ChrAlbi 10 Geschrieben 29. März 2005 Melden Geschrieben 29. März 2005 Hallo zusammen! Seit geraumer Zeit befindet sich ein laufender Prozess in meinem XP-System. Er identifiziert sich selbst als "ntuser.exe". Ab und zu kommt noch ein Prozess mit dem Namen "ntsrv.exe" dazu(selten). Ich bin der Meinung, dass dies ein Virus, Trojaner oder sonst ein gemeines Programm ist. Ich habe schon in diversern Virerndatenbanken nach dem "Virus" gesucht, allerdings ohne Erfolg. Bei genauerer Betrachtung des Prozesses ntuser.exe habe ich herausgefunden, dass er auf TCP Port 113 horcht (listening). Ich habe schon sämtliche Virenscanner von allen erdenklichen Herstellern über mein System gejagt- ohne Erfolg. Selbst im abgesicherten Modus ist nichts zu finden. Kann mir irgendjemand eine Anregung geben, wie ich dieses Biest von meinem Rechner bekomme, oder mir vielleicht sagen, was das für ein Vieh ist. Hoffe ihr könnt mir helfen! Christian Zitieren
Necron 71 Geschrieben 29. März 2005 Melden Geschrieben 29. März 2005 Port 113 ist der Port für Ident, wofür der jetzt genau zu ständig ist keine Ahnung. Hoffentlich hast du eine Firewall installiert. Zitieren
Das Urmel 10 Geschrieben 29. März 2005 Melden Geschrieben 29. März 2005 Schau nach wo ntuser gestartet wird, ntsrv gibts auch nicht, du bist infiziert, rootkit schätze ich. Zitieren
carlito 10 Geschrieben 29. März 2005 Melden Geschrieben 29. März 2005 Port 113 ist der Port für Ident, wofür der jetzt genau zu ständig ist keine Ahnung. Port 113 bzw. Ident wird u.a. für Verbindungen zu IRC Servern benutzt. Siehe folgende Links: auth - der harmlose TCP-Port 113 http://www.sysiphus.de/daulex/t_auth.html Frequently Asked Questions (Häufig gestellte Fragen) zu IDENT http://yauw.de/irc/ident-FAQ.shtml Zitieren
ChrAlbi 10 Geschrieben 30. März 2005 Autor Melden Geschrieben 30. März 2005 hi, das mit der indent ist mir bekannt. ich glaube sogar dieser port wird zum aushandeln mit einem internet provider verwendet. der virus/wurm versucht bestimmt diese sicherheitslücke auszunutzen um remote auf meinen rechner zuzugreifen. (vermutung) :suspect: angeblich wird der prozess von windows\system32 aus gestartet, allerdings finde ich da und auf all meinen platten keine datei mit dem namen "ntuser.exe". am liebsten wäre mir, wenn ich wüsste was dies für ein vieh ist. dann könnte ich gezielt nach nem tool oder ner anleitung zum säubern suchen. (p.s.) ich habe kein mirc installiert. Zitieren
MurphY MacManus 10 Geschrieben 30. März 2005 Melden Geschrieben 30. März 2005 probiers mal mit f-secure blacklight....(http://www.f-secure.com) der scanner dürfte für solche fälle geeignet sein! peace MurphY Zitieren
Pegasuz 10 Geschrieben 23. November 2005 Melden Geschrieben 23. November 2005 :( habe mir dassselbe Teil eingefangen und keine Ahnung wie ich es loswerde. Hat denn inzwischen schon jemand ne möglichkeit gefunden? Zitieren
Pegasuz 10 Geschrieben 23. November 2005 Melden Geschrieben 23. November 2005 http://www.tcp-ip-info.de/tcp_ip_und_internet/well_known_trojaner_ports.htm angeblich nennt sich der Trojaner "Kazimas" Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.