Seid nahezu 48h sitze ich mit kurzer Unterbrechung vor dem Rechner und habe auch schon div. Neuinstallationen hinter mich gebracht.

Das Problem muß sich jetzt lösen lassen ... so geht das nicht weiter.

Basisinformationen zum Rechner und Software:

PC
AMD 1GHz
XPhome
SP1 + die Updates von Microsoft
Outpost 2.025...
Sophos 3.79 (jetzt auf Empf. Trial von Kaspersky)
Verbindung zum Internet: DSL
In Betrieb sind keine Messenger, Shareutillities etc ...


So begann alles:
In aller Routine setzte ich ca. alle 2 Monate das System neu auf. Kein Problem. Die Routine machts. Mit Viren, Trojanern etc... gab

es bis dato noch nie Probleme ... zumindest fielen diese nicht in meine Wahrnehmung. Vor ca. 3 1/2 Tagen habe ich das System erneut

aufgesetzt und erhalte keine Meldungen der Sec.Programme zwecks Trojaner etc... jedoch sehe ich in der Firewall unter Angriffen

Tausende in der Stunde ... jeweils eine andere IP. Nachdem ich mir das ein bischen näher angesehen habe und ich dachte, dass evtl.

jetzt mein System geh. wurde (hmmmm) habe ich das System erneut aufgesetzt und stelle bekomme von einem Freund den Tipp die

Batchfile "svc2kxp" zu installieren. Das war easy, einleuchtend und in der Aktivitätenliste von Outpost war auch nix mehr zu sehen.

Denkste: Hah ... da findet sich die "File" "System". Ein Vorgang der sich mit der rechten Maustaste nicht bedienen (beenden, konfig.

...) läßt.

Recherchen habe ergeben, dass es Trojaner gibt die hier fleißig am arbeiten sind. Die Auskünfte im Outpost Forum von Agnitum ist

rel. spärlich. Die Einträge sehen immer so aus:

Mein Internet
- Netzwerk-Aktivität
- Offene Ports
- system / Zeige Netzwerk-Aktivität
system
System
Lokale Adresse: localhost
Lokaler Port: 12032
Protokoll: GRE
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 0
Protokoll: RAWSOCKET
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 1025
Protokoll: TCP
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

oder

Mein Internet
- Netzwerk-Aktivität
System
Grund: System
Entfernte Adresse: z.B. 24.232.10.117
Protokoll: TCP oder auch mal UDP
Richtung: In Refused
Enterner Port: 62448 und alle anderen möglichen Zahlenkombinationen
Ereignis; Von Block Hacker IP After Attack, Block NetBIOS Traffic bis Reject Connection To Port Opened By System ... ist

alles dabei
Lokale Adresse: meine (denke ich doch)
Lokaler Port: MICROSOFT_DS, NETBIOS_DS, 6882, 3127, MY_SQL_S, 16100 und alle anderen möglichen Zahlen etc...
- Offene Ports
- system / Zeige Netzwerk-Aktivität
system
System
Lokale Adresse: localhost
Lokaler Port: 12032
Protokoll: GRE
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 0
Protokoll: RAWSOCKET
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

System
Lokale Adresse: localhost
Lokaler Port: 1025
Protokoll: TCP
Start-Zeit: 29.02.2004 17:27:54
End-Zeit: 1hour(s) 8 min(s) 18 sec(s)

Auf meinem System ist ebenso auch noch Winpatrol installiert. Als mir hier dieser "System"-Vorgang nicht gemeldet wurde und auch

nicht aufgezeigt wurde, bin ich etwas misstrauisch geworden. Auf der Suche nach weiterer det. Software bin ich dann auf die Versin

1.10 vom Security Task Manager gestoßen. Und siehe da: Er zeigt dieses "System"-Ding. Das sieht dann so aus:

