Hallo Forum,

was haltet ihr von diesem logfile? Ich bin misstrauisch geworden nachdem ich ein verdächtiges netstat -a hatte (direkt nach Neustart und Netzwerk ausgestöpselt):

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP p4:epmap p4:0 ABHÖREN
TCP p4:microsoft-ds p4:0 ABHÖREN
TCP p4:1025 p4:0 ABHÖREN
TCP p4:1028 p4:0 ABHÖREN
TCP p4:1029 p4:0 ABHÖREN
TCP p4:5000 p4:0 ABHÖREN
TCP p4:18350 p4:0 ABHÖREN
TCP p4:1028 localhost:18350 HERGESTELLT
TCP p4:4664 p4:0 ABHÖREN
TCP p4:18350 localhost:1028 HERGESTELLT
UDP p4:microsoft-ds *:*
UDP p4:isakmp *:*
UDP p4:1035 *:*
UDP p4:ntp *:*
UDP p4:1034 *:*
UDP p4:1900 *:*
UDP p4:ntp *:*
UDP p4:1900 *:*



Hier das HJT log:


Logfile of HijackThis v1.99.1
Scan saved at 14:59:19, on 22.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
d:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe
D:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.**.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.**.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

-onlytray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe"

/startup
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen -

res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Files by HiDownload - d:\Programme\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - d:\Programme\HiDownload\HDGet.htm
O8 - Extra context menu item: E&xport to Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite -

res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten -

res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -

res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} -

d:\Programme\HiDownload\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -

http://www.cult3d.com/download/cult.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) -

http://www.arcor.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5980EFE4-F873-43BB-9A0F-701738B29140}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd -

C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -

%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. -

C:\WINDOWS\System32\UAService7.exe


Vielen Dank im voraus!!

Hallo schischa,
soweit nix verdächtiges zu sehen.
ABER damit das auch so bleibt,schnellstens System aktualisieren.Stichwort SP2
dann beschäftige dich mal damit :
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen (Alternativ:http://www.blafusel.de/ie.html)
Irrlicht

Und was ist mit dem netstat? Vor allem diese ports kommen mir seltsam vor:

TCP p4:1025 p4:0 ABHÖREN
TCP p4:1028 p4:0 ABHÖREN
TCP p4:1029 p4:0 ABHÖREN
TCP p4:5000 p4:0 ABHÖREN
TCP p4:18350 p4:0 ABHÖREN


Bei http://www.gaijin.at/lsttrojanports.php werden diese ports als Trojanerports gelistet...

Servus!
Schließe mal alle unnötigen ports (zb mit http://www.dingens.org/ dingens oder http://www.ntsvcfg.de/ ntsvcfg) und wiederhole die netstat-Abfrage!
Und - irrlicht hats Dir ja schon geleuchtet - update Dein BS mit SP2!
stupormundi

Danke erstmal für eure Hilfe! Ich hab auf der dingens Seite gelesen, dass ich das Programm gar nicht brauche, wenn mein Router NAT unterstützt. Ich habe einen Zyxel WLan Router (Arcor) und habe dort NAT nur SUA aktiviert und für edonkey ein paar ports freigegeben. Reicht das, oder sind diese Einstellungen unsicher?

BTW, wenn ich die firewall meines Routers aktiviere erzählt mir der ie ab und zu, dass ich offline bin. Dann kann ich für 30 Sekunden nicht surfen (nur Fehlermeldungen im ie) und dann gehts wieder...

Soll ich die netstat Abfrage nur ausführen, wenn ich frisch gebootet habe und das Netzwerkkabel ausgestöpselt ist, damit man auch wirklich nur "lauschende" trojaner enttarnt?

Hallo schischa,
mit Netstart siehst du die offenen Ports,nicht mehr nicht weniger.Trojaner verbergen sich dahinter und werden dir nicht "winken".Mit dem Wissen,welcher Trojaner gern welches Port benutzt,könntest du ihn einkreisen.Dieses Wissen fehlt dir aber.Also solltest du den "dingens.org" Link nochmal durchlesen.Auch mit Router gibt es eine Möglichkeit die nichtgebrauchten Ports zu schließen.Dann schaust du dir den "blafusel" Link an,handelst danach und denkst über einen alternativen Browser nach.Und ganz wichtig :Service Pack 2 !!!
Irrlicht

Ich hab SP2 jetzt installiert. Was mir aber immer noch nicht ganz klar ist: Meine firewall (Zyxel Router bzw. Arcor WLan Router 100) blockt bis auf ein paar eDonkey ports jede Kommunikation vom Netz ins Lan. Dennoch kann doch ein Trojaner einfach die "üblichen" www ports verwenden um zu kommunizieren, oder? Was also bringt das ports blocken?

