Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524

FTP99CMP · 22.08.2007, 14:42

Hi,

eigentlich wollte ich schon mein BIOS flashen, Windows neuinstallieren und schlimmeres, weil ich einfach nicht mehr weiterkam mit meinem Problem.

Sobald irgend ein Browser geöffnet ist und für ein paar Sekunden läuft friert der PC ein, Standbild, kein Taskman, kein Piepen, nur Resetten geht nocht.

Habe tagelang überprüft ob irgendwelche Treiberleichen herumschwirren, ob der PC temperaturmäßig gut läuft, ob evtl. Autostarts das Problem verursachen und und und...

Dann heute bekam ich sofort nach der Einwahl ins Netzt einen Bluescreen (WIN XP) und der sagte mir etwas von wegen "Driver_IRQ" blabla... Ich habe also danach gegoogelt und gelesen, dass diese Meldung unter anderem vorkommt, wenn ein PC von zuvielen Verbindungen auf einmal "gefloodet" wird.

Aha, das hört sich nach einem Wurm oder einer DDos Attacke an, also habe ich mal mit HiJackFree von a² gesucht und nichts auffälliges gefunden, bis auf die 3 bedrohlichen offenen Ports, habe auch nach Rootkits gesucht und mit 5 verschiedenen Scannern nach Viren und Trojanern...

Also hier mal die Ergebnisse:
a-squared HiJackFree Analysis

So, das seht ihr die 3 offenen Ports, eine DDos Attacke wäre darüber anscheinend möglich.

Btw. falls ihr euch wundert warum ich diesen langen Text schreiben kann, ohne das mein PC 5x eingefroren ist, ich habe sämtliche Firewallregeln gelöscht und nur die 5 zugelassen, die ich dafür brauche um hier einen Thread zu erstellen, bisher keine Abstürze, was aber nichts heißt, an manchen Tagen llief der PC auch bis zu 20 Min ohne Absturz...

Ich bin kein absoluter Anfänger, Firewall und Leak Tests auf meinem PC laufen immer gut ab, unnötige Ports sind zu, XP AntiSpy usw. hab ich acuh.

Aber ich finde einfach nicht die Würmer, bzw. ich hab keine Ahnung, wie ich die Ports schließen kann oder was ich noch tun kann.

Habe grundsätzlich immer alle Updates usw. auf dem neuesten Stand, natürlich habe ich recht viele Programme auf meinem PC, aber dadruch dass der Absturz nur kommt, wenn ein Browser geöffnet ist, können die es ja schonmal nicht in Schuld sein.

----

Also muss ich jetzt tatsächlich meinen PC neuinstallieren ? Früher hatte ich BitDefender und an dem Tag, an dem ich zu den kostenlosen Programmen Avast (für Viren) und Jetico (Firewall) umgestiegen bin, die angeblich sehr gut sind, gingen die Probleme los.

BitDefender will ich mir nicht nochmal kaufen, weil das Programm recht aggressiv ist und viele Probleme wie verzögertem Booten oder schlechte Darstellung von Internetseiten mit sich brachte...

Hier noch die HijackThis Logs:
Die Programme DS Sidebar, YZ Shadow und UberIcon sind kein Trojaner! Das gehört zum BriCoPack ( Download BricoPack Vista Inspirat Ultimate 2 on CrystalXP.net - Shell Packs ) und tut keinem weh...

http://www.2-mb.de/f/vy63cdugebarlvhxhfcn35k0dj.txt
http://www.2-mb.de/f/42r8p86illiab5ayqexl50rcvh.txt

Sorry, der Uploader erlaubt keine .txt files...

Ich mach einfach einen Doppelpost, damit ihr nicht die Übersicht verliert...

