-->Hallo,

mir ist gestern aufgefallen, daß ein Prozeß bzw. Programm namens"ntsyskrnl.exe" standig irgendwelche Ports bei mir öffnet, wenn ich online bin.

Es wird auch 'ne ganze Menge Traffic über die geöffneten Ports verursacht, ohne daß ich wüßte, was da upgeloaded wird. Ich hab diese Mistdatei im abgesicherten Modus jetzt mal probehalber aus meinem WindowsSystem32 Verzeichnis entfernt und plötzlich geht bei jedem Hochfahren ein Dialog"Dateidownload" an, der eine Anwendungsdatei aus dem Internet laden will. Welche Datei das sein soll ist nicht genannt.

Das stinkt irgendwie ganz schön nach Virus oder Trojaner. Vielleicht weiß ja einer Rat. Bin für jede Hilfe dankbar!

Ciao

vasile


P.S. Hab Windows XP Pro mit SP1a

-->in der Microsoft Knowledgebase ist dieses Teil kaum aufzutreiben, ist also
vermutlich nichts was mit NT zu hat, auch wenn das von der Abkürzung nahe läge.

-->ich bin nicht mehr ganz auf dem Laufenden und bevorzuge aus bestimmten Gründen Linux oder wo es nicht anders geht eben Win2000.

XP war sehr schnell in den Schlagzeilen, weil bekannt wurde, dass BigBrother Mikroschuft sich - angeblich nur Aktualitäts-Infos des XP-Systems zieht. Wahrscheinlich einschließlich diverser Hardware-Kenndaten wie bspw. MAC-Adressen der Netzwerkkarten u.a.

Da es aber bezüglich der Vorgänger-Systeme (WinNT, Win2000) schon massive Gerüchte gab, dass hier ein NSA-backdoor existiert, (hier wurde im Binärcode ein NSA Kürzel festgestellt (N ational S ecurity A gency) entdeckt!) ist das Ganze vermutlich nur ein Teil einer Verschleierungs-Variante, da es jetzt alle Rechner beinhalten und nur zu des Anwenders Vorteil dient.

Beruhigt? Ich nicht! Wer von einem Win-System etwas wissen will, bekommt seine Informationen auch ohne"Neues Virus".

Genaues kannste bei www.heise.de o.a. im Archiv recherieren.
Gruß CaptainB

-->...entdeckt.

Ich hab nochmal ein bischen im System gesucht und die Datei wuamgrd.exe als im Bunde mit ntsyskrnl.exe ausgemacht. Dazu habe ich Folgendes im Netz gefunden:

W32/RBot-A ist ein Wurm mit einer Backdoor-Komponente, der sich auf wenig geschützte Netzwerkfreigaben auf der Windows-Plattform verbreitet. Der Wurm verbreitet sich, indem er zufällige IP-Adressen nach offenen SMB-Ports (445) durchsucht und versucht, sich in den Windows-Systemordner auf den remoten Admin$- und C$-Freigaben als Datei namens wuamgrd.exe zu kopieren.

W32/RBot-A verwendet ein internes Wörterbuch häufiger Kennwörter, um Zugriff zu erlangen. Der Wurm versucht, einen Zeitplan für den Start der kopierten Datei auf dem remoten Computer zu erstellen.

W32/RBot-A verfügt außerdem über eine Backdoor-Komponente, die einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer ermöglicht. Wenn er ausgeführt wird, versucht der Wurm, einen remoten IRC-Server zu kontaktieren und sich mit einem bestimmten Kanal zu verbinden und dort auf Befehle zu warten.

Neben der Verbreitungs-Funktion ermöglicht W32/RBot-A dem remoten Anwender auch, einen Proxyserver einzurichten, einen HTTP-Server an einem benutzerspezifischen Port zu starten, Systemdaten zu sammeln, Freigaben und Benutzer hinzuzufügen oder zu löschen, Prozesse zu beenden, Dateien herunterzuladen und auszuführen, E-Mails zu versenden, eine Webcam remote zu steuern, in Netzwerkverkehr zu schnüffeln oder eine Denial-of-Service-Attacke gegen ein benutzerspezifisches Ziel zu starten.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/RBot-A in die Datei wuamgrd.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunnMicrosoft Update = wuamgrd.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOncenMicrosoft Update = wuamgrd.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesnMicrosoft Update = wuamgrd.exe

HKUSoftwareMicrosoftWindowsCurrentVersionRunnMicrosoft Update = wuamgrd.exe

HKUSoftwareMicrosoftWindowsCurrentVersionRunOncenMicrosoft Update = wuamgrd.exe

Der Wurm erstellt außerdem die Protokolldatei debug.txt.

