Das verstehe ich jetzt gar nicht. Nachdem die Virenprüfung abgeschlossen war, bekam ich als Ergebnis eigentlich einen Kurzbericht dieser Art: "Es wurden keine Viren im Arbeitsspeicher gefunden." Definitiv steht in dem Fenster auf nicht der Text, den ich in dieses Forum reinkopiert habe.
So habe ich den Text im Symantec-Fenster markiert - halt 3 o. 4. Zeilen, und dann hier eingefügt. Und auf einmal steht da wie folgt (s. auch den vorherigen Thread):
"Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.
Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
Es wurden keine Viren im Arbeitsspeicher gefunden. ??? "
------------------------
Habe den Test noch mal wiederholt - wieder kein Hinweis oder Button, der den Text preisgibt. Erst nach dem beschriebenen Kopiervorgang taucht dieser lange Text auf. Was ist davon nun wieder zu halten????
Ich weiss, ich bin anstrengend. Aber es ergeben sich halt leider diese Unklarheiten, die ich ohne Hilfe nicht zu durchdringen weiss. Danke!
Ciao
Herm
Hallo,
Bringt netstat -ano etwas zusammen mit tasklist /M etwas mehr Aufschluss über die Quelle der Verbindungsversuche?
Wurde ein Rootkitscanner eingesetzt (z.B. Blacklight oder Gmer)?
Auch ein Hijackthis-logfile würde unter Umständen helfen...
Aber vor dem Durchlauf die Exe umbenennen...Hijackthis macht in letzter Zeit viele Fehler....
Aus deinem TCP.View geht klar hervor,das ein Backdoor am Lauschen ist....
Ich würde ein Neuaufsetzen in Betracht ziehen,bzw.sofort damit beginnen.....
Sir Reklov
Hallo,
Bringt netstat -ano etwas zusammen mit tasklist /M etwas mehr Aufschluss über die Quelle der Verbindungsversuche?
Wurde ein Rootkitscanner eingesetzt (z.B. Blacklight oder Gmer)?
Auch ein Hijackthis-logfile würde unter Umständen helfen...
Aber vor dem Durchlauf die Exe umbenennen...Hijackthis macht in letzter Zeit viele Fehler....
Aus deinem TCP.View geht klar hervor,das ein Backdoor am Lauschen ist....
Ich würde ein Neuaufsetzen in Betracht ziehen,bzw.sofort damit beginnen.....
Sir Reklov
Also das dieser Shangxing Verbindungsversuche startet, ist mir völlig neu. Wo erliest Du diese Info?
Also laut dem von Dir empfohlenen Blacklight-Scan ist mein System sauber. Auch AdAware und Spybot Search&Destroy, sowie der Virenscan von Symantec und meinem AVK von GData haben Alarm geschlagen.
Nun, wenn Du bitte so nett sein könntest, und Dir meinen aktuellen TCP-View anschauen kannst, und mir sagst, wie der Prozess heisst, den der Backdoor-Trojaner (wenn er noch da ist) auslöst? Auch ein akuelles Logfile via Hijackthis hätte ich da noch zu Deiner Orienierung. Wäre echt sehr nett, wenn Du noch mal rüberschauen könntest. Danke!
