socket de troje?

#1 hi @ll! habe mal ein port check durchgeführt und port 5000 ist offen. einer aus dem board (nämlich rherder, danke!!!!) meinte dass womüglich der trojan socket de troje sein kann. nun an euch virenspezies, mein hijackthislog:

Logfile of HijackThis v1.99.0
Scan saved at 18:06:02, on 24.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Dokumente und Einstellungen\Jimmy\Desktop\Dummies\Hacken für Dummies\Winzip 8.1 Deutsch\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\Dokumente und Einstellungen\Jimmy\Desktop\stinger.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Jimmy\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,powexch.exe
O4 - HKLM\..\Run: [xeccnfk] acmxoibq.exe autorun
O4 - HKLM\..\Run: [spic] xsgnepyl.exe autorun
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [PrivacyKeyboard] C:\Programme\PrivacyKeyboard\PrivacyKeyboard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ICQ 4.0.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: Windows Media Player.lnk = C:\Programme\Windows Media Player\wmplayer.exe
O4 - Global Startup: KeyLogger.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: WinZip Quick Pick.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{05DFB39D-EB85-4922-B0EB-8B2BEFF51295}: NameServer = 62.27.27.62 195.185.185.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{05DFB39D-EB85-4922-B0EB-8B2BEFF51295}: NameServer = 62.27.27.62 195.185.185.195
O20 - AppInit_DLLs:
O23 - Service: AntiVir Update - Unknown - C:\Programme\AVWinNT\AVWUPSRV.EXE (file missing)
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Tiny Personal Firewall - Unknown - C:\Dokumente und Einstellungen\Jimmy\Desktop\Dummies\Hacken für Dummies\Tiny Personal Firewall\persfw.exe (file missing)
O23 - Service: PrivacyKeyboard Service - Raytown Corporation LLC - C:\WINDOWS\System32\pksrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe



MfG J!M!

#2 Vermutlich kein socket de troje aber sonst einiges, was es zu fixen gilt.
http://www.hijackthis.de/logfiles/c7ea7f4d904b56499f6d05f3b25fa6d5.html

Eventuell lässt sich auch so dein Port 105 unter was sind das für ports??? erklären
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Port 5000 ist nur der Standard-Port von Socket de Troje, abgesehen davon nimmt den ohnehin keiner mehr her, der Trojaner ist out-of-date
In jedem einigermaßen guten Trojaner kann man die Ports manuell einstellen, nur Anfänger/Script Kiddies würden die Standardports der Trojaner benutzen. Hab ich mir mal sagen lassen

Versuch mal mit einem Programm wie TCPView oder ActivePorts nachzusehen, welcher Prozess am 5000-Port lauscht.
__________
Hab ich "NULL" gewählt?