-->

-->McAfee AVERT Stinger
Einer für alle: Removal-Tool gegen alle sehr aktiven Würmer und Viren wie MyDoom, Nachi, Sober, Sobig, Dumaru, Lovsan, Mimail, Swen, Bugbear, Klez uvm.

http://www.zdnet.de/downloads/programs/q/z/de0DQZ-wc.html

Beschreibung:
Stinger ist eine Stand-Alone-Anwendung, um aktuelle und sehr aktive Viren wie MyDoomm, Lovsan (Blaster), Dumaru, Sobig, Mimail, Klez, Elkern, Bugbear oder Yaha zu erkennen und aus dem System zu beseitigen. Dabei soll das Tool keineswegs ein aktuelles Antiviren-Programm ersetzen, sondern lediglich die Möglichkeit bieten, sein System von den bereits genannten Übeltätern zu befreien. Erkannt und gegebenenfalls beseitigt werden in der aktuellen Version: BackDoor-AQJ, BackDoor-JZ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32/Anig.worm, W32/Bagle@MM, W32/Blaster.worm (Lovsan), W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Doomjuice.worm, W32/Dumaru, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, W32/Lirva, W32/Lovgate, W32/Mimail, W32/MoFei.worm, W32/Mumu.b.worm, W32/MyDoom, W32/Nachi.worm, W32/Netsky, W32/Nimda, W32/Pate, W32/Polybot, W32/Sdbot.worm.gen, W32/SirCam@MM, W32/Sober, W32/Sobig, W32/SQLSlammer.worm, W32/Swen@MM, W32/Yaha@MM.
Der McAfee Stinger kann direkt ohne Installation gestartet werden.

bis denne
prinz_eisenherz

-->ich fahr zwar bereits Redhat Linux; aber das Ding von Knopper ist affengeil. Hält was Mickisoft mit Plug & Play verspricht. Ich hab mir kürzlich die letzte
Version runtergeladen und gebrannt. Schob die CD rein, der Rechner fuhr hoch
DSL hat auch sofort funktioniert, musste lediglich Nutzernamen und Passwort
angeben und konnte lossurfen (tonnenweise Anwendungssoftware dabei)!

Damit kann man auch kaputte Systeme retten.
Ne Knoppix-CD in Kombination mit nem USB-Memorystick ist ein perfektes mobiles Büro, erpart in vielen Fällen das Rumtragen von Schleppis.

Ideal auch zum Kennenlernen von Linux, weil man es ohne jegliche Vorkenntnisse
zum Laufen bringt.

-->

-->

-->Mit dem Browser um Suse-Linux lässt sich dieses Forum lesen, aber die Charts funktionieren nicht und auch n-tv teletext nicht.

Es gibt auch Webseiten, die sich gar nicht darstellen lassen, z.B. das Forum von swissquote.ch, wo nur senkrechte Linien dargestellt werden.

Viele Webseiten laden sehr schnell zu 99% und auf das letzte 1% muss man elend lange warten (onvista, nasdaq etwa).

Ich bin viel zu wenig bewandert, um diesen Dingen auf den Grund zu gehen und surfe deswegen immer noch meistens in einem Kleinstweich-System; dann heisst es einfach täglich Virenprüfer updaten...

Man hat es nicht einfach!

Gruss,
BillyGoatGruff

-->ich hab kürzlich die aktuelle 3.3-20 von Knoppix gebrannt; sie enthält
den Mozilla Browser V 1.6

Probiers einfach aus; kost lediglich den Download von ca. 700 MB
(s. www.knopper.net )

Geschwindigkeitsunterschiede im Vergleich zum fest installierten Windows 2000
merk ich eigentlich kaum.