Name: System
Bewertung: 32
CPU: 2% etc ... (es arbeitet)
RAM:
Datei: System (und nicht wie bei allen anderen Prozessen eben z.b: c:\Windows\system32\nvsvc32.exe oder so
Typ: Programm
Start: 01.01.1601 (DATUM) 01:00:00 (UHRZEIT)
Titel, Beschreibung:
Hersteller, Produkt: -

Weiter auf der Suche bin ich auf Trojanerdefinitionen gestoßen die sich hier übereinstimmend mit meiner "Diagnose" halten. Sophos,

AntiVir, Kaspersky etc ... haben nichts gefunden, Spybot-Search & Destroy hat ihn sogar in der upgedateten Datenbank ... findet aber

nix und diese Programme habe auch alle nix gefunden: a² free (a Squared 2), hijackthis, elbtecscan, Anti-Trojan 5.54, McAfee Avert

Stinger 2.04, F-Prot 3.14b, Cool Web Shredder 1.49, Ewido Security Suite 1.00, Trojan Check 6.02, Ad-aware, Spy Sweeper 2.20 ... .

Jetzt wird es aber erst richtig interessant: Als ich den Taskmanager öffner (der nat. diese "System"-File auch nicht anzeigt sehe

ich unter dem Reiter Netzwerk zwei Verbindungsfenster:

Adaptername: LAN-Verbindung
Netzwerkauslastung: 0 % (schwankt)
Übertragungsrate: 10 MBit/s
Status: In Betrieb

Adapername: Hansenet (mein Provider)
Netzwerkauslastung: 0% (schwankt)
Übertragungsrate 10MBit/s (stand auch zwischenzeitlich auf 30 MBit/S)
Statut: verbindung hergestellt

Ich habe ins. 6 Screenshot gemacht die auch optisch verdeutlichen, dass hier was nicht stimmt. Z.B. vom Taskmanager:

Adaptername: LAN-Verbindung
Netzwerkauslastung: 0 % (schwankt)
Übertragungsrate: 10 MBit/s
Status: Nicht in Betrieb

Adapername: LAN-Verbindung 2
Netzwerkauslastung: 0% (schwankt)
Übertragungsrate 30 MBit/s
Statut: In Betrieb

Outpost gibt mir dazu folgende Informationen:

Netzwerkadresse: 169.254.0.0 (255.255.0.0)
Bereich: Local
NetBIOS: Häckchen
Geschützt: kein Häckchen

und gleichzeitig unten drunter

Netzwerkadresse: 4.0.1.0 (255.255.255.255)
Bereich: Internet
NetBIOS: kein Häckchen
Geschützt: kein Häckchen

Dann wird dieser "System"-Vorgang auch mal wieder im Taskmanager angezeigt: mit einem Speicherverbrauch von 76 k.

Also: Ganz ehrlich gesagt: Ich komme mir erstens bekloppt vor mein Wochenende vor dem Rechner wegen diesem Scheiß zu verbringen. Ich

muß mit meinem PC arbeiten und kann es nicht. Zeitens brauche ich ernsthaft eine gute, schnelle und seriöse Hilfe. Ich weiß hier

nicht mehr weiter. Keine Ahnung.

Ich freue mich auf Feedback. Ich gehe jetzt duschen, lasse Kaspersky nochmal drüber laufen und schaue dann nochmal gleich ins Board

und hoffe auf Lösungen. Es nervt wirklich. Vielen Dank.

Vomwegzursonne

Sollte es möglich sein jemanden sehr Erfahrenen die Screenshot zukommen zulassen wäre ich auch dankbar.

Ehrlich gesagt verstehe ich Dein Problem nicht wirklich. Wahrscheinlich hast Du gar keins.

Wenn Du Dein System mit "sauberer" Software installierst und a) einen aktuellen Virenscanner (z. B. KAV benutzt) sowie b) unbenötigte Dienste unter WinXP schließt, dann kannst Du Dir sämtliche anderen Anstrengungen sparen.

WinXP-Dienste konfigurieren: http://www.ntsvcfg.de/

Der Rest Deiner Darstellung war wohl eher blinde Panik ... Ach ja, Outpost ist durchaus entbehrlich => nachdem Du die obigen Schritte vorgenommen hast!

Siehe bitte auch hier (den ersten Beitrag):
http://www.trojaner-board.de/forum/u...443;p=1#000001

Gruß!
MyThinkTank

Nun - so locker kann ich das jetzt nicht sehen. Die Ports über die ständig versucht Verbindungen herzustellen sind ja wie oben beschrieben: 1025 und 12032.

Der Zusammenhang zwischen den Vorgängen die vorher nie (!) da waren und zwischen Portdef. und Trojanern sind nicht ohne. Ich bin gestern Nacht hier drauf gestoßen:

port 1025
AcidkoR, BDDT, DataSpy Network X, Fraggle Rock , KiLo, MuSka52, NetSpy, Optix Pro , Paltalk, Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, RemoteNC
port 1025 (UDP)
KiLo, Optix Pro , Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, Yajing

Diese werden vereinzelt auch immer wieder mit diesem "System"-Vorgang gebracht.

port 12032 ebenfalls. Dort sind die Informationen jedoch nicht so detailiert.

Es kann ja nicht sein, wenn ich eben das von dir beschr. Tool "ordnungsgemäß" instl. habe, dass dieser Quatsch stattfindet. Ich kann schlichtweg nicht so lange arbeiten, bis das erledigt ist

Nachtrag: Die Sys.Performance geht gelegentlich auch in die Knie...

Hi,

port 1025 ist bei XP imho immer offen, wenn der Taskplanner nicht deaktiviert ist; es ist bei XP aber imho nicht ohne Probleme, wenn den abschaltet (RESTORE; prefetch..)

blockier die 2 ports doch einfach mit outpost, bzw poste mal ein log von HijackThis hier..

deine Passwörter sind sicher ? evtl mal wechseln bei Paranoia..

also du hast den totalen paranoia oder so! alle zwei monate system neu aufsetzen, ständig am trojanerwahn, die software die du da zum scannen schon installiert hast und was du sonst machst, geht das system einfach nur kaputt.
ich weis nicht wo man anfangen soll etwas zu erklären...es ist so, als hättest du seit heute erst das internet.

was du da gefunden hast:
port 1025
AcidkoR, BDDT, DataSpy Network X, Fraggle Rock , KiLo, MuSka52, NetSpy, Optix Pro , Paltalk, Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, RemoteNC
port 1025 (UDP)
KiLo, Optix Pro , Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, Yajing

das sind ganz einfach konsorten die dieses port bevorzugen wen/wann überhaupt...das hat nix mit einem angriff auf deinem rechner zu tun...

gruss
rock

edit: am besten du deinstallierst deine desktopfirewall!

Ihr scheint ja Recht zu haben. Im Netz bin ich seid mehr als 8 Jahren. Warum ich das System stets neu aufsetze ist eine Frage der Performance und der Erfahrungswerte. Egal. Gut, das die Ports die ich genannt habe gerne von Trojaner xy genutzt werden ist mir auch klar ... das ich sie anscheinend nicht habe auch. Panik mache ich da nicht. Ich will nur schlicht wissen warum das so ist. Das ist die Frage.

Die Screenshot würden es verdeutlichen. Bis zu 13tsd. "Angriffe" werden via diesen beiden Ports seit Tagen geloggt. Trotz das das System neu aufgesetzt war.

Ich habe im Outpost Forum jetzt auch zwei Threads gefunden die dieses Problem beschreiben, leider hören die dann einfach auf... sind wohl schon älter oder was weiß ich.

Der Punkt ist doch der. Es ist ganz normal wissen zu wollen was hier vor sich geht. Diese Einträge waren nie vorhanden. Trotz deaktiviertem Netbios ist eine LAN neben meiner Internetverbindung auf. Auf den besagten Ports wird von morgens bis abends wie blöd angeklopft etc ...

