Trojanerinfektion?

#1 Hallo,
bräuchte dringend ein wenig Hilfe. Habe gestern ein "SSL-Tool'" installiert.
Nachdem ich dieses Programm ausgeführt habe, werde ich "bombardiert".

Habe es natürlich wieder deinstalliert und gelöscht, nur seitdem steht meine I-Net Verbindung auf Dauerbetrieb (Symbolleistenicon) und meine FW läuft heiß.
Es geht ein paar Sekunden nachdem ich mich ins I-Net eingewählt habe los.

Habe mit TrojanHunter meine gesammte Platte gescannt und auch mit AV Software. Nix gefunden.

Ich würde gerne meine FW Log der letzten 10 Minuten posten aber dann wär alles vorbei. Würde sich jemand bereit erklären sich meine Log mal anzuschauen der davon Ahnung hat, und mir sagt was hier los ist? Würd sie per E-Mail oder so schicken.

Hier ein kurzer Auszug:

20:56:48 SYSTEM UDP 217.235.26.86 4672 Reject Connection To Port Opened By System
20:56:48 SYSTEM TCP 80.140.111.133 33506 Reject Connection To Port Opened By System
20:56:48 SYSTEM TCP 80.138.127.91 3096 Reject Connection To Port Opened By System
20:56:47 SYSTEM TCP 217.230.46.234 33066 Reject Connection To Port Opened By System
20:56:47 SYSTEM TCP 80.132.139.136 62601 Reject Connection To Port Opened By System
20:56:46 SYSTEM TCP 172.176.185.208 3282 Reject Connection To Port Opened By System
20:56:46 SYSTEM TCP 217.5.73.138 33165 Reject Connection To Port Opened By System
20:56:46 SYSTEM TCP 80.133.22.110 3916 Reject Connection To Port Opened By System
20:56:46 SYSTEM TCP 80.132.253.235 4858 Reject Connection To Port Opened By System
20:56:46 SYSTEM TCP 217.228.165.11 2509 Reject Connection To Port Opened By System
20:56:46 SYSTEM TCP 80.144.80.144 4101 Reject Connection To Port Opened By System
20:56:45 SYSTEM TCP 80.128.210.235 4561 Reject Connection To Port Opened By System
20:56:45 SYSTEM TCP 80.135.209.45 61132 Reject Connection To Port Opened By System
20:56:45 SYSTEM UDP 217.225.22.207 4672 Reject Connection To Port Opened By System
20:56:45 SYSTEM TCP 213.157.5.177 4687 Reject Connection To Port Opened By System
20:56:45 SYSTEM UDP 82.82.249.13 4672 Reject Connection To Port Opened By System
20:56:45 SYSTEM TCP 172.180.202.80 1175 Reject Connection To Port Opened By System
20:56:44 SYSTEM TCP 80.128.122.242 4518 Reject Connection To Port Opened By System
20:56:44 SYSTEM UDP 217.230.67.111 4672 Reject Connection To Port Opened By System
20:56:44 SYSTEM UDP 217.233.93.231 4672 Reject Connection To Port Opened By System
20:56:43 SYSTEM TCP 213.54.166.153 3896 Reject Connection To Port Opened By System
20:56:43 SYSTEM TCP 62.178.100.112 2563 Reject Connection To Port Opened By System
20:56:43 SYSTEM TCP 80.142.119.50 4146 Reject Connection To Port Opened By System
20:56:43 SYSTEM TCP 172.180.89.126 4246 Reject Connection To Port Opened By System

Die Log hat unglaublich viele Einträge!
Ich verzweifel langsam.

Habe schon die Tips dieser Seite heir http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823" eingestellt, jetzt sind wenigstens keine Aktivitäten mehr über Port 135 und 445 da, wo vorher auch einiges lief.

Wie gesagt, ich weiß nicht weiter.... :/

Danke für eure Hilfe

MFG Sonchu

#2 Hallo!
Auf die Gefahr hin mich jetzt lächerlich zu machen ...
mein Pc "wiehert" !!!!! Trojaner??????????????

