Hallo!

Ich habe eine kurze Frage:

Kann ich mich auf die Angabe der offenen Ports des Befehls "netstat -an" (im Offline-Modus) verlassen oder können auch noch andere Ports offen sein als die mit Status "Abhören" gekennzeichneten ?

Hintergrund: Bei mir wird nur ein einziger Port als offen angezeigt (von netstat), ich weiß auch genau von welcher Anwendung er kommt. Als ich heute bei PC-Flank ( www.pcflank.com ) einen "Quick Scan" gemacht habe, wurden mir bei "Trojan horse ports" mehrere kritische angzeigt (u.a. die Standartports von SubSeven und BO). Kann es sein,dass damit gemeint war, dass diese nur nicht stealth waren ? Denn AVk 11 pro (mit neusten Signatutren) findet keine Troajner.

Gruss janerik

Habe dahingehend nicht so viel Ahnung, ich Versuchs doch [img]graemlins/lach.gif[/img]

Also wenn ich dein Postin richtig Vestanden habe, hast du bei einen Port Scann offene Ports, angezeigt. Das sagt IMHO nur aus wenn Port xyz offen ist dann könnte der Trojaner xyz über diesen Port Abeiten, eindringen und sein Unheil anrichten. Bedenke aber das ein Trojaner, auch Editiert werden kann, also verändert, so das der Trojaner xyz auch den Port abc benutzen kann.

Wenn ich falsch liege, dann bitte ich um berichtigung von meinem Ansatz.

Mal sehen was die Anderen für eine Meinung, zu dein Problem haben.

TrojaneHunterNEW

</font><blockquote>Zitat:</font><hr />Original erstellt von janerik:
...Kann es sein,dass damit gemeint war, dass diese nur nicht stealth waren ? ...</font>[/QUOTE]Ja, denn es wurde bestimmt als Ergebnis gemeldet, dass die folgenden Ports xyz, die standardmäßig von den Trojanern XYZ genutzt werden, "visible", also sichtbar (=nicht "stealth") sind.
Wenn offen, hätte es da auch so gestanden (und hätte trotzdem für sich allein nicht auf Trojanerbefall hingewiesen).

Ist reine Panikmache à la Norton-FW-Meldung über "abgewehrte Angriffe"! [img]graemlins/lach.gif[/img]

Gruß
Der

Nicht nur Rootkits. Siehe z.B. Optix Pro in der neuesten Variante *g*.

</font><blockquote>Zitat:</font><hr />Original erstellt von janerik:


Kann ich mich auf die Angabe der offenen Ports des Befehls "netstat -an" (im Offline-Modus) verlassen oder können auch noch andere Ports offen sein als die mit Status "Abhören" gekennzeichneten ?

</font>[/QUOTE]Nein, kannst du nicht.

1) So weit ich weiß kann netstat nur den Windows eigenen TCP/IP-Stack anzeigen, bringt ein Trojaner den eigenen mit, vermutlich nicht

2) Rootkits erlauben das gezielte unterdrücken von Informationen die zum Aufdecken von Trojanern nötig sind.

Hallo, da bin ich wieder !
Danke schon mal für eure Antworten!

</font><blockquote>Zitat:</font><hr />Ja, denn es wurde bestimmt als Ergebnis gemeldet, dass die folgenden Ports xyz, die standardmäßig von den Trojanern XYZ genutzt werden, "visible", also sichtbar (=nicht "stealth") sind.
Wenn offen, hätte es da auch so gestanden (und hätte trotzdem für sich allein nicht auf Trojanerbefall hingewiesen).

Ist reine Panikmache à la Norton-FW-Meldung über "abgewehrte Angriffe"!
</font>[/QUOTE]Na wenn das so ist, kann ich die seite ja schon mal vergessn.

</font><blockquote>Zitat:</font><hr /> So weit ich weiß kann netstat nur den Windows eigenen TCP/IP-Stack anzeigen, bringt ein Trojaner den eigenen mit, vermutlich nicht

</font>[/QUOTE]Und was ist mit TCPView von www.sysinternals.com ?
Das zeigt mir (im offlineModus) auch nur einen offenen Port an.

</font><blockquote>Zitat:</font><hr /> Siehe z.B. Optix Pro in der neuesten Variante *g*.
</font>[/QUOTE]Na da haben die SKs ja mal wieder ein tolles Spielzeug gefunden *g*.