Und bezgl. meines netstats: Sind diese ports (vor allem die 102x) nun verdächtig, oder nicht? Wie kann ich herausfinden welcher Prozess da lauscht?

Danke!!

Hallo schischa,
du kannst hier mal einen Test machen und deine Kiste checken.
http://webscan.security-check.ch/test/lang=d/sid=af41f745eaf21094cd18f52b016e56cd
Ansonsten solltest du dich informieren was ein Port ist,was er tut,und warum der eine oder andere Port gebraucht wird oder eben nicht.Dabei wird dir außer deinem Handbuch zum Router auch Google sehr gute Dienste leisten können.
Das sind Hausaufgaben,wir alle haben sie machen müssen.Auch du wirst nicht darum herum können,wenn du deine Kiste besser verstehen willst.
Irrlicht

Hallo Irrlicht,

Zitat:
Ansonsten solltest du dich informieren was ein Port ist,was er tut,und warum der eine oder andere Port gebraucht wird oder eben nicht. Dabei wird dir außer deinem Handbuch zum Router auch Google sehr gute Dienste leisten können.

Ich weiss was ein port ist. Allerdings bin ich kein Sicherheitsexperte und stelle mir daher die Frage was es bringt ports zu sperren, wenn die meisten Programme (Trojaner eingeschlossen) frei entscheiden können auf welchem port sie kommunizieren. So kann doch z.B. edonkey auf dem Standard www oder ftp port laufen um traffic shaping der provider auszutricksen. Wieso sollte ein trojaner nicht das gleiche können? Daher meine Frage: Was bringt das sperren von irgendwelchen ports solange ein paar ports offen sind (und sein müssen, da sonst z.B. eDonkey nicht läuft)?

Ich hoffe, dass diese Frage nicht so idiotisch ist, dass man darauf antworten muss "schau mal bei google was ein port ist".


Meine andere Frage: Mit welcher software kann ich herausfinden welcher Prozess an welchem port lauscht? Wenn netstat mir zeigt, dass an o.a. ports auf eine Verbindung gewartet wird, dann würde mich brennend interessieren, welcher Prozess dahinter steckt. Oder ist das technisch unmöglich?

Danke!

Hallo,
ich glaube mit TCPview wird der Prozess angezeigt.
Und offene Ports an sich sind kein großes Sicherheitsproblem, es kommt darauf an welche Anwendung hinter dem Port wartet. Es muß ja erstmal ein Trojaner schaffen eine Sicherheitslücke in dieser Anwendung zu finden um sich dann ausführen zu können. Wie es da bei deinen Ports 1025, 1028 und 1029 aussieht bin ich mir nicht ganz sicher, ich dachte mal gehört zu haben das es sich hier um Angriffe auf mögliche Lücken im OS handelt, die allerdings auch verpuffen wenn diese Lücke gepatcht ist.

Nachtrag: Port 1025 sollte in Verbindung mit dem MS Taskplaner stehen


Grüße Wildone

Hi, danke für deine Antwort. Habe TCPView und Security Task Manager installiert und folgendes rausgefunden:

1025 wird von alg.exe (Application Gateway Layer) genutzt. Laut Security Task Manager ungefährlich, solange im system32 Ordner.

1030 von avgnt.exe (AntiVir XP). Ungefährlich.

4664 von Google Desktop

18350 von AntiVir Xp

Die anderen sind momentan nicht gelistet. Ich mach mal nen Neustart und schau mal, ob die dann nochmal auftauchen.



Update: Seltsam, ein paar ports, die gestern noch in meinem netstat gelistet waren, sind es nun nicht mehr. Das einzige, was mir noch Sorgen macht ist, dass ich 6 svchost Prozesse habe und einer davon ist mit 20-25 MB nicht gerade schlank. Und gemäß TCPView hat dieser prozess einen TCP port, die anderen svchosts laufen alle nur auf UDP ports. Kennt sich damit jemand aus?

Danke!!

Kennt sich keiner genauer mit svchost Prozessen aus?

Irrlicht, was ist mit dir? Ich warte eigentlich immer noch auf neAntwort...

Danke!