#3 Sonchu,

also erst mal cool down, deine Firewall macht genau ihren Job, sie wehrt Pakete ab, die nicht rein sollen.
Das erste was ich in so nem Fall mache, ich kucke in die Registry, bei hkey_local_machine/software/microsoft/windows/currentversion/run, ob sich da was neues eingenistet hat. Dann lasse ich Spybot search&destroy laufen (findest du leicht im Internet bei Bedarf) und aktualisiere meinen Virenscanner.
Wenn ich dann nix gefunden habe, dann muss ich weiter sehen, dann wirds spannender...

Reinhart

#4 Hallo Rherder,

erstmal Danke für deine Antwort.
In dem Bereich der Registry habe ich geguckt, es steht nix ungewöhnliches oder neues drin.
Klar macht die FW ihre Aufgabe, nur meine I-Net Leitung verliert an Geschwindigkeit. Wie du siehst ist der kurze Auszug den ich gepostet habe nur aus 5 Sekunden. Dann hört das ja nicht auf, danach geht es ja munter weiter.
Alleine die Log der letzten 10 Minuten hat bestimmt über 1000 Versuche mir Packete zu schicken. Über alle möglichen Ports inkl NetBios etc.

AV und AT Software fidnen nix. Trotzdem ist das nicht normal, hatte ich ja vorher auch nicht, bevor ich dieses Tool installiert hab?!?

Machste es jetzt mal spannender? ;o)

P.S.: Sorry für`s posten in den falschen Bereich des Boards.

EDIT://
Hier mal meine HiJackThis Log

Logfile of HijackThis v1.97.7
Scan saved at 11:34:40, on 13.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\McAfee VirusScan\VsStat.exe
C:\PROGRA~1\Folder Guard\FGKEY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Security\Proxomitron\Proxomitron.exe
C:\Programme\Thunderbird\thundertray.exe
C:\Programme\McAfee VirusScan\Vshwin32.exe
C:\Programme\Thunderbird\thunderbird.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee VirusScan\Avconsol.exe
C:\Programme\Firebird\MozillaFirebird.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter\THGuard.exe"
O4 - HKLM\..\Run: [FolderGuard] "C:\PROGRA~1\Folder Guard\FGKEY.EXE" /CL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Proxomitron.lnk = D:\Downloads\Security\Proxomitron\Proxomitron.exe
O4 - Startup: Thundertray.lnk = C:\Programme\Thunderbird\thundertray.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37994.1678587963
O17 - HKLM\System\CCS\Services\Tcpip\..\{168B53D7-4CAB-4F33-812C-58E1A09668D9}: NameServer = 194.8.194.60 213.168.112.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{168B53D7-4CAB-4F33-812C-58E1A09668D9}: NameServer = 194.8.194.60 213.168.112.60

Seh nix aussergewöhnliches?!

#5 Du kannst ja mal ein Hijackthis log posten(www.hjt.klaffke.de), obwohl ich denke, das deine Firewall und dein "SSl tool"(was immer das sein mag) es sind, die deinen Rechner in die Knie zwingen.
__________
MfG Ralf
SEO-Spam Hunter

#6 Hi raman,
Diese SSL Tool, war für mIRC gedacht, und sollte eine SSL Verbindung aufbauen.
Ich habe es ja garnicht mehr drauf. Deinstalliert und gelöscht.
Was mir auffällt bei der HiJack Log, ist das THGuard.exe nicht unter den Running Processes ist. Hm :o/
Im Taskmanager läuft es?!

#7 Sonchu,

Also wenn die Meldung von deiner Firewall so stimmt, dann wirst du von außen auf GEÖFFNETEN Ports behämmert. Das würde heißen, dass jemand in deinem Rechner diese Ports geöffnet hat. Guck mal in deiner Firewall, welche Ports offen sind und wer sie geöffnet hat. Dürften im Normalfall nur einige sein, bei dir müssten es Massen sein.

Ich würde nicht so schnell behaupten, dass du einen Trojaner hast, aber das Öffnen von zufällig ausgewählten Ports ist ein Kennzeichen von einigen. Hast du mal alternative Antivirensoftware probiert?

Dann fällt mir noch ein: Geht dein Rechner von alleine online oder startest du selbst?
Ich würde einen Sniffer einsetzen um zu sehen, was in den ersten Sekunden passiert, wenn du online gehst.

