Mein 1st Post und schon ein Problem !?

killakurt · 09.08.2007, 06:33

Hallo.

Hab folgendes Problem:
Da ich mich schon ein wenig mit dem BS WindowsXP und mit der Netzwerksystematik auskenne ist es mir schon fast peinlich, diesen Thread anzuschneiden. Aber da man ja nicht alles wissen kann und auf der Hut ist, fang ich jetzt einfach mal an mein Problem zu schildern:

Nach einer Weile der Systemnutzung öffnete ich das Programm netstat und erhielt folgende Einträge:

Zitat:

Zitat von netstat.exe

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP bartonatz:1025 localhost:44334 HERGESTELLT
TCP bartonatz:1028 localhost:1032 HERGESTELLT
TCP bartonatz:1032 localhost:1028 HERGESTELLT
TCP bartonatz:1034 localhost:44334 HERGESTELLT
TCP bartonatz:1036 localhost:1038 HERGESTELLT
TCP bartonatz:1038 localhost:1036 HERGESTELLT
TCP bartonatz:1058 localhost:1059 HERGESTELLT
TCP bartonatz:1059 localhost:1058 HERGESTELLT
TCP bartonatz:1060 localhost:1061 HERGESTELLT
TCP bartonatz:1061 localhost:1060 HERGESTELLT
TCP bartonatz:44334 localhost:1025 HERGESTELLT
TCP bartonatz:44334 localhost:1034 HERGESTELLT

dann, schon ein wenig gewundert versuchte ich es mit netstat -b

Zitat:

Zitat von netstat -b

Proto Lokale Adresse Remoteadresse Status PID
TCP bartonatz:1025 localhost:44334 HERGESTELLT 280
[kpf4gui.exe]

TCP bartonatz:1028 localhost:1032 HERGESTELLT 280
[kpf4gui.exe]

TCP bartonatz:1032 localhost:1028 HERGESTELLT 1764
[kpf4ss.exe]

TCP bartonatz:1034 localhost:44334 HERGESTELLT 464
[kpf4gui.exe]

TCP bartonatz:1036 localhost:1038 HERGESTELLT 464
[kpf4gui.exe]

TCP bartonatz:1038 localhost:1036 HERGESTELLT 1764
[kpf4ss.exe]

TCP bartonatz:1058 localhost:1059 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:1059 localhost:1058 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:1060 localhost:1061 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:1061 localhost:1060 HERGESTELLT 2956
[firefox.exe]

TCP bartonatz:44334 localhost:1025 HERGESTELLT 1764
[kpf4ss.exe]

TCP bartonatz:44334 localhost:1034 HERGESTELLT 1764
[kpf4ss.exe]

so. verwundert war ich eigtl. schon. weil ich normalerweise dort nichts stehen hatte bzw. nur verbindungen mit die ungefähr so aussehen:

Zitat:

Zitat von normal netstat

TCP bartonatz:1972 mu-in-f104.google.com:http HERGESTELLT 2956

[firefox.exe]

aber dann halt auch solche:

Zitat:

Zitat von abnormal netstat

TCP bartonatz:1971 localhost:1039 WARTEND 0
TCP bartonatz:44501 localhost:1973 WARTEND 0
*KOMMENTAR: diese ports wurden keiner anwendung (PID=0) zugeordnet und
solche einträge wurden mehrfach (4+) aufgelistet!

ich bekam also die panik weil ich mir diese oben erwähnten meldungen komisch vorkamen. ich öffnete daher mein virenprogramm und begann zu suchen.
antivir fand jedoch garnichts, eScan (wie im FAQ beschrieben) fand 2 - 4 nicht benutzte backdoor programme und kaspersky online auch nur ein weiteres backdoorprogramm, was anscheinend auch nur eine fehlmeldung war. es war die uninstall.exe vom ccleaner. komisch...
hijackthis und rootkit revealer brachten folgende erbenisse: (firefox lief noch)

Zitat:

Zitat von rootkit revealer 1.7

HKLM\SECURITY\Policy\Secrets\SAC* 07.08.2007 02:56 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 07.08.2007 02:56 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 07.08.2007 14:12 0 bytes Access is denied.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\plugtmp-1 09.08.2007 06:53 20 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\plugtmp\crossdomain.xml 09.08.2007 06:53 543 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 07.08.2007 17:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 07.08.2007 17:58 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 09.08.2007 07:06 64.00 KB Visible in Windows API, but not in MFT or directory index.

