Hallo.
Hab folgendes Problem:
Da ich mich schon ein wenig mit dem BS WindowsXP und mit der Netzwerksystematik auskenne ist es mir schon fast peinlich, diesen Thread anzuschneiden. Aber da man ja nicht alles wissen kann und auf der Hut ist, fang ich jetzt einfach mal an mein Problem zu schildern:

Nach einer Weile der Systemnutzung öffnete ich das Programm netstat und erhielt folgende Einträge:

Zitat:

Zitat von netstat.exe

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP bartonatz:1025 localhost:44334 HERGESTELLT
TCP bartonatz:1028 localhost:1032 HERGESTELLT
TCP bartonatz:1032 localhost:1028 HERGESTELLT
TCP bartonatz:1034 localhost:44334 HERGESTELLT
TCP bartonatz:1036 localhost:1038 HERGESTELLT
TCP bartonatz:1038 localhost:1036 HERGESTELLT
TCP bartonatz:1058 localhost:1059 HERGESTELLT
TCP bartonatz:1059 localhost:1058 HERGESTELLT
TCP bartonatz:1060 localhost:1061 HERGESTELLT
TCP bartonatz:1061 localhost:1060 HERGESTELLT
TCP bartonatz:44334 localhost:1025 HERGESTELLT
TCP bartonatz:44334 localhost:1034 HERGESTELLT

dann, schon ein wenig gewundert versuchte ich es mit netstat -b

Zitat:

Zitat von netstat -b

Proto Lokale Adresse Remoteadresse Status PID
TCP bartonatz:1025 localhost:44334 HERGESTELLT 280
[kpf4gui.exe]

TCP bartonatz:1028 localhost:1032 HERGESTELLT 280
[kpf4gui.exe]

TCP bartonatz:1032 localhost:1028 HERGESTELLT 1764
[kpf4ss.exe]

TCP bartonatz:1034 localhost:44334 HERGESTELLT 464
[kpf4gui.exe]

TCP bartonatz:1036 localhost:1038 HERGESTELLT 464
[kpf4gui.exe]

TCP bartonatz:1038 localhost:1036 HERGESTELLT 1764
[kpf4ss.exe]

TCP bartonatz:1058 localhost:1059 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:1059 localhost:1058 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:1060 localhost:1061 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:1061 localhost:1060 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:44334 localhost:1025 HERGESTELLT 1764
[kpf4ss.exe]

TCP bartonatz:44334 localhost:1034 HERGESTELLT 1764
[kpf4ss.exe]

so. verwundert war ich eigtl. schon. weil ich normalerweise dort nichts stehen hatte bzw. nur verbindungen mit die ungefähr so aussehen:

Zitat:

Zitat von normal netstat

TCP bartonatz:1972 mu-in-f104.google.com:http HERGESTELLT 2956

[firefox.exe]

aber dann halt auch solche:

Zitat:

Zitat von abnormal netstat

TCP bartonatz:1971 localhost:1039 WARTEND 0
TCP bartonatz:44501 localhost:1973 WARTEND 0
*KOMMENTAR: diese ports wurden keiner anwendung (PID=0) zugeordnet und
solche einträge wurden mehrfach (4+) aufgelistet!

ich bekam also die panik weil ich mir diese oben erwähnten meldungen komisch vorkamen. ich öffnete daher mein virenprogramm und begann zu suchen.
antivir fand jedoch garnichts, eScan (wie im FAQ beschrieben) fand 2 - 4 nicht benutzte backdoor programme und kaspersky online auch nur ein weiteres backdoorprogramm, was anscheinend auch nur eine fehlmeldung war. es war die uninstall.exe vom ccleaner. komisch...
hijackthis und rootkit revealer brachten folgende erbenisse: (firefox lief noch)

Zitat:

Zitat von rootkit revealer 1.7

HKLM\SECURITY\Policy\Secrets\SAC* 07.08.2007 02:56 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 07.08.2007 02:56 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 07.08.2007 14:12 0 bytes Access is denied.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\plugtmp-1 09.08.2007 06:53 20 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\plugtmp\crossdomain.xml 09.08.2007 06:53 543 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 07.08.2007 17:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 07.08.2007 17:58 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 09.08.2007 07:06 64.00 KB Visible in Windows API, but not in MFT or directory index.

