Toon posts:

[Trojan] Hardnekkige trojan

Pagina: 1
Acties:

zondag 8 februari 2004 13:37

Acties:
  • Swerfer
  • Registratie: Mei 2003
  • Laatst online: 13-05 23:51

Swerfer

Hmm...

Topicstarter
Ik kwam er gister achter dat ik een trojan heb die op poort 5000 zit.

Dreamsys port scanner geeft als description:
Bubbel, Back Door Setup, Sockets de Troie

Hetzelfde geeft de trojan scan van sygate aan. http://scan.sygate.com/trojanscan.html

Nou heb ik diverse virusscanners en anti-trojan programma's gedownload en uitgevoerd, met de laatste updates, maar er wordt steeds niks gevonden.

Als ik TcpView start, dan zie ik wel dat poort 5000 wordt uitgeluisterd. Zodra ik één van de svchost.exe tasks kill in taskmanager, dan is de trojan ook weg. De juiste svchost.exe bepaal ik door te kijken welke svchost.exe processortijd vraagt als ik continu poort 5000 scan.

Met google kom ik wel het één en ander tegen om mogelijke trojans te verwijderen, maar niet degene die ik waarschijnlijk heb.

Wie heeft hetzelfde probleem gehad, en hoe heb je dat toen opgelost?

Home Assistant | Unifi | LG 51MR.U44 | Volvo EX30 SMER+ Vapour Grey, trekhaak | SmartEVSE V3 | Cronos Crypto.com

zondag 8 februari 2004 13:38

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Kan je een Hijackthis log hier neergooien?

zondag 8 februari 2004 13:46

Acties:

Verwijderd

WindowsXP heeft standaard tcp 5000 openstaan.
(UPNP component iirc).
Dus schakel de UPNP related services eens uit.

Met welke AVs/ATs heb je gescand?
(En ga eens vlug een hardware en/of software firewall draaien).

Edit:
Welk OS gebruik je?

[ Voor 7% gewijzigd door Verwijderd op 08-02-2004 13:46 ]

zondag 8 februari 2004 13:59

Acties:
  • Swerfer
  • Registratie: Mei 2003
  • Laatst online: 13-05 23:51

Swerfer

Hmm...

Topicstarter
Verwijderd schreef op 08 februari 2004 @ 13:46:
WindowsXP heeft standaard tcp 5000 openstaan.
(UPNP component iirc).
Dus schakel de UPNP related services eens uit.

Met welke AVs/ATs heb je gescand?
(En ga eens vlug een hardware en/of software firewall draaien).

Edit:
Welk OS gebruik je?
AT's en AV's:

Ant
Avast
Anti-Virus&Trojan
HouseCall online scanner
McAfee
PDG
TDS3
The Cleaner
Trojan Remover
Trojan Hunter

OS: XP Pro

PNP: Alleen Plug and Play service staat aan en die kan ik niet stoppen

edit:
Logfile of HijackThis v1.97.7
Scan saved at 13:47:39, on 08-02-04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\System32\CTHELPER.EXE
C:\Program Files\ATI Technologies\ATI-configuratiescherm\atiptaxx.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\CoffeeCup Software\Spam Blocker\SpamBlocker.exe
C:\Program Files\DreamSysSoft\ANT\ANT.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\Dennis\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CoffeeCup Spam Blocker] "C:\Program Files\CoffeeCup Software\Spam Blocker\SpamBlocker.exe" -min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Command Prompt.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: Outlook Express.lnk = C:\Program Files\OESpamBully\SpamBullyOE.exe
O4 - Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save Current Web Page by WinSuperKit - C:\Program Files\WinSuperKit\save.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12110/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://xxx.xxx.xxx.xxx/msrdp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam4.interxion.tru...ctivex/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?37885.1964467593
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) -

http://a532.g.akamai.net/.../Install2.5/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12110/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59A2A215-3D16-4618-A192-194595CAC469}: NameServer = xxx.xxx.xxx.xxx

[ Voor 81% gewijzigd door Swerfer op 08-02-2004 14:01 ]

Home Assistant | Unifi | LG 51MR.U44 | Volvo EX30 SMER+ Vapour Grey, trekhaak | SmartEVSE V3 | Cronos Crypto.com

zondag 8 februari 2004 14:02

Acties:

Verwijderd

UPNP != PNP

SSDP Discovery Service
UPNP Device host
Routing And Remote Acces

Die moet je geloof ik hebben.

NAI en TDS zeggen dat je clean bent, dan is het redelijk aannemelijk dat je dat ook echt bent.

zondag 8 februari 2004 15:59

Acties:
  • Swerfer
  • Registratie: Mei 2003
  • Laatst online: 13-05 23:51

Swerfer

Hmm...

Topicstarter
Verwijderd schreef op 08 februari 2004 @ 14:02:
UPNP != PNP

SSDP Discovery Service
UPNP Device host
Routing And Remote Acces

Die moet je geloof ik hebben.

NAI en TDS zeggen dat je clean bent, dan is het redelijk aannemelijk dat je dat ook echt bent.
SSDP Discovery Service Die gaf de 'problemen'. Bedankt!

Home Assistant | Unifi | LG 51MR.U44 | Volvo EX30 SMER+ Vapour Grey, trekhaak | SmartEVSE V3 | Cronos Crypto.com

Pagina: 1
Reageer