Viele NAT Sessions

derbernd · 08.09.2011, 14:34

Hallo zusammen,

nachdem mir dieses Board so toll mit meinem Privat-PC geholfen hat, wollte ich noch eine Frage zu meinem Büro-PC stellen.

Wir arbeiten in einem kleinen Netzwerk über einen gemeinsamen DSL/WLAN-Router. In letzter Zeit ist das Internet oft sehr langsam. Ich habe nun im Router nachgesehen und in der NAT Sessions Table meiner Ansicht nach ungewöhnlich viele Einträge gefunden. Mein Rechner z.B. hat die IP ....111 und hat folgende Einträge:

Code:

ATTFilter

-------------------------------------------------------------------------------
     Private IP :Port #Pseudo Port         Peer IP :Port  Interface
-------------------------------------------------------------------------------
  192.168.1.111  1170        50857  199.47.216.173   443    WAN1
  192.168.1.111  1171        50858  107.20.249.212   443    WAN1
  192.168.1.111  1173        50860  199.47.216.146    80    WAN1
  192.168.1.111  1202        50889   80.237.133.27   143    WAN1
  192.168.1.111  1203        50890   80.237.133.27   143    WAN1
  192.168.1.111  1204        50891   80.237.133.27   143    WAN1
  192.168.1.111  1205        50892   80.237.133.27   143    WAN1
  192.168.1.111  1208        50895   80.237.133.27   143    WAN1
  192.168.1.111  1213        50900   80.237.133.27   143    WAN1
  192.168.1.111  1214        50901   80.237.133.27   143    WAN1
  192.168.1.111  1215        50902   80.237.133.27   143    WAN1
  192.168.1.111  1216        50903   80.237.133.27   143    WAN1
  192.168.1.111  1219        50906   80.237.133.27   143    WAN1
  192.168.1.111  1224        50911   80.237.133.27   143    WAN1
  192.168.1.111  1228        50915   80.237.133.27   143    WAN1
  192.168.1.111  1229        50916   80.237.133.27   143    WAN1
  192.168.1.111  1230        50917   80.237.133.27   143    WAN1
  192.168.1.111  1232        50919   80.237.133.27   143    WAN1
  192.168.1.111  1233        50920   80.237.133.27   143    WAN1
  192.168.1.111  1234        50921   80.237.133.27   143    WAN1
  192.168.1.111  1260        50947   74.125.39.105    80    WAN1
  192.168.1.111  1263        50950   63.245.209.45    80    WAN1
  192.168.1.111  1265        50952   74.125.39.120    80    WAN1
  192.168.1.111  1267        50954   74.125.39.105    80    WAN1
  192.168.1.111  1269        50956   74.125.39.105    80    WAN1
  192.168.1.111  1271        50958   63.245.209.45    80    WAN1
  192.168.1.111  1273        50960    74.125.77.95    80    WAN1
  192.168.1.111  1275        50962   63.245.209.45    80    WAN1
  192.168.1.111  1277        50964   63.245.209.45    80    WAN1
  192.168.1.111  1279        50966   63.245.209.45    80    WAN1
  192.168.1.111  1281        50968   63.245.209.45    80    WAN1
  192.168.1.111  1283        50970   66.102.13.101    80    WAN1

Frage: Ist das normal oder haben wir da einen Trojaner im Netz, der heimlich die Verbindung nutzt? Eigentlich sollte pro PC doch nur eine - vielleicht ein paar - NAT Sessions offen sein, oder?

Vielen Dank im Voraus!!!!

cosinus · 09.09.2011, 14:20

Nur anhand von Verbindungen lässt sich nicht wirklich sagen ob da was werkelt oder nicht. Diese Anzahl kann durchaus normal sein.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

derbernd · 12.09.2011, 13:08

Hallo Arne!

Hier die Logs - zuerst Malwarebytes:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.09.2011 08:07:35
mbam-log-2011-09-10 (08-07-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|W:\|)
Durchsuchte Objekte: 716953
Laufzeit: 14 Stunde(n), 39 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

derbernd · 12.09.2011, 13:11

Die OTL-Logs als ZIP-Datei:

cosinus · 12.09.2011, 13:46

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

derbernd · 12.09.2011, 14:50

Ja, da gibt es noch welche:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7602

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.08.2011 17:32:49
mbam-log-2011-08-30 (17-32-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 208719
Laufzeit: 15 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7468

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.08.2011 14:02:38
mbam-log-2011-08-15 (14-02-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 361417
Laufzeit: 3 Stunde(n), 3 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Es gibt auch noch eine Reihe von "protection-logs", sind die auch wichtig?

cosinus · 12.09.2011, 15:47

Ja poste die auch mal.
Führe auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

derbernd · 12.09.2011, 17:50

Die sehen eigentlich alle mehr oder weniger so aus:

Code:

ATTFilter

08:59:24	Sangmeister	MESSAGE	Protection started successfully
08:59:31	Sangmeister	MESSAGE	IP Protection started successfully
08:59:31	Sangmeister	MESSAGE	IP Protection stopped
09:00:27	Sangmeister	MESSAGE	Database updated successfully
15:18:40	Sangmeister	MESSAGE	Protection started successfully
15:18:49	Sangmeister	MESSAGE	IP Protection started successfully
15:18:49	Sangmeister	MESSAGE	IP Protection stopped

cosinus · 12.09.2011, 21:00

Ok, ist uninteressant. Poste bitte das ESET Log.

derbernd · 14.09.2011, 08:11

ESET sagt "No threats found":

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=f07b7a5cda413c4a862b41827bcc4f5f
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-09-12 08:41:29
# local_time=2011-09-12 10:41:29 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 23862895 23862895 0 0
# compatibility_mode=8192 67108863 100 0 134 134 0 0
# scanned=140374
# found=0
# cleaned=0
# scan_time=13681

cosinus · 14.09.2011, 10:15

Also keine Funde. Und die NAT Sessions sind durchaus normal.

derbernd · 15.09.2011, 10:24

OK, super. Danke für die Hilfe!!!

12.09.2011, 13:46	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Viele NAT Sessions Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ Logfiles bitte immer in CODE-Tags posten

12.09.2011, 21:00	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Viele NAT Sessions Ok, ist uninteressant. Poste bitte das ESET Log. __________________ Logfiles bitte immer in CODE-Tags posten

14.09.2011, 10:15	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Viele NAT Sessions Also keine Funde. Und die NAT Sessions sind durchaus normal. __________________ Logfiles bitte immer in CODE-Tags posten

Viele NAT Sessions

Log-Analyse und Auswertung: Viele NAT Sessions