... dumm gefragt: Vielleicht versteht ihr es dann: Was ist das?

vomwegzusonne

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
Hi,

port 1025 ist bei XP imho immer offen, wenn der Taskplanner nicht deaktiviert ist; es ist bei XP aber imho nicht ohne Probleme, wenn den abschaltet (RESTORE; prefetch..)

blockier die 2 ports doch einfach mit outpost, bzw poste mal ein log von HijackThis hier..

deine Passwörter sind sicher ? evtl mal wechseln bei Paranoia.. </font>[/QUOTE]danke. hier die HijackThis Log:

Logfile of HijackThis v1.97.7 Scan saved at 21:04:35, on 29.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\aaksrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Advanced Anti Keylogger\aak.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINDOWS\System32\Tablet.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Opera7\Opera.exe E:\hijackthis1977\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AAK] C:\Programme\Advanced Anti Keylogger\aak.exe /silent O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...045.6392361111 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5B02741A-017A-4DCE-BD3C-291F842167DF}: NameServer = 213.191.74.18 213.191.74.19

sieht nicht nach viren/trojanern aus.

gruss
rock

edit:wenn du acht jahre schon im internet bist, und dass da alle 2 monate komplett neu das system aufsetzt wird glaub ich nicht ganz, aber wenn du es sagst...

hi,

sorry, aber noch unübersichtlicher hättest du das log nicht machen können oder?
das ist ja nur fummelarbeit bei dir!
bitte ordne dein log mal neu und stell es erneut rein.

danke.

</font><blockquote>Zitat:</font><hr />Original erstellt von mav1976:
hi,

sorry, aber noch unübersichtlicher hättest du das log nicht machen können oder?
das ist ja nur fummelarbeit bei dir!
bitte ordne dein log mal neu und stell es erneut rein.

danke. </font>[/QUOTE]sorry ...

Logfile of HijackThis v1.97.7
Scan saved at 21:04:35, on 29.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\aaksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Advanced Anti Keylogger\aak.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera7\Opera.exe
E:\hijackthis1977\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AAK] C:\Programme\Advanced Anti Keylogger\aak.exe /silent
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...045.6392361111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B02741A-017A-4DCE-BD3C-291F842167DF}: NameServer = 213.191.74.18 213.191.74.19

</font><blockquote>Zitat:</font><hr />
port 1025 ist bei XP imho immer offen, wenn der Taskplanner nicht deaktiviert ist....
</font>[/QUOTE]
...er ist IMMER offen, ohne Wenn und Aber . Hier klicken
</font><blockquote>Zitat:</font><hr />
...blockier die 2 ports doch einfach mit outpost....
</font>[/QUOTE]...Port 1025 kannst du mit keiner DFW blockieren (s.o.)

Hi Rene,

beziehen sich deine 2 o.g. statements nur auf XP ?

ich bekomme auf Win2k-SP4 (mit/ohne DFW) von

grc.com: port 1025 stealthed/closed

a2: geschlossen/geschlossen
(bei a2 gibt's wohl keinen unterschied zwischen closed/stealthed; will aber keine neue Diskussion lostreten über Sinn/Unsinn von Closed vs. Stealth)

pcflank (TCP connect&SYN): 1025 stealthed/closed

Oder geht's um UDP ?

Aber auch active Ports 1.3 zeigt mir 1025 nicht an..
(Taskplanner auf manuell)

Kerio 2.1.5 zeigt - falls aktiv - natürlich die Verbindungsversuche auf 1025 TCP in an, und blockt sie auch; wieso sollte das unter XP nicht auch gehen ??


Mir ist nicht klar, woher du aus o.g Links oder sonstwo deine Schlüsse ziehst

HAI Who
</font><blockquote>Zitat:</font><hr />
beziehen sich deine 2 o.g. statements nur auf XP ? </font>[/QUOTE]AFAIK-ja.

Und wieso sollte man da Port 1025 nicht mit ner PFW inbound sperren können ?
sollte da irgendwas nicht mehr gehen ?