A) TCP-View:
alg.exe:2100 TCP volkswirt:1025 volkswirt:0 LISTENING
AVKProxy.exe:404 TCP volkswirt:32321 volkswirt:0 LISTENING
firefox.exe:2152 TCP volkswirt:1079 localhost:1080 ESTABLISHED
firefox.exe:2152 TCP volkswirt:1080 localhost:1079 ESTABLISHED
firefox.exe:2152 TCP volkswirt:1081 localhost:1082 ESTABLISHED
firefox.exe:2152 TCP volkswirt:1082 localhost:1081 ESTABLISHED
firefox.exe:2152 TCP volkswirt:1477 mu-in-f164.google.com:http ESTABLISHED
firefox.exe:2152 TCP volkswirt:1478 mu-in-f164.google.com:http ESTABLISHED
firefox.exe:2152 TCP volkswirt:1480 mg-in-f147.google.com:http ESTABLISHED
firefox.exe:2152 TCP volkswirt:1649 localhost:25501 SYN_SENT
jusched.exe:552 TCP volkswirt:1110 72.5.124.55:http CLOSE_WAIT
jusched.exe:552 TCP volkswirt:1114 195.145.9.159:http CLOSE_WAIT
lsass.exe:652 UDP volkswirt:isakmp *:*
lsass.exe:652 UDP volkswirt:4500 *:*
svchost.exe:1004 UDP volkswirt:1093 *:*
svchost.exe:1004 UDP volkswirt:1062 *:*
svchost.exe:1004 UDP volkswirt:1061 *:*
svchost.exe:1004 UDP volkswirt:1064 *:*
svchost.exe:1004 UDP volkswirt:1095 *:*
svchost.exe:1116 UDP volkswirt:1900 *:*
svchost.exe:1116 UDP volkswirt:1900 *:*
svchost.exe:1116 UDP volkswirt:1900 *:*
svchost.exe:884 TCP volkswirt:epmap volkswirt:0 LISTENING
svchost.exe:940 TCP volkswirt:netbios-ssn volkswirt:0 LISTENING
svchost.exe:940 UDP volkswirt:1040 *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:netbios-ns *:*
svchost.exe:940 UDP volkswirt:netbios-dgm *:*
System:4 TCP volkswirt:microsoft-ds volkswirt:0 LISTENING
System:4 TCP volkswirt:netbios-ssn volkswirt:0 LISTENING
System:4 UDP volkswirt:microsoft-ds *:*
System:4 UDP volkswirt:netbios-dgm *:*
System:4 UDP volkswirt:netbios-ns *:*
thunderbird.exe:1080 TCP volkswirt:1076 localhost:1077 ESTABLISHED
thunderbird.exe:1080 TCP volkswirt:1077 localhost:1076 ESTABLISHED
Ende
_______________________________
B) Hijackthis-Logfile
Logfile of HijackThis v1.99.1
Scan saved at 11:10:28, on 04.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis.exe.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - c:\programme\steganos internet anonym 2006\sia2006iep.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164813191328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7668D4FD-B347-4A4F-A687-DDA9EBCFE5B1}: NameServer = 217.237.151.205 217.237.148.70
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Stealth Service Helper (StealthInjectorService) - Softwareentwicklung Remus - C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
Hallo,
das hier hat für Irritationen gesorgt :
Zitat
System:4 TCP volkswirt:microsoft-ds volkswirt:0 LISTENING
System:4 TCP volkswirt:netbios-ssn volkswirt:0 LISTENING
System:4 UDP volkswirt:microsoft-ds *:*
System:4 UDP volkswirt:netbios-dgm *:*
System:4 UDP volkswirt:netbios-ns *:*
Das hier hat aber für Aufklärung gesorgt :
Zitat
C:\Programme\VIA\RAID\raid_tool.exe
Du hast also einen Raidverbund.Welcher Raid O oder Raid 1
Wieviele Systeme hängen denn da zusammen ?
Eigentlich sollte es System 1 UDP volkswirt......heißen
Dieser Shangxing startet von sich aus keine Verbindungsversuche,da habe ich mich falsch ausgedrückt.
Der lauscht/listening an Port 8181.Er wartet sozusagen auf Befehle....
Zitat
und mir sagst, wie der Prozess heisstGeht so einfach nicht...
Er könnte beispielsweise in einem der UDP oder TCP Protokolle von sychost exe sitzen.
Deshalb mein Vorschlag mit dem "netstat" Befehl ...
Zitat
Auch AdAware und Spybot Search&Destroy, sowie der Virenscan von Symantec und meinem AVK von GData haben Alarm geschlagen.
Poste diese Meldungen im Wortlaut !
Sir Reklov
Hallo,
das hier hat für Irritationen gesorgt :
Das hier hat aber für Aufklärung gesorgt :
Du hast also einen Raidverbund.Welcher Raid O oder Raid 1
Wieviele Systeme hängen denn da zusammen ?
Eigentlich sollte es System 1 UDP volkswirt......heißen
Dieser Shangxing startet von sich aus keine Verbindungsversuche,da habe ich mich falsch ausgedrückt.
Der lauscht/listening an Port 8181.Er wartet sozusagen auf Befehle....
Geht so einfach nicht...