Zitat:

Zitat von HiJackThis 2.0.2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:16:54, on 09.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GRISOF~1\avgamsvr.exe
C:\PROGRA~1\GRISOF~1\avgupsvc.exe
C:\PROGRA~1\GRISOF~1\avgemc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Sunbelt Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Personal Firewall\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\GRISOF~1\avgcc.exe
C:\Programme\Trust 250S Series\lwbwheel.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\*******\Programme\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QECUIOTJK.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
F:\*******\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WinFuture.de - Das Windows Online Magazin
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe < SiS USB Bridge TreiberExe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd < ????
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOF~1\avgcc.exe /STARTUP < Virenscanner
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust 250S Series\lwbwheel.exe < MaustreiberEXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" < Java UpdateScheduler
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe < ????
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') < ????
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\GRISOF~1\avgw.exe /RUNONCE (User 'LOKALER DIENST') < AVG Virenscanner
O4 - HKUS\S-1-5-19\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'LOKALER DIENST') < Explorer
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') < ????
O4 - HKUS\S-1-5-20\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'NETZWERKDIENST') < Explorer
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') < ????
O4 - HKUS\S-1-5-18\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'SYSTEM') < Explorer
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') < ????
O4 - HKUS\.DEFAULT\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'Default user') < Explorer
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll < Java SSV.dll Console
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll < Java SSV.dll Console
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe < wie es dasteht?
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe < wie es dasteht?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe < wie es dasteht?
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe < wie es dasteht?
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://w*w.kaspersky.com/kos/...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://w*w.update.microsoft.c...?1186497959296 < wie es dasteht?
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2E438F-0440-43B5-A98D-0A9FD805A99D}: NameServer = 192.168.1.1,104.61.*.* < wie es dasteht?
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F2E438F-0440-43B5-A98D-0A9FD805A99D}: NameServer = 192.168.1.1,104.61.*.* < wie es dasteht?
O17 - HKLM\System\CS2\Services\Tcpip\..\{4F2E438F-0440-43B5-A98D-0A9FD805A99D}: NameServer = 192.168.1.1,104.61.*.* < wie es dasteht?
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe < wie es dasteht?
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe < wie es dasteht?
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgamsvr.exe < wie es dasteht?
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgupsvc.exe < wie es dasteht?
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgemc.exe < wie es dasteht?
O23 - Service: QECUIOTJK - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QECUIOTJK.exe < wie es dasteht?
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe < wie es dasteht?
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Personal Firewall\kpf4ss.exe < wie es dasteht?

--
End of file - 5913 bytes

Probleme habe ich derzeit: Ich betreibe einen offenen FTP (WLAN+) auf diesem Rechner und sitze daher, von einem router geschützt, an einem MESH-Netzwerk. Daher muss und will ich vorsichtig sein und auch genau deswegen poste ich meine Logs hier auch. Ebenfalls spinnt mein Mauszeiger manchmal rum (Windows-API?!) bzw. ich habe ständige (IDE-)Festplatten Zugriffe, auch wenn nichts auf dem Rechner passiert. ALSO:

Ist dieser Rechner in Gefahr?
Was bedeuten die Netstat Einträge?!
Und vorallem:

Warum zeigt meine Firewall solche Verbindungen an? (angriffstyp)

Zitat:

Zitat von Sunbelt P Firewall 5.xx

Von: 127.0.0.1:1056 IExplore.exe
Nach: 127.0.0.1:1048
ACHTUNG : VERTRAUTER BEREICH!

danke schonmal!

kill.akurt

Hallo und im Trojaner Board!


1.) Du sagst selbst das dein System als FTP-Server fungiert, ist es da nicht normal das auf dem "Localhost" diverse Ports geöffnet sind?!
Für was nutzt du denn den Server überhaupt, bzw. was verteilst du?


2.) Alle Einträge durch netstat -b sind meiner Ansicht nach NORMAL, d.h. sowohl die Einträge von Firefox als auch von deiner Firewall.


3.)

Zitat:

Warum zeigt meine Firewall solche Verbindungen an? (angriffstyp)

Sollte auch normal sein, sofern du versucht hast mit dem IE ins Netz zu gehen, bzw. das Updates überprüft oder geladen werden.


Versuch trotzdem nochmal dein System zu scannen, und poste die jeweiligen Ergebnisse:


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QECUIOTJK.exe
C:\WINDOWS\system32\Ati2evxx.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

hi!

zu 1.
naja, eigtl. schon.(?!) nur ist es ja mit windows nicht möglich, per nmap den eigenen rechner abzugrasen. hab nun noch einen remote-portscan gemacht und dabei festgestellt, das die ftp ports, der domain port(53) und ein kein weiterer im stillstand modus nach aussen offen sind. scheint also alles wirklich normal zu sein.

