ChrAlbi 10 Geschrieben 29. März 2005 Melden Teilen Geschrieben 29. März 2005 Hallo zusammen! Seit geraumer Zeit befindet sich ein laufender Prozess in meinem XP-System. Er identifiziert sich selbst als "ntuser.exe". Ab und zu kommt noch ein Prozess mit dem Namen "ntsrv.exe" dazu(selten). Ich bin der Meinung, dass dies ein Virus, Trojaner oder sonst ein gemeines Programm ist. Ich habe schon in diversern Virerndatenbanken nach dem "Virus" gesucht, allerdings ohne Erfolg. Bei genauerer Betrachtung des Prozesses ntuser.exe habe ich herausgefunden, dass er auf TCP Port 113 horcht (listening). Ich habe schon sämtliche Virenscanner von allen erdenklichen Herstellern über mein System gejagt- ohne Erfolg. Selbst im abgesicherten Modus ist nichts zu finden. Kann mir irgendjemand eine Anregung geben, wie ich dieses Biest von meinem Rechner bekomme, oder mir vielleicht sagen, was das für ein Vieh ist. Hoffe ihr könnt mir helfen! Christian Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 29. März 2005 Melden Teilen Geschrieben 29. März 2005 Port 113 ist der Port für Ident, wofür der jetzt genau zu ständig ist keine Ahnung. Hoffentlich hast du eine Firewall installiert. Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 29. März 2005 Melden Teilen Geschrieben 29. März 2005 Schau nach wo ntuser gestartet wird, ntsrv gibts auch nicht, du bist infiziert, rootkit schätze ich. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 29. März 2005 Melden Teilen Geschrieben 29. März 2005 Port 113 ist der Port für Ident, wofür der jetzt genau zu ständig ist keine Ahnung. Port 113 bzw. Ident wird u.a. für Verbindungen zu IRC Servern benutzt. Siehe folgende Links: auth - der harmlose TCP-Port 113 http://www.sysiphus.de/daulex/t_auth.html Frequently Asked Questions (Häufig gestellte Fragen) zu IDENT http://yauw.de/irc/ident-FAQ.shtml Zitieren Link zu diesem Kommentar
ChrAlbi 10 Geschrieben 30. März 2005 Autor Melden Teilen Geschrieben 30. März 2005 hi, das mit der indent ist mir bekannt. ich glaube sogar dieser port wird zum aushandeln mit einem internet provider verwendet. der virus/wurm versucht bestimmt diese sicherheitslücke auszunutzen um remote auf meinen rechner zuzugreifen. (vermutung) :suspect: angeblich wird der prozess von windows\system32 aus gestartet, allerdings finde ich da und auf all meinen platten keine datei mit dem namen "ntuser.exe". am liebsten wäre mir, wenn ich wüsste was dies für ein vieh ist. dann könnte ich gezielt nach nem tool oder ner anleitung zum säubern suchen. (p.s.) ich habe kein mirc installiert. Zitieren Link zu diesem Kommentar
MurphY MacManus 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 probiers mal mit f-secure blacklight....(http://www.f-secure.com) der scanner dürfte für solche fälle geeignet sein! peace MurphY Zitieren Link zu diesem Kommentar
Pegasuz 10 Geschrieben 23. November 2005 Melden Teilen Geschrieben 23. November 2005 :( habe mir dassselbe Teil eingefangen und keine Ahnung wie ich es loswerde. Hat denn inzwischen schon jemand ne möglichkeit gefunden? Zitieren Link zu diesem Kommentar
Pegasuz 10 Geschrieben 23. November 2005 Melden Teilen Geschrieben 23. November 2005 http://www.tcp-ip-info.de/tcp_ip_und_internet/well_known_trojaner_ports.htm angeblich nennt sich der Trojaner "Kazimas" Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.