Reinhart

#8 Hallo rherder,

also, habe mit folgenden AV-Programmen und den aktuellsten Datenbanken die komplette HD durchsucht:

McAfee AntiVirus Scan
GData AVK 12

mit folgender AT Software komplett durchsucht:

Trojan Hunter
A²

Ad-Aware und SpyBot S&D aus Verzweiflung auch....

Online Scans alle möglichen die ich gefunden habe.

Ergebnis war immer das selbe....nämlich nix! :o/

Dieses Programm was ich dafür verantwortlich mache, ist ein Programm wo ich von ausgehe, das sich das höchstens 50 Leute heruntergeladen und installiert haben.
(Und ich war einer davon). Das es für so einen evtl. Trojaner den sich vielleicht 50 Leute vor kurzem herunter geladen haben, keine Einträge in irgendwelchen AV-/AT Programmen gibt, würde ich von ausgehen.
Ich weiß nicht wie weit die Heuristik bei einem so unbekanntem evtl. Trojaner geht?!

Weiter....
Offene Ports habe ich, aber eben nicht unzählige.
Diese Ports kann ich nicht zuordnen:

explorer.exe
Lokaladresse: localhost
Lokalport: 3719
Protokoll: UDP

system (3 offene Ports)
Lokaladresse: Alle 3 localhost
Lokalport: 1027 TCP; 0 RAWSOCKET; 12032 GRE

svchost
Lokaladresse: localhost
Lokalport: 3904
Protokoll: TCP

svchost
Lokaldresse: localhost
Lokalport: DCOM
Protokoll: TCP

Von alleine online geht mein Rechner nicht habe jetzt 15 Minuten gewartet - passiert nichts. Nur eben in dem Moment wo ich online gehe, ist die Hölle lös.
Sieht man ja oben in dem 5 Sekunden Auszug. Die Firewall zeigt ja immer nur an, das "system einen Port öffnet" mehr nicht.

Wie siehts mit der HiJackThis Log aus, wieso taucht THGuard.exe nicht unter den Running Processes auf? Ist das normal? Im Taskmanager läuft Sie.

Kannst du mir einen Sniffer empfehlen, kenn mich damit nicht aus :o(

Dank schonmal vorab.
Sonchu

#9 hi sonchu.....ich hatte in etwa das selbe problem das meine inet speed von 180 kb/ auf 4 kb/s gesunken ist......ich habe auch relativ viel ausprobiert und nie was gefunden , ich hab dann als allerletzten schritt die neuinstallation von windows gemacht......dauerte aber auch ne weile (4 anläufe) seit dem wird mein router zwar immernoch mit einigen zugriffen bombadiert aber meine connection ist stabil, schnell....ich habe dafür rein gar keine erklärung. ich poste auch mal meine zugriffe:
Mittwoch, 14. Januar 2004 04:27:02 Unrecognized access from 80.171.4.134:46384 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:03 Unrecognized access from 65.246.177.2:50071 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:06 Unrecognized access from 65.246.177.2:50071 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:06 Unrecognized access from 82.82.101.180:53888 to TCP port 6881
Mittwoch, 14. Januar 2004 04:27:07 Unrecognized access from 80.171.4.134:46578 to TCP port 18600
Mittwoch, 14. Januar 2004 04:27:10 Unrecognized access from 80.171.4.134:46578 to TCP port 18600
Mittwoch, 14. Januar 2004 04:27:12 Unrecognized access from 65.246.177.2:50071 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:16 Unrecognized access from 80.171.4.134:46578 to TCP port 18600
Mittwoch, 14. Januar 2004 04:27:28 Unrecognized access from 80.171.4.134:46578 to TCP port 18600
Mittwoch, 14. Januar 2004 04:27:43 Unrecognized access from 65.246.177.2:58111 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:46 Unrecognized access from 65.246.177.2:58111 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:52 Unrecognized access from 65.246.177.2:58111 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:56 Unrecognized access from 80.138.92.59:2268 to TCP port 4662
Mittwoch, 14. Januar 2004 04:27:59 Unrecognized access from 80.138.92.59:2268 to TCP port 4662
meinen post kannst du auch hier im forum nachlesen einmal unter:
http://board.protecus.de/t7686.htm
+
http://board.protecus.de/t7640.htm
__________
[url=http://www.uptime-project.net/profile.php?uid=21926][img]http://img.uptime-project.net/img/8/21926.jpg[/img][/url]