übrigens: der ftp wird für nichts illegales wie z.b. filme leechen lassen, drohbriefe deponieren, ware up- und downloaden, pornographie illegal verbreiten, rassisistisches oder faschistoides gedankengut propagieren, konferenzen abhalten, GMS für cracking groups anbieten bzw. MassMediaStoringNetworkDevice zu sein benutzt oder gemietet. mit ner theoretischen 54mbit/s anfahrt gar nicht zu realisieren!! Nee,jetzt mal ernsthaft:
Er ist vielmehr Game- und Teamspeakserver. Der vorher erwähnte FTP ist viel mehr eine nützliche Auslastung dafür, den Rechner 24h/7d am laufen zu haben. Wobei es diese Woche mal wieder nur 6h/2d waren wird halt noch nicht so genutzt, hier in der stadt.

zu 2. und dem rest

na dein beitrag ist auch nicht gerade hilfreich. bis auf ein paar links zu diversen downloadwebsites ist hier wirklich nichts dazugekommen! aber ok. ich poste dann mal noch meine dateigrößen bzw. stell ne referenz zu den einzelnen versionsnummern in größe und binärem output. logisch. hab ja auch nix zu tun. achso und das festplattenabbild stell ich mit hilfe von google maps auch mal noch ins internet.

also : nicht übel nehmen. h.e.a.l.!

Zitat:

Zitat von killakurt

zu 2. und dem rest

na dein beitrag ist auch nicht gerade hilfreich. bis auf ein paar links zu diversen downloadwebsites ist hier wirklich nichts dazugekommen! aber ok. ich poste dann mal noch meine dateigrößen bzw. stell ne referenz zu den einzelnen versionsnummern in größe und binärem output. logisch. hab ja auch nix zu tun. achso und das festplattenabbild stell ich mit hilfe von google maps auch mal noch ins internet.

also : nicht übel nehmen. h.e.a.l.!

IRONIE AN:

Hab ich irgendwas verpasst?

Ich weiß zwar nicht was H.E.A.L. bedeuten mag, vielleicht erklärst du es mir, aber irgendwie kann ich deine Ironie weder verstehen, noch beherzigen noch zuordnen!

Wenn du meinst alles besser zu wissen, warum meldest du dich dann hier an?
Wenn du meinst das ich dich nur mit diversen download_websites bombadiere die deinem Problem vielleicht Abhilfe hätten schaffen können, dann tut es mir in keinster Weise Leid.

IRONIE AUS:

also: nicht übel nehmen. und keine weiteren Flamewarbaits

h.e.a.l. heisst hab euch alle lieb...und warum machst du mich jetzt so dumm?

killakurt

p.s.
/RECEIVE ON den f-secure rootkit revealer hab ich ausprobiert. der hat nix gefunden. also danke. /RECEIVE OFF

/SELBSTKRITIK AN vlt. sollte ich auch mehr auf real-time-defensing *g* bauen. /SELBSTKRITIK AUS
/VORSCHLAG AN Ich kann auch wo anders hingehen, Sie Noop. /VORSCHLAG AUS ./SIGNATUR EDIT mit spruch des jahres

pss.

also: nicht übel nehmen. und was sind Flamewarbaits?

Hallo.

Ich hab ehrlich gesagt noch nicht verstanden, wo dein Problem genau liegt. Wenn du alltägliche Programme wie Firefox, Thunderbird oder so ausführst, kann es durchaus normal sein, dass localhost Einträge in netstat angezeigt werden, die von den Programmen temp. genutzt werden.

Hast schon mal ein netstat gemacht wo wirklich nur die nötigsten Programme liefen (kein FF oder so)?
GGf. schau mal mit tcpview und/oder dem Process Explorer nach, tcpview ist ein grafisch aufgebohrtes netstat, wo man recht schnell eine Überblick der Prozesse bekommt, die Netzwerkverbindungen aufbauen.

Zitat:

Warum zeigt meine Firewall solche Verbindungen an? (angriffstyp)

PFWs zeigen so ziemlich jeden "Furz" im Internet an, ich würde mich nicht zu sehr auf die Meldungen einer PFW verlassen. Siehe auch hier