Hallo!

Heute ist mir aufgefallen, dass meine firewall (Kerio) ständig Pakete blockiert, die als "BACKDOOR trojan active" und "successful-user" (also kein einfacher scan) gekennzeichnet sind. Danach steht dann entweder deltasource, millennium, aimspy, theprayer1, silencer-webex-doly, Whackjob, Thething oder andere...
Mein aktuell gehaltener Symantec AntiVir findet allerdings keine Trojaner auf meinem System und ich wüsste auch nicht, wo ich mir welche eingefangen haben soll.
Ich habe in der XP-Systemwiederherstellung geschaut, was ich an dem Tag installiert habe, an dem die erste Meldung eingetragen ist, und da steht:

"software distribution service 2.0"

Laut google kommt das evtl. vom WindowsUpdate v5.

Hat jemand eine Idee, was das sein könnte und wichiger noch: was ich dagegen machen kann?

Vielen Dank!

Sind es eingehende Anfragen? Wieso sind das keine Scans (ich weiss leider nicht, was "successful user" genau bedeutet)?
Über das Windows-Update hast du dir sicher keien Trojaner eingefangen, wenn du ein internes Netzwerk hast solltest du höchstens mal nachsehen, ob die Datei und Druckerfreigabe bei der XP-Firewall als "Ausnahme" markiert ist, da gab es einige Konfusion.

Ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Vielleicht wird das automatische Windowsupdate so "interpretiert". Schalte mal über "Sicherheitscenter" => "Automatische Updates" => "automatische Updates deaktivieren" dieses aus (dort HAKERL SETZEN) und harre der Dinge

Vielleicht hat sichs schon erledigt. Hatte wohl jemand am Router das UPnP angeschaltet, was ein Durchkommen der Trojaneranfragen zu meinem Rechner erklären könnte (kann ich nicht wirklich einschätzen, hört sich aber logisch an ). Seit ichs abgeschaltet habe, kam keine Attacke mehr...
Falls doch, erstatte ich gleich Meldung
Vielen Dank trotzdem für die Hilfe!

Hi,

ich hab das gleiche Problem, wie Armalion, allerdings bin ich DSL-User, habe also keinen Router. Bei mir kommt im Kerio-Log immer die Meldung: "BACKDOOR trojan active deltasource", Quellen sin immer verschiedene Websites, Angriffsklasse :succesful user, Priorität: high. Er tuts zwar immer blocken, aber könnte es sein, dass die Backdoor bei mir schon drauf is? Könnt ihr mir weiterhelfen?

Thx im Vorraus and "Take it easy"

Zitat:

Zitat von Take it easy!

ich hab das gleiche Problem, wie Armalion, allerdings bin ich DSL-User, habe also keinen Router.

wow

Zitat:

Zitat von Take it easy!

and "Take it easy"

Geht nicht, ich nehme keine Drogen die dies egalisieren.

Bitte ein Log erstellen, siehe oben. Ohne nähere Informationen über den Rechner können wir nur herumraten.

Hast Du BitTorrent? Das wäre nämlich die Antwort.
Das habe ich im Kerio-Forum gefunden:

... Yes, Kerio 4.1 has been ascribing a lot of my BitTorrent activity to "Backdoor Deltasource" since I upgraded it which slows BT down considerably but doesn't stop it all together ...

http://forums.kerio.com/index.php?t=...9097869a8c5d0a

Erst mal der Hijack-Log:


Logfile of HijackThis v1.98.0
Scan saved at 22:35:11, on 12.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.6\Desktopprogramm ver.1.6.exe
C:\WINDOWS\System32\ups.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\T-Online\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\Winamp\winamp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Mozilla Firebird\firefox.exe
D:\Programme\Hijack 1.98\HijackThis.exe

O1 - Hosts: die von Microsoft TCP/IP
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [InstantAccess] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Personal 5.0\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQ 4.0\ICQLite.exe -trayboot
O4 - Startup: Desktopprogramm ver.1.6.lnk = D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.6\Desktopprogramm ver.1.6.exe
O4 - Startup: ICQ 4.0.lnk = D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
O4 - Startup: Kräftigungswecker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://D:\DigiC\Temp\MGI00000.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1089322130125
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.161 217.237.151.33



Ja, ich habe Azureus (used Bittorrent Client), das dürfte wohl die Antwort gewesen sein. Herzlichen Dank.

Wegen 'Take it easy!', mir is kein gescheiter Name eingefallen, außerdem wollt ich nich schon wieder meine Standardnamen usen.
Ich will stark betonen, dass ich weder Drogen noch Zigaretten jemals angefasst hab. Nebenbei euer "pfui-Smilie" funzt nicht... .

Ich kann sonst auf Anhieb nichts Gefährliches entdecken-

wow, ihr seid schnell mein post 22:46, Mountains 22:49. Thx für die Info :aplaus:
:aplaus::aplaus: