|
Hallo, ich hab hier ein Laptop einer Kollegin das ich überprüfen und absichern soll. Mal davon abgesehen das ich ein rundes Dutzend Würmer, Backdoors, Trojaner und Dialer gefunden und gelöscht hab und XP nächste Woche plattmachen werde hätte ich doch gern vorher ein Problem gelöst das mich beschäftigt( der Information halber). Ein Portscan ergab das Port 251 offen ist( nicht nur lokal), Active Ports gibt die svchost.exe als Verantwortlichen an, der ProzessExplorer zeigt Einträge der wingmt, wkssvc, svcctl, keysvc, ndiswan, ndistapi und diverses anderes Zeugs das ich nicht verstehe. Hab alle Dienste die ich konnte beendet aber Port 251 bleibt offen. Ich kann mit Active Ports diese svchost.exe schadlos beenden aber nach Neustart ist sie wieder da. Google bringt nix brauchbares deshalb meine Frage an die hellen Köpfe hier - welcher Prozess öffnet Port 251 und wie krieg ich den beendet? hyrican |
|
Danke für den Link aber prinzipiell ist das Script ja nichts anderes als die automatische Umsetzung der Kaune-Anleitung. Die hab ich schon durch, die gängigen Ports sind dicht, nur der 251er( der in der Anleitung nicht aufgeführt ist und den ich übrigens bisher noch nirgends offen fand)ist offen. Auch der Link zum *.pdf( übrigens sehr interessant, druck ich mir grad aus) bringt leider keine spezifische Zuordnung des Ports zu einem Windowsdienst. Mittlerweile nehme ich an das irgendeiner der Schädling da etwas manipuliert hat und unter dem Deckmantel eines Systemdienstes den Port offen hält. hyrican |
|
</font><blockquote>Zitat:</font><hr />Original erstellt von hyrican: ... Active Ports gibt die svchost.exe als Verantwortlichen an,... </font>[/QUOTE]*grins* hyrican |
Soweit schon klar, die svchost.ee ist aber für mehrere Dienste zuständig, welche durch das Starten dieser Datei mit einigen Parametern den entsprechenden Dienst hochfahren. Ich dachte halt, ActivePorts gibt dir den genauen Prozessnamen an... nunja. ;) ciao |
Der Port 251 sollte standardmäßig nicht offen sein, auch nicht durch die svchost.exe. Wenn du die diversen Dienste deaktiviert hast, geh davon aus, daß der PC kompromittiert ist und sich eine Schadsoftware in die svchost "eingeklinkt" hat. Sowas ist möglich. HTH, docprantl |
</font><blockquote>Zitat:</font><hr />Original erstellt von docprantl: ... geh davon aus, daß der PC kompromittiert ist und sich eine Schadsoftware in die svchost "eingeklinkt" hat. docprantl </font>[/QUOTE]Jo, in diese Richtung gingen meine Gedanken auch. Hatte zwar gehofft durch den ProzessExplorer den Dienst genauer lokalisieren zu können( tasklist/svc|more geht ja bei Home nicht) aber auch dort fand ich nichts wirklich interessantes, eigentlich nur bekannte Windowsdingelchen. Deshalb dacht ich das jemand eine genaue Zuordnung der Windowsdienste zu den einzelnen Ports hat( so sie denn fest vergeben sind) womit ich dann versucht hätte den entsprechenden Dienst zu beenden um zu sehen was passiert. Naja, macht nüscht, plattmachen hatte ich eh vor. Besonderes merci für den Versuch der Hilfe an CyberFred und natürlich auch an docprantl für die Bestätigung der Theorie. hyrican |
In diesem Thread ist das Thema auch behandelt worden. Vielleicht hilft es ja weiter, insbesondere die letzte Nachricht vom Autor bzgl. TapiSrv. Gruß Tiber |
Danke, das hat geholfen. Ich gehe jetzt von einer Veränderung durch einen Dialer aus( hab nämlich auch einen solchen gefunden). Neugier gestillt, nu kann ich beruhigt formatieren. Thanks a lot. hyrican |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board