Er könnte beispielsweise in einem der UDP oder TCP Protokolle von sychost exe sitzen.
Deshalb mein Vorschlag mit dem "netstat" Befehl ...
Poste diese Meldungen im Wortlaut !
Sir Reklov
Hi,
muss mal aufklären, dass ich mich bei folgendem Satz das nicht vergessen habe: "Auch AdAware und Spybot Search&Destroy, sowie der Virenscan von Symantec und meinem AVK von GData haben nicht Alarm geschlagen." Auch ein erneuter eScan hat keine Probleme mehr gezeigt. Ich spare mir daher den Post der Logs. Da wundert es mich jetzt kolosal, dass der Shangxing noch am zuhören sein soll
Nun gut, vielleicht kannst Du mir ja erklären, wie ich den Port 8181 schliesse. Ich nutze GData2007, und weiss wie das geht, doch finde ich in der Auswahlliste der Ports dort keinen 8181. Es gibt wohl die Nr. 81, und überhaupt jede Menge 800er, aber wo ist bitte 8181??? Oder kann ich den auch manuell eingeben?
Das ich einen Raidverbund habe, wusste ich noch gar nicht. Ich habe diesen einen PC mit dem Namen "Volksiwirt". Allerdings weiss ich, dass ich ein "ViaRaid Tool" installiert habe. Zudem musste ich jede Menge tricksen, um dem System mein DSL-Modem (AT-AR215) zu verkaufen. Habe auch die Dauermeldung "eingeschränkte oder keine Konnektivität" bei LAN-Verbindung 2. Aber es funktioniert irgendwie...
Zu guter letzt bräuchte ich noch mehr Infos dazu, wie ich den "netstat"-Befehl ausführe bzw. das Fenster "fixiere". Es öffnet sich also ein DOS-Fenster, Zeilen rasen für zwei Sekunden über den Monitor, und dann ist das Fenster auch schon wieder weg. Somit kann ich da nichts lesen ???
Ich danke Dir vielmals, und wünsche ein schönes WE weiterhin!
BG
Herm
Hallo,
zum Thema Raid-Verbund hier lesen :http://de.wikipedia.org/wiki/RAID-Verbund
Hast du nicht brauchst du nicht ?
Dann Raid Tool löschen.
Ein Großteil deiner Probleme mit langsam und so,dürfte daher kommen.....
Weiterer Tip:
Google mal nach : Windowsdienste abschalten
Du wirst Tips finden ,die dir helfen sollten...
Meine grundsätzliche Meinung bleibt aber nach wie vor diesselbe...
Bei einem Backdoortrojaner ist die absolute Gewissheit nur wieder herzustellen wenn eine saubere neuinstallation gemacht wird.
Dann kann man auch gleich unnötige exen weglassen... 
Die einem keinen Nutzen bringen und seltsame Meldungen fabrizieren...(raid tool)
Die "Konektitätsmeldung" wird von deinem Scanner produziert,der glaubt ein LAN-Netz überwachen zu müssen.
Da nun gar keines existiert,teilt er dir mit das es nicht funktioniert.... 
Das erhöht auch nur unnötig deine Bootzeit......
Windows erwartet nämlich die Zuteilung einer Nummer ,die nicht kommt.Dann "erfindet" Windows selbst eine und das braucht Zeit... 
Abhilfe ,wenn kein WLan existiertist bzw.kein Router verwendet wird :
Start > Systemsteuerung > Netzwerkverbindung > rechtsklick auf das Symbol "Lan-Verbindung> Eigenschaften
Unter "diese Verbindung verwendet folgende Elemente"
Alle Kaken rausnehmen,ausnahmslos !
Mit ok bestätigen und einen Neustart machen..
Danach staunen wie schnell so eine Kiste sein kann... 
Sir Reklov
Hi Sir Reklov,
sehr geil - vielen Dank für diese äusserst wertvolle Anleitung!
