# Port 5000 Sockets de Troie Befall



## Anonymous (1 Mai 2002)

:bigcry: Hallo
Ich hab ein proplem und weiß jetzt auch nicht mehr weiter villeicht kannst du mir ja helfen.
Also mein port 5000 ist wohl offen und  mein anti-trojan scanner zeigt an
möglicher socket de troie,blazer 5 möglicher trojaner also wie bekomme ich raus ob es ein troijaner ist.
Hab auch schon meien Fetplatte formatiert und alles wieder neu drauf gemacht aber leider ist die meldung immer noch da.
Zweites Proplem ich bekomm dauernd mails mit klem 32 wurm woher haben die meine e-mail adresse und wie kann ich das abwehren.
Ich hoffe du hast ein paar antworten für den ich weiß auch nicht mehr.
So macht Internet keinen spaß mehr.
!!!!DANKE!!!!!!!


----------



## Devilfrank (1 Mai 2002)

Blazer 5 ist tatsächlich ein Trojaner, der den Port 5000 nutzt. Siehe auch hier: http://www.bluemerlin-security.de/Antitrojanports.php3.
Was den Klez betrifft, gibts nur einen Schutz: Virenscanner mit aktueller Virensignatur.

Gruss Frank


----------



## Heiko (1 Mai 2002)

Dieser Klez geht mir mittlerweile deutlich auf die Nerven. Der kommt hier massenhaft rein.

Ich bin grade am Testen eines Online-Mailscanners.

Ihr werdet in Kürze darüber lesen.


----------



## nicolina (1 Mai 2002)

:bigcry: Hallo ich bins nochmal Danke für die Hilfe aber leider konnte mir die seite auch nicht helfen.Also was komisch ist ich habe versucht meinen port 500 zu schließen als ich dann den anti trojan durchlaufen lassen hab hatte ich aufeinmal noch einen trojaner im port 1042 Bla10.1 danach hab ich ihn nochmal durchlaufen lassen und dann war der weg aber dafür war im port 1033 net spy was ist denn das?
Nützt es was wenn ich nochmal formatiere oder was soll ich machen?
Hat jemand ähnliche propleme?
Ich weiß nicht mehr weiter.
Und ich habe gelesen das man den blazer 5 nicht enfernen kann auch nicht manuell stimmt das?
Danke bis bald  :bigcry:  :bigcry:  :bigcry:  :bigcry:


----------



## Heiko (1 Mai 2002)

Entfernen kann man alles, zur Not mittels fdisk.


----------



## Devilfrank (1 Mai 2002)

@nicolina
NetSpy ist ein ebenfalls ein Trojaner am Port 1033, Blah 1.1 ist noch einer am Port 1042. 
Züchtest du die Dinger???  :3d: 
Hier hilft wohl wirklich nur die Radikal-Methode und vor allem die Frage, wo du die Dinger her hast.

Gruss Frank


----------



## nicolina (1 Mai 2002)

:evil: hallo
ich möchte euch ja nicht zu zu nahe treten aber eure antworten sind ja sehr dürftig.Und züchten die dinger bestimmt nicht.
Und woher ich sie habe kein plan.
Villeicht von Kaza oder imesh wer weiß.
Frag euch ja nur weil ich xp habe und keiner sich damirt auskennt denn man kommt ja nicht einmal in ms-dos rein um dort eventuell etwas zu löschen.
Aber trozdem Danke für eure freundliche und Informative auskunft*g*


----------



## Freeman76 (1 Mai 2002)

Hi,



> ich möchte euch ja nicht zu zu nahe treten aber eure antworten sind ja sehr dürftig.Und züchten die dinger bestimmt nicht.



Hmm, ok, ein paar Hinweise waren aber schon dabei, oder?   

Wenn Du keinen aktuellen Virenscanner hast, check mal Online den Rechner mit dem Trendmicro Scanner unter 
http://germany.trendmicro.de/housecall/start_corp.asp#Scan
- Den Haken unter "Säubern" nicht vergessen...

Zusätzlich evtl. noch den Trojanerscanner ANTS unter http://www.ants-online.de/ants/download.php downloaden.