FTP99CMP · 22.08.2007, 14:54

Logfile of HijackThis v1.99.1
Scan saved at 15:42:51, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\miranda-im-v0.4.0.3\Aktuelles Miranda\miranda32.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\Symbolleiste\Cleanup Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C871207D-F7E0-46F3-99C0-FD3E8F5460BB}: NameServer = 217.237.151.205 217.237.148.70
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: KNZMOH - Unknown owner - C:\DOKUME~1\HomePC\LOKALE~1\Temp\KNZMOH.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

-------------------
-------------------
-------------------

StartupList report, 22.08.2007, 15:43:24
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\Symbolleiste\Cleanup Tools\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16512)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\miranda-im-v0.4.0.3\Aktuelles Miranda\miranda32.exe
C:\Dokumente und Einstellungen\HomePC\Eigene Dateien\Symbolleiste\Cleanup Tools\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\HomePC\Startmenü\Programme\Autostart]
RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

JeticoPFStartup = "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
avast! = "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
StartCCC = C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
SIDEBAR = "C:\Programme\Desktop Sidebar\dsidebar.exe"
RocketDock = "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Idea2 SidebarBrowserMonitor Class - C:\Programme\Desktop Sidebar\sbhelp.dll - {45AD732C-2CE2-4666-B366-B2214AD57A49}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = C:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\HomePC\LOKALE~1\Temp\_iu14D2N.tmp|||A

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 5.995 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

FTP99CMP · 23.08.2007, 20:26

Öhh, ich könnte etwas Hilfe echt gut gebrauchen ?

Hallo ? Forum ?

.::|||::. · 23.08.2007, 20:52

Aus deinem Namen schliesse ich, dass du herausgefunden hast, welche Trojaner die Ports benutzen:

Zitat:

Port 1492:
FTP99CMP, Back.Orifice.FTP (TCP)
Port 1509:
Psyber Streaming Server (TCP)
Port 1524:
Trin00 (DDoS) (TCP)

Da wird man fündig, ich glaube auch, das DDos-Attacken auf dich ausgeführt werden!
Psyber Streaming Server, Back.Orifice.FTP sind Remote-Administrationstools (Rats) mit Backdooreigenschaften!
Ausserdem hast du noch Spyware und evt. ein Rootkit!
Für mich macht eine bereinigung keinen Sinn, es tut mir Leid, mache dich ans Neuafsetzen (siehe Signatur).
Mfg

FTP99CMP · 23.08.2007, 22:37

Oh, so negativ ist meine Einstellung eigentlich nicht. Ich habe die Firewall gewechselt und nutze nun COMODO, der Portscan hat keine bösen Ports mehr gefunden, und es friert auch nichts mehr ein.

Wenn ich jetzt noch irgendwelche Würmer habe, dann kann man sie wirklich nicht lokalisieren und vermutlich nützt das auch nichts.

Habe auch nochmal Bitdefender installiert, der hat 2 Trojaner entfernt.

Etwas Grundsätzliches:
Die Ports die da angezeigt werden, KÖNNEN missbraucht werden, aber es muss nicht sein.

Beim Neuaufsetzen würde mein PC ja sofort wieder befallen, noch sicherer kann man als "NICHT VOLL CRACK" seinen PC kaum machen.

.::|||::. · 24.08.2007, 08:14

Zitat:

Etwas Grundsätzliches:
Die Ports die da angezeigt werden, KÖNNEN missbraucht werden, aber es muss nicht sein.

Nehmen wir den Port 1524 welcher von Trin00 genutzt wird, welcher nur darauf aus ist DDos-Attacken auszuführen. Nun meldet dein System sehr viele DDos-Attacken auf eben diesem Port. Ist es da nicht offensichtlich, das Trin00 aktiv ist/war?
Du weisst nicht, welche Hintertürchen noch von den Backdoors geöffnet wurden, welche Informationen man schon uüber dich hat aber du kommst damit ja offensichtlich klar!
Du weisst ja was du tust!
Mein Rat bleibt derselbe!
Mfg

Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524

Plagegeister aller Art und deren Bekämpfung: Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524