Tja, was mache ich mit diesem Shangxing nun? Neuaufsetzen, weil da evtl. noch ein Schädling mit "Risk-Level low" im System hockt?! Ein paar Wochen später habe ich womöglich wieder so ein Teilchen, und dann geht wieder dieser Kram los. Es ist nämlich gerade mal rund 6 Monate her, dass ich mein System neu aufsetzen musste. Es hat mich unzählige Stunden gekostet, bis ich wieder alle Programme auf dem Rechner hatte, und die Konfiguration wieder so individuell hingebogen habe. Als Angestellter in Vollzeit und Fernstudent fehlt mir da komplett die Zeit und der Nerv für, das wieder durchzustehen.
Nun will ich aber natürlich nicht riskieren, ein löchriges System zu haben, wo mal jeder so reinschnuppern kann. Aber welche Gefährdung kann denn da jetzt noch auf mich lauern? Also dieser Shangxing ist echt noch am mithören, ja? Ich häng noch mal unten einen TCP-View mit dran, ok?!
Ich weiss, ich bin anstrengend, aber könntest Du mir bitte noch kurz die Fragen bezüglich Port schliessen und netstat beantworten (s. letzter Thread)? Ich denke, dann bin ich auch bald durch mit der Nummer, und werde anderen helfen können, die ähnliches erleben. Danke!
Ciao
Herm
[System Process]:0 TCP volkswirt:3556 localhost:3555 TIME_WAIT
alg.exe:2180 TCP volkswirt:1028 volkswirt:0 LISTENING
AVKProxy.exe:296 TCP volkswirt:32321 volkswirt:0 LISTENING
firefox.exe:392 TCP volkswirt:3572 localhost:3573 ESTABLISHED
firefox.exe:392 TCP volkswirt:3573 localhost:3572 ESTABLISHED
firefox.exe:392 TCP volkswirt:3574 localhost:3575 ESTABLISHED
firefox.exe:392 TCP volkswirt:3575 localhost:3574 ESTABLISHED
lsass.exe:652 UDP volkswirt:isakmp *:*
lsass.exe:652 UDP volkswirt:4500 *:*
svchost.exe:1032 UDP volkswirt:1900 *:*
svchost.exe:1032 UDP volkswirt:1900 *:*
svchost.exe:1032 UDP volkswirt:1900 *:*
svchost.exe:884 TCP volkswirt:epmap volkswirt:0 LISTENING
svchost.exe:940 TCP volkswirt:netbios-ssn volkswirt:0 LISTENING
svchost.exe:940 UDP volkswirt:1040 *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:netbios-ns *:*
svchost.exe:940 UDP volkswirt:netbios-dgm *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:996 UDP volkswirt:1973 *:*
svchost.exe:996 UDP volkswirt:1972 *:*
svchost.exe:996 UDP volkswirt:2286 *:*
System:4 TCP volkswirt:microsoft-ds volkswirt:0 LISTENING
System:4 TCP volkswirt:netbios-ssn volkswirt:0 LISTENING
System:4 UDP volkswirt:microsoft-ds *:*
System:4 UDP volkswirt:netbios-dgm *:*
System:4 UDP volkswirt:netbios-ns *:*
Hallo,
"netstat" Befehl hat einige Variablen...guggst du hier :http://www.gcf.de/papers/netstat.txt
Hast du nach Windowsdienste abschalten schon gegoogelt ?
Dann dürfte dein TCP auch kleiner und handlicher werden.
Halt langsam....
Dein Backdoor würde an Port 8181 lauschen ob Befehle kommen,so laut Beschreibung.
Den an einem anderen Port lauschen zu lassen ist im Prinzip ein Kinderspiel.Ein paar Ports sind standardmäßig belegt.Alle anderen sind frei wählbar.Oberhalb einer gewissen Grenze greift eine Personalfirewall nicht mehr.
Ports schließt man besser,in dem man Dienste abstellt.Windows bringt in der Standardkonfiguration viele Anwendungen mit,die kein mensch wirklich braucht.
Von einem "offenen Port" spricht man wenn ein Dienst aufBefehle bzw.Ansprache wartet.Mit einer PersonalFirewall soll man das zudecken können.Das Problem dabei: derjenige der eine Anfrage stellt ob dieser oder jener Dienst bereit ist,bekommt durch die Firewall keine Antwort.Diese "Nichtantwort" ist aber für den Kenner gleichbedeudend mit "ich bin da aber die Firewall hält mir den Mund zu"
Eine PersonalFirewall jetzt auszutricksen gehört zu den Dingen die Könner im Halbschlaf machen....
Besser also ist es unnötige Dienste abzuschalten.Derjenige der dann einen Dienst anfragt bekommt eine sinngemäße Rückmeldung mit dem Inhalt "der Admin hats verboten" auf Protokollebene.Er weiß dann also das der angefragte Dienst nicht vorhanden ist.
Zitat
Nun will ich aber natürlich nicht riskieren, ein löchriges System zu haben, wo mal jeder so reinschnuppern kann. Aber welche Gefährdung kann denn da jetzt noch auf mich lauern?
Der Backdoor könnte einen anderen Port geöffnet haben.
Bei Tausend Möglichkeiten suchst du dir einen Wolf und findest vermutlich nix...
Das "Low Level Risk" bezieht sich übrigens auf die Masse der Verbreitung ,nicht auf die Gefährlichkeit.
Wird oft durcheinander gebracht.Es besteht ein "geringes Risiko" sich sowas einzufangen.
Risiken bestehen halt bei EBay und Online-Banking -Nutzern.....
Bisher scheint der Backdoor keine Befehle zu bekommen,zumindest ist nix derartiges bekannt...
Das könnte sich schon in den nächsten Minuten ändern....
Sollte ich sowas vorhaben,würde ich mir genau so einen Backdoor nehmen ,ein wenig frisieren und dann darauf vertrauen das alle lesen "Low Risk" und " keine Befehle aus dem Netz"
Ich will dir aber keine Angst mache.....
Es ist deine Kiste und du bist dafür verantwortlich....
Sir Reklov
Hi,
okay, ja, Du hast mich überredet - dann weiss ich schon, was ich an Pfingsten mache. System neu aufsetzen!
Oh Mann, wenn ich daran denke. Die ganzen Downloads der Programme und Updates aus dem Internet wird sogar mit DSL eine wahre Tantalusqual. Und danach wieder die Ordnerstruktur so zusammenwurschteln, wie vorher. Überhaupt die Musikbibliothek in iTunes wieder so organisieren wie ich es jetzt habe. Aaaaaaaaaaahhhhhhhhhhh - ich krieg die Krise!!!!!! Und mein Langenscheidt-Englisch-Tutorsystem fängt dann wieder bei Null an. Neee, das geht überhaupt nicht.
Könnte dieser Backdoor-Trojaner nicht wirklich schon vernichtet sein? Schliesslich habe ich doch mit allen Programmen, die mir so empfohlen wurden, gescannt, und keine Virenfunde mehr. Auch die Einträge in der Registry habe ich gefixt und vernichtet. Du erkennst aber die Aktivität eines Backdoors aus meinen hier geposteten Informationen heraus, richtig?! Blende aber bitte bei Deiner Analyse die Beiträge bis einschliesslich 02.05. bitte aus. Danach habe ich ja erst das Problem richtig angepackt, und reinigende Massnahmen, die auch wirken, umgesetzt.
So, wenn Du mir jetzt immer noch sagst, "da ist definitiv ein Backdoor" am lauschen, dann werde ich mein System plätten. Danke!
Beste Grüße
Herm
Hallo,
Zitat
wenn Du mir jetzt immer noch sagst, "da ist definitiv ein Backdoor" am lauschen,
Wenn das so einfach wäre,könnte ich mein Geld sehr viel leichter verdienen...
Du kannst davon ausgehen ,das ein Trojanerprogrammierer sein "Kind" nicht schon mit einem Namen der auffällt verrät....
Er wird vielmehr versuchen sein Baby dort unterzubringen,wo es keinen sofortigen Verdacht auslöst.
Zitat
lsass.exe:652 UDP volkswirt:isakmp *:*Hier wären also solche Möglichkeiten gegeben...
lsass.exe:652 UDP volkswirt:4500 *:*
svchost.exe:1032 UDP volkswirt:1900 *:*
svchost.exe:1032 UDP volkswirt:1900 *:*
svchost.exe:1032 UDP volkswirt:1900 *:*
svchost.exe:884 TCP volkswirt:epmap volkswirt:0 LISTENING
svchost.exe:940 TCP volkswirt:netbios-ssn volkswirt:0 LISTENING
svchost.exe:940 UDP volkswirt:1040 *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:940 UDP volkswirt:netbios-ns *:*
svchost.exe:940 UDP volkswirt:netbios-dgm *:*
svchost.exe:940 UDP volkswirt:ntp *:*
svchost.exe:996 UDP volkswirt:1973 *:*
svchost.exe:996 UDP volkswirt:1972 *:*
svchost.exe:996 UDP volkswirt:2286 *:*
Diese svchost.exen einem dahinter stehenden Dienst zuzuordnen ist eine Jagd nach der Stecknadel im Heuhaufen...
Ich behaupte auf keinen Fall ,daß ich einen Backdoor so sehen kann !!!
Es gibt verschieden Abstufungen von Malware(Schadcode) ein Backdoortrojaner ist die schlimmste Form.
Ein so komprommitiertes System genießt nicht mehr mein Vertrauen.Solch ein Betriebssystem mache ich platt und spiele es neu auf.Ohne jedes Wenn und Aber.....
Bei zwei Systempartitionen (C und D -wobei auf C nur das Betriebssystem ist und auf D alle Dateien die mir wichtig sind) und einem Image vom Betriebssystem das auf DVD gebrannt ,ist das eine Sache von geschätzten 20 Minuten...(wurde noch nie gebraucht
)Wichtige Daten kommen sowieso extern auf CD....
Zitat
Könnte dieser Backdoor-Trojaner nicht wirklich schon vernichtet sein?Natürlich wurde das "Boot" gefunden und vernichtet.
Wieviel "Seemänner" aber vorher ausstiegen sind und was die gemacht haben,vermag dir kein Scanner der Welt zu sagen.
Microsoft selbst sieht das ganz genau so übrigens...
Du könntest ja versuchsweise noch ein EScan machen.....
Aber den Pfingsten Termin würde ich trotzdem ins Auge fassen.....
Nicht ausführbare Dateien lassen sich vorher bequem auf CD brennen und dann aufs neue System rüberspielen.
Sir Reklov
Hi,
genau, ich werde mir Pfingsten mal ein Herz fassen, und mir die Arbeit des Neuaufsetzens machen. Ich kann es mir einfach nicht erlauben, ein kompromitiertes System zu riskieren.
Werde in jedem Fall, Deiner Praxis folgend, jetzt auch zwei Partitionen anlegen. Wobei ich ja dazu neige, mich bei der Gelgenheit mal in das Thema virtueller PC einzuarbeiten. U. a. in der Chip 05/07 wurde wieder darüber berichtet, und es scheint mir eine vernünftige Sache zu sein. Lt. einem Chip Artikel aus einer früheren Ausgabe ist man bei Nutzung des virtuellen PC´s noch am besten geschützt vor Attacken aus dem www. Wobei ich mich immer noch frage, wie dieser Shangxing überhaupt an Firewall und Virenscanner vorbei gekommen ist. Sehr ärgerlich!!!
So verspricht GData "Komplettschutz vor allen Gefahren aus dem Internet", und lässt sich diesen gut bezahlen. Aber die Viren-Erkennungsrate bei einem Test im Herbst ´06 lag für GData 2007, soweit ich mich entsinne, bei rund 85 %. Woran ich mich aber vor allem erinneren, ist die Tatsache, dass die Tester dem Securitypaket auch das Prädikat Ressourcenfresser zugeschrieben haben.
Nun gut, ich belasse es also erst mal bei dem Vorhaben einer Systemplättung, und hoffe auf ein anschliessend hoffentlich sicheres und schnelleres System!
Ciao
Herm
Hallo,
Zitat
Wobei ich mich immer noch frage, wie dieser Shangxing überhaupt an Firewall und Virenscanner vorbei gekommen ist. Sehr ärgerlich!!!Dafür warst du selbst zuständig.....
Wenn du eine Datei runterlädst,die eventuell noch gepackt ist,dann läßt sowohl der Scanner als auch die Firewall das Ding passieren.
Wer widerspricht auch gerne dem Boss ?
Schnell fliegt man dann raus und wird durch was anderes ersetzt...
Zitat
So verspricht GData "Komplettschutz vor allen Gefahren aus dem Internet", und lässt sich diesen gut bezahlen.