#10 @ Aeffchen.
Nochmals: Dein Routerlog ist überhaupt kein Anhaltspunkt für eine Trojanerinfektion.
Deutlichere Anzeichen für eine Trojanerinfektion => http://board.protecus.de/t6300.htm

Anfragen auf Port 4662 sind gänzlich normal, ob man nun ömule verwendet oder nicht spielt keine Rolle.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Hallo,
bin gerade mal alle Registry Einträge durch gegangen, die in dem Link von joschi aufgeführt sind. Habe nix aussergewöhnliches gefunden. Bis auf die KnownDLL Sachen, da weiß ich nicht was da hingehört und was nicht...

Ich verzweifel bald, ich glaub ja schon garnicht mehr das ich irgendwas auf meinem Rechner habe, weil kein Security-Programm was findet, aber das kann nicht normal sein mit diesen "Angriffen"! Hatte ich ja vorher auch nicht.

Wie siehts mit einer Neuinstallation aus? Kann sich irgendwas auf anderen Partitionen als auf der Windowspartition einnisten, was sich dann nach der Neuinstallation von z.B. Partition D wieder in C setzt? Hoffe ihr wisst was ich meine?

@ Äffchen
So schlimm ist es bei mir Gott sei dank nicht mit dem Geschwindigkeitseinbruch.
Von 236 kb/s auf knapp 190 kb/s. Aber trotzdem zu viel.

MFG Sonchu

#12 Hi Soncho,
wenn einer schon über eine Neuinstallation spricht, dann muss die Verzweiflung ja schon weit fortgeschritten sein :-) ...

Also ich kann dir einen Sniffer empfehlen,
Packetyzer, [http://prdownloads.sourceforge.net/packetyzer/Packetyzer_0_7_3_1_Setup.exe?download ]
aber installieren und vielleicht laufen lassen und die Ergebnisse verstehen sind zwei Paar Schuhe.
Ich biete dir an, wenn du den Sniffer kurz vor dem Onlinegehen startst und ihn sofort stoppst, wenn das Bombardement losgeht und dann die Daten speichern kannst, dann schick sie mir und ich kuck mal rein.
Wenn dus machen willst, dann antworte hier und wir finden einen Weg zum schicken (ich mag nicht so gern hier meine emailadresse posten).

Aber jetzt interessiert mich dieses ominöse Tool SSL-Tool von dir langsam, ich hab da nämlich einen Testrechner am laufen....
Wie heißt das Dingen und wo kann man es saugen?


Gruß Reinhart

#13 Hallo Rherder,
mit dem installieren und verstehen könntest du Recht haben
Ich kann da leider nichts draus ableiten. Ich hoffe ich hab es richtig verstanden.

Habe vor dem Online gehen gestartet, und nachdem die ersten Bomben flogen wieder gestoppt.

Aber ich habs geschafft die Log zu speichern.

Das Tool würde ich dir inkl. der Log von Packetyzer natürlich gerne zuschicken.
Will ja wissen was hier los ist....

Schreib mir ne PM wenn du Zeit hast, dann guckem wir mal wie ich es dir schicken kann.

Danke auf jeden Fall schon mal
Sonchu

#14 Hey... und nun? ... Was ist jetzt gewesen?...Könntet ihr vielleicht noch berichten, wie die Geschichte ausgegangen ist? Sowas Spannendes liest man ja schließlich nicht alle Tage. :-)

Boby13

#15 Welcher Service/welches Programm öffnet welchen Port?
Start<Ausfuehren -->cmd

lässt sich dies an der jeweiligen PID feststellen.

kopiere rein:

tasklist /svc

netstat -ano

tlist /s | find "PID

tasklist /svc | find "PID

oben links klicken auf : Bearbeiten--> C:\ (kleines Symbol)-->Bearbeien--> alles markieren-->"enter"-Taste druecken und nun, da es in der Zwischenablage ist, mit rechter Maustaste klicken--> text wird automatisch abkopiert
__________
MfG Sabina

rund um die PC-Sicherheit