Und noch was habe ich vergessen:

Unter http://www.free-av.de/ gibt es einen guten kostenlosen Virenscanner für den Privatgebrauch.
Zusätzlich würde ich mal checken, woher die Trojaner kommen (E-Mails, Downloads, ICQ???). Nicht dass Du nach jeder Installation wieder den Trojaner auf Grund eines infizierten Progis wieder installierst.

Nach erfolgreicher Reinigungsaktion bzw. (hoffentlich nicht) wäre eine Firewall vielleicht angebracht, z.B. Outpost unter http://www.agnitum.com.


----------



## virenscanner (1 Mai 2002)

@Nicolina

Welchen "Trojanerscanner" hast Du eingesetzt???


----------



## nicolina (1 Mai 2002)

:lol: Hallo
Danke für eure Antworten
Für die Trojaner benutze ich Anti-Trojan
Zum scannen für Viruse Norten 2002
Und eine Firewall hab ich mir eingerichtet(zone Alarm)aber leider zu spät.Also danke und ich hoffe es klappt jetzt nach euren guten Tips danke . :lol:  :lol:  :lol: 
Euch noch einen schönen Abend bis danni Grüße Nicolina


----------



## nicolina (1 Mai 2002)

:holy: Hallo Freemen
 0  0 Wer ich,Ja ein paar andeutungen aber nur ein paar frech*g*
Achja was ich noch fragen wollte was sind denn progis?
Wäre nett wenn Du mir das erklären könntest.  
Danke also cu


----------



## Freeman76 (1 Mai 2002)

Hi,

also, Progis sind Programme  :lol: 

War eine leichte Frage


----------



## nicolina (1 Mai 2002)

:lol:  :lol:  :lol: Juhu habs geschaft meine Trojaner zu entfernen und soll ich euch sagen wie?
Ja also ich habe mit dem Anti Spy xp denn hab ich installiert,und der hat alles gelöscht womit Microsoft das System überwacht gelöscht und deaktiviert und danach waren alle Trojaner weg.
Also das ist ja wohl der Gipfel wenn die wirklich von Microsoft waren oder.
Kann das sein?
Weiß darüber jemand was.Echt hart wie die einen überwachen.


----------



## Heiko (2 Mai 2002)

Dass Microsoft gerne mehr über die Nutzer wissen will als ihnen eigentlich angeht ist gemeinhin bekannt. Aber dass die Trojaner installieren ist doch etwas zu hart formuliert.


----------



## Freeman76 (2 Mai 2002)

nicolina schrieb:
			
		

> Ja also ich habe mit dem Anti Spy xp denn hab ich installiert,und der hat alles gelöscht womit Microsoft das System überwacht gelöscht und deaktiviert und danach waren alle Trojaner weg.
> Also das ist ja wohl der Gipfel wenn die wirklich von Microsoft waren oder.
> Kann das sein?



Also, definitiv nein. Zwar kommuniziert XP nach meinem Geschmack zu viel nach Hause, o.g. Trojaner werden aber nicht mitgeliefert - ausser bei Hackware, Raubkopien mit Corporate Files bzw. Original mit Corporate Files-Freischaltung etc. Bei solchen Installationen ist so was nicht auszuschließen.

Also, die Trojaner haben gewiss einen Ursprung, der stammt aber gewiss nicht von MS :holy:

Vielleicht ein eifersüchtiger Liebhaber


----------



## technofreak (2 Mai 2002)

@Freeman76
Den Tip für den Online-Scan bei Trendmicro hatte ich schon von meinem Freund bekommen. Ging aber nicht , weil der der Sch.. KLEZ-E auf dem  infizierten Rechner einen derartigen Traffic verursachte, daß entweder der IE mindestens aber der DFÜ Zugang abschmierte. Hab die Platte (Wechselrahmen ) dann auf meinen Rechner als 2. Festplatte gebracht , untersucht und den Wurm  plattgemacht. Vorsicht! solange nicht alle EXE-Dateien, die infiziert wurden gelöscht sind besteht ständig neue Infektgefahr. In meinem Fall 33 EXE -Dateien. Office , Fritz und u.A  :evil: 

Der Online-Scan ist gut weil er immer den aktuellsten  Stand garantiert


----------



## Heiko (2 Mai 2002)

Bei den letzten Tests kamen die Onlinescanner allerdings nicht gar so gut weg. Keiner war jedenfalls auch nur annähernd so gut wie ein lokaler Scanner.


----------



## virenscanner (3 Mai 2002)

nicolina schrieb:
			
		

> Ja also ich habe mit dem Anti Spy xp denn hab ich installiert,und der hat alles gelöscht womit Microsoft das System überwacht gelöscht und deaktiviert und danach waren alle Trojaner weg.


Da Anti Spy XP keinen der genannten Trojaner entfernt und nach Einsatz von Anti SpyXP die "Trojaner" weg waren, ist es sehr wahrscheinlich, dass überhaupt kein Trojaner auf dem System war.  Eventuell wurden Portzugriffe/offene Ports den Trojanern zugeordnet, die diese standardmäßig benutzen.

Just my 2 cents


----------



## Heiko (3 Mai 2002)

Das ist leider sehr oft so, daß diese Trojanerscanner nicht sehr differenziert arbeiten.

Die meisten zeigen bei einem Telnet auf einen "Trojanerport" schon einen Angriff an.


----------



## Anonymous (4 Mai 2002)

*Port 5000*

Das selbe Problem mit dem Port5000 habe ich auch...........

aber ich benutze leider kein XP sondern ME, sonst hätte ich mich jetzt gefreut.............




Gibts eigentlich auch ein Antispy für ME  :lol:  :lol:  :lol:  :lol:  :lol:


----------



## Anonymous (7 Mai 2002)

*Re: Port 5000*



			
				Anonymous schrieb:
			
		

> Das selbe Problem mit dem Port5000 habe ich auch...........



mal am rande: ihr wisst, das es bei gibson research ein tool gibt, den 5000 - port zu schliessen?

http://grc.com/default.htm

grüsse, asterix


----------



## Heiko (7 Mai 2002)

Die Frage ist eher: warum ist der Port offen?

Der natürliche Zustand eines Ports ist nämlich "zu". Insofern hat schon eine Veränderung stattgefunden.


----------



## Devilfrank (8 Mai 2002)

Heiko schrieb:
			
		

> Die Frage ist eher: warum ist der Port offen?
> 
> Der natürliche Zustand eines Ports ist nämlich "zu". Insofern hat schon eine Veränderung stattgefunden.



Korrekt, der Port5000 ist standardmäßig geschlossen kann jedoch für TCP und UDP benutzt werden.
commplex-main	5000/tcp
commplex-main	5000/udp
vgl. auch hier: http://www.iana.org/assignments/port-numbers
Somit scheint der Port von einem Nicht-Standardprogramm geöffnet worden zu sein.

Gruss Frank


----------



## Anonymous (24 Juli 2002)

*Port 5000*

Wenns noch interessiert...


> Ich hab ein proplem und weiß jetzt auch nicht mehr weiter villeicht kannst du mir ja helfen.
> Also mein port 5000 ist wohl offen und mein anti-trojan scanner zeigt an
> möglicher socket de troie,blazer 5 möglicher trojaner also wie bekomme ich raus ob es ein troijaner ist.



Port 5000 muss nicht unbedingt ein Trojaner sein. Wenn du z.B. WinXP benutz liegt auf Port 5000 Microsoft Universal Plug'n'Play, wenn ich mich nicht sehr doll irre.... Ich will nicht sagen, das das kein Grund zur Beunruhigung ist, MS universal plug'n'pray  ist das Sicherheitsloch schlechthin (wie Microsoft-Produkte allgemein). Aber das wirst du mit ner Neu-Insall nicht weg bekommen.


----------



## Jericho (30 Juli 2002)

Hallo,

hatte das Problem auch und benutze ME.......
Habe Windows ME anwendung SSDPSRV aus dem Autostart genommen und siehe da keine Verbindung mehr zu Port 5000.......


Jericho


----------

