Reg. nicht zu finden.


Habe mit regedit auf denn Eintrag
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
gefunden drinnen steht nur:

name:standart typ: reg_expand_sz wert:
%systemroot%\system32\webcheck.dll

Name: ThreadingModel typ: reg_sz wert: Apartment


in der registry gibt es denn

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\KnownDLLs]
"comdlg32"="comdlg32.dll"

und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU]
"a"=hex:49,00,45,00,58,00,50,00,4c,00,4f,00,52,00,45,00,2e,00,45,00,58,00,45,\
00,00,00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,\
65,00,20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,\
00,6c,00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,\
75,00,6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00
"MRUList"="cba"
"b"=hex:65,00,6d,00,75,00,6c,00,65,00,2e,00,65,00,78,00,65,00,00,00,43,00,3a,\
00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,6d,00,65,00,5c,00,56,00,\
69,00,64,00,65,00,6f,00,4c,00,41,00,4e,00,5c,00,56,00,4c,00,43,00,00,00
"c"=hex:72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,00,\
00,43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,00,74,00,65,00,\
20,00,75,00,6e,00,64,00,20,00,45,00,69,00,6e,00,73,00,74,00,65,00,6c,00,6c,\
00,75,00,6e,00,67,00,65,00,6e,00,5c,00,31,00,32,00,33,00,65,00,6d,00,75,00,\
6c,00,65,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00

mehr gab es nicht in der regi
Ich glaube das ist ein BUG

Danke für eure Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: gnarff
30.03.2006 um 19:14 Uhr
ehm, bevor du jubelst solltest du mal kurz checken die ob comdlg32.dll auch wirklich da ist, wo sie hingehoert c:\windows\system32\comdlg32.dll
schau auch im startup nach.

um ganz sicher zu sein lad dir mal hijack this runter und poste mir den scanlog.

saludos
gnarff
Bitte warten ..
Mitglied: Brutus007
31.03.2006 um 09:06 Uhr
Hallo

Habe gesucht und auf allen Rechnern ist die comdlg32.dll
in Windows/system32 und Windows/system32/dllcach zu
finden.Habe eine neuere Programm version Installiert.
Jetzt taucht dieser Port nicht mehr auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n
Bitte warten ..
Mitglied: Shaby
31.03.2006 um 10:52 Uhr
Hallo

Habe gesucht und auf allen Rechnern ist die
comdlg32.dll
in Windows/system32 und
Windows/system32/dllcach zu
finden.Habe eine neuere Programm version
Installiert.
Jetzt taucht dieser Port nicht mehr
auf.Werde aber mir Hijack
laden und die Systeme damit testen und poste
dann die Logfiles
hier.

Danke für eure Hilfe
mfg
m.j.n

Was für eine neue Programm version hast du installiert?
Bitte warten ..
Mitglied: Brutus007
31.03.2006 um 12:53 Uhr
Hallo

Am Anfang Nr 4.0 hatte da die Fehler.
Die Logfile voe Hijack ist auch dabei.
Habe jetzt die Testversion 7.0 und da
ist alles in Ordnung.Denke Mal es war
ein Fehler im Programm.
Danke für eure schnelle und tolle Hilfe.
MFG
M.J.N

Hier noch die alte log file:

Logfile of HijackThis v1.99.1
Scan saved at 08:26:34, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\client\client.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\michael\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Programme\client\client.exe
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{60D7C354-4AA6-4065-88A6-7A68A387E0F7}: NameServer = 217.237.150.33,217.237.151.161
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Bitte warten ..
Mitglied: gnarff
31.03.2006 um 19:28 Uhr
ja, brutus, alles ok.
herzlichen glueckwunsch

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DSL, VDSL
Telekom blockiert immer noch den Port 7547 in ihrem Netz (9)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

LAN, WAN, Wireless
gelöst 1 Port in mehreren VLANs? (7)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...