Zitat:

Zitat von HiJackThis 2.0.2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:16:54, on 09.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GRISOF~1\avgamsvr.exe
C:\PROGRA~1\GRISOF~1\avgupsvc.exe
C:\PROGRA~1\GRISOF~1\avgemc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Sunbelt Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Personal Firewall\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\GRISOF~1\avgcc.exe
C:\Programme\Trust 250S Series\lwbwheel.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\*******\Programme\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QECUIOTJK.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
F:\*******\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WinFuture.de - Das Windows Online Magazin
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe < SiS USB Bridge TreiberExe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd < ????
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOF~1\avgcc.exe /STARTUP < Virenscanner
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust 250S Series\lwbwheel.exe < MaustreiberEXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" < Java UpdateScheduler
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe < ????
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') < ????
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\GRISOF~1\avgw.exe /RUNONCE (User 'LOKALER DIENST') < AVG Virenscanner
O4 - HKUS\S-1-5-19\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'LOKALER DIENST') < Explorer
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') < ????
O4 - HKUS\S-1-5-20\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'NETZWERKDIENST') < Explorer
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') < ????
O4 - HKUS\S-1-5-18\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'SYSTEM') < Explorer
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') < ????
O4 - HKUS\.DEFAULT\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'Default user') < Explorer
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll < Java SSV.dll Console
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll < Java SSV.dll Console
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe < wie es dasteht?
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe < wie es dasteht?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe < wie es dasteht?
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe < wie es dasteht?
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://w*w.kaspersky.com/kos/...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://w*w.update.microsoft.c...?1186497959296 < wie es dasteht?
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2E438F-0440-43B5-A98D-0A9FD805A99D}: NameServer = 192.168.1.1,104.61.*.* < wie es dasteht?
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F2E438F-0440-43B5-A98D-0A9FD805A99D}: NameServer = 192.168.1.1,104.61.*.* < wie es dasteht?
O17 - HKLM\System\CS2\Services\Tcpip\..\{4F2E438F-0440-43B5-A98D-0A9FD805A99D}: NameServer = 192.168.1.1,104.61.*.* < wie es dasteht?
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe < wie es dasteht?
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe < wie es dasteht?
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgamsvr.exe < wie es dasteht?
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgupsvc.exe < wie es dasteht?
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgemc.exe < wie es dasteht?
O23 - Service: QECUIOTJK - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\QECUIOTJK.exe < wie es dasteht?
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe < wie es dasteht?
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Personal Firewall\kpf4ss.exe < wie es dasteht?

--
End of file - 5913 bytes

Probleme habe ich derzeit: Ich betreibe einen offenen FTP (WLAN+) auf diesem Rechner und sitze daher, von einem router geschützt, an einem MESH-Netzwerk. Daher muss und will ich vorsichtig sein und auch genau deswegen poste ich meine Logs hier auch. Ebenfalls spinnt mein Mauszeiger manchmal rum (Windows-API?!) bzw. ich habe ständige (IDE-)Festplatten Zugriffe, auch wenn nichts auf dem Rechner passiert. ALSO:

Ist dieser Rechner in Gefahr?
Was bedeuten die Netstat Einträge?!
Und vorallem:

Warum zeigt meine Firewall solche Verbindungen an? (angriffstyp)

Zitat:

Zitat von Sunbelt P Firewall 5.xx

Von: 127.0.0.1:1056 IExplore.exe
Nach: 127.0.0.1:1048
ACHTUNG : VERTRAUTER BEREICH!

danke schonmal!

kill.akurt

Mein 1st Post und schon ein Problem !?

Plagegeister aller Art und deren Bekämpfung: Mein 1st Post und schon ein Problem !?

Mein 1st Post und schon ein Problem !?

Ähnliche Themen: Mein 1st Post und schon ein Problem !?