So wie alle Anderen auch....
Glaubst du das der "weiße Riese" tatsächlich weißer waschen kann, als alle Anderen ?
Warum glaubst du dann einem AV-Hersteller ?
Zitat
im Herbst ´06 lag für GData 2007, soweit ich mich entsinne, bei rund 85 %.Solche Testaktionen haben eine Halbwertszeit von Stunden...
Glaube nur dem Test den du selber dir hingebogen hast...
Zitat
Woran ich mich aber vor allem erinneren, ist die Tatsache, dass die Tester dem Securitypaket auch das Prädikat Ressourcenfresser zugeschrieben haben.So ein Computerheftchen lebt halt von den Anzeigen.Da sie clevererweise die verschiedenen AV-Hersteller anschreiben,daß ihr Produkt vorgestellt wird/getestet,kannst du die plötzliche Erscheinung von Anzeigen für das AV-Produkt recht gut verfolgen.
In dem Fall war die Werbung wohl nicht fett genug....
Ich habe schon Hefte gesehen,da hat dr Schreiberling den Werbeaufdruck von der Schachtel eins zu eins abgeschrieben...
Beide,Scanner wie Firewall haben prinzipbedingt große Schwächen und können niemals halten was sie versprechen...
Lege diese Seite zu deinen Favoriten :
http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html
Wenn du danach vorgehst und auch die weiterführenden Links und Tips beachtest,solltest du zukünftig um einiges sicherer, weil informierter, im Netz unterwegs sein.
Weiterer Lesestoff :
http://www.microsoft.com/germany/technet/datenbank/articles/900002.mspx
http://www.sides.de/checkliste.php
Damit solltest du weitgehendst ausgerüstet sein...
Sr Reklov
Ja, super Tips, die Du mir da geben kannst 
.
Trotzdem habe ich noch nicht aufgeben, und gerade mal mit den Netstat-Befehlen hantiert, was mich aber nicht wirklich weitergebracht hat, da ich die Ergebnisse nicht interpretieren kann.
Weiter habe ich mir "IceSword" runtergeladen, und mal meine Prozesse durchgeschaut. Ergebnis:
"Find hidden processes: 0".
Wobei ich aus einer Anleitung zu "IceSword" weiss, das dieses Tool keineswegs alle Rootkits erkennt, sondern fehlbar ist. Aber da ich auch schon nen anderen Rootkit-Scanner (ich mein Blacklight) vor ein paar Tagen drüber gejagt habe, sinds schon wieder zwei Programme mehr, die nichts gefunden haben.
Aber bitte, verzweifle jetzt nicht an mir - ich gebe mich halt nicht gerne geschlagen, und versuche noch ein bisschen den Trojaner zu entlarven. Pfingsten wird dann trotz allem wohl neu aufgesetzt.
Charmanten Abend!
Nunja,du weißt wie es steht....
Hat die Seite keine Klarheit gebracht über netstat ?
START > Ausführen > cmd
netstat -ano
Wenn Du die Ausgabe Speichern willst, nehme folgendes Komando:
netstat -ano > "%userprofile%\Desktop\netstat.log"
Die Ausgabe wird dann in die Datei netstat.log auf Deinem Desktop umgeleitet.
Wenn Du netstat mehrere Male ausführen willst und den Output von netstat immer an die gleiche Datei anhängen willst nehme folgendes Kommando:
netstat -ano >> "%userprofile%\Desktop\netstat.log"
Das ist die Seite zum Dienste abschalten mittels Scrpt-tausendfach bewährt.....
Dann dürfte dein "Verkehr" kleiner werden...
http://ntsvcfg.de/index.html#_config
Damit kannst du dann analysieren :
http://www.wireshark.org/
Have fun
Sir Reklov
na, das Programm wireshark habe ich mir jetzt mal angeschaut. Scheint aber echt was für Profis zu sein, was?! Auf jeden Fall nichts mehr für mich heute Abend. Werde morgen mal eine genaues Feedback und bestenfalls Resultate hier posten können.
Have more fun!
Herm
| « Nach neu install von Viren-Scanner keine Viren mehr | Wie entferne ich Spylocked » | ||
Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!
| Mehr Themen zu "shangxing BackDoor SOS"