XP: welche proggies nutzen lokalen Port 1243?

Rufus1966 · 13.10.2008, 12:39

Hallöle,
Norton Antivirus zeigt im Protokoll, dass lokaler Port 1243 (Backdoor-G) bei GMX auf Port 110 zugreift.
Hier mal der Auszug:
13.10.2008 10:21:56,192.168.178.21,Backdoor-g-1(1243),213.165.64.22,pop3(110),42,167,0:00:00.250,"Verbindung: pop.gmx.net: pop3(110) Von 01815MEINEREINE: Backdoor-g-1(1243), 42 Bytes gesendet, 167 Bytes empfangen, Zeitdauer: 0.250"

Norton bezeichnet den Port 1243 wohl generell als Backdoor-G, ohne das ein Trojaner im System sein muss.

Gibt es legale Programme die den Port 1243 bisweilen nutzen??
Mein PC hängt an einer Eumex 300ip. Norton Antivirus2008 und Comodo Firewall sind installiert. Ein DateiScan von Laufwerk C: über Chip-Linux-Rettungs-DVD war sauber!

Danke schonmal für eure Infos!

cosinus · 13.10.2008, 22:05

Hallo und

Das sieht irgendwie merkwürdig aus, ich würde spintan auf nen Fehlalarm tippen, aber man weiß ja nie.

Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Dann sehen wir weiter.

Rufus1966 · 14.10.2008, 09:29

danke schonmal!!!
Hier mal das Logfile. Als "Laie" fällt mir jetzt nichts besonderes auf.
Allerdings hat Norton nachfolgende Verbindung gestern mitprotokolliert:

13.10.2008 14:32:06,192.168.178.21,Backdoor-g-1(1243),88.221.32.146,https(443),11145,66974,0:08:28.500,"Verbindung: 88.221.32.146: https(443) Von 01815MEINEREINE: Backdoor-g-1(1243), 11145 Bytes gesendet, 66974 Bytes empfangen, Zeitdauer: 8:28.500"

Ich hatte zu diesem Zeitpunkt sicherheitshalber meinen PayPal-Account gekündigt. Die IP-Addy 88.221.32.146 gehört zu PayPal!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:18, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\Ai Booster\OverClk.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Pen_Tablet.exe
I:\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://ssaw.symantec.com/?SASSERVER=sasmain.symantec.com&TRANSID=/72778/xyyDmAAARzD8Wevg/003N000Y00AP&TID=xyyDmAAARzD8Wevg&SKU=385&VID=131&PID=34&FP=0FF6EEC40FF6F352&LNG=DEU&ISPID=1003&CID=301&SN=Germany
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - I:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - I:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programme\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2052111302-746137067-1177238915-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'FR-Surf')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-21-2052111302-746137067-1177238915-1006 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'FR-Surf')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8881 bytes

cosinus · 14.10.2008, 11:02

Hmhm...Du hast nicht zufällig gerade was bei GMX oder Ebay/Paypal gemacht zu den Zeitpunkten dieser Protokolleinträge?

Rufus1966 · 14.10.2008, 11:12

Ja doch.
Outlook Express hat zu dem Zeitpunkt meine ganzen Emails bei verschiedenen Accounts abgerufen und Paypal hatte ich zu dem Zeitpunkt gerade gekündigt.

Mich stört halt der Port 1243 den Norton wohl generell als Backdoor-G bezeichnet.

MightyMarc · 14.10.2008, 17:18

Man möge mir meine Naivität verzeihen, aber könnte nicht

Code:

ATTFilter

netstat -abn

Licht ins Dunkel bringen?

Marc

13.10.2008, 22:05	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	XP: welche proggies nutzen lokalen Port 1243? Anleitung / Hilfe Hallo und Das sieht irgendwie merkwürdig aus, ich würde spintan auf nen Fehlalarm tippen, aber man weiß ja nie. Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! Dann sehen wir weiter. __________________ __________________

14.10.2008, 11:02	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Lösung: XP: welche proggies nutzen lokalen Port 1243? Hmhm...Du hast nicht zufällig gerade was bei GMX oder Ebay/Paypal gemacht zu den Zeitpunkten dieser Protokolleinträge? __________________ Logfiles bitte immer in CODE-Tags posten

XP: welche proggies nutzen lokalen Port 1243?

Alles rund um Windows: XP: welche proggies nutzen lokalen Port 1243?

Problem: XP: welche proggies nutzen lokalen Port 1243?

XP: welche proggies nutzen lokalen Port 1243? Anleitung / Hilfe

XP: welche proggies nutzen lokalen Port 1243? Details

Lösung: XP: welche proggies nutzen lokalen Port 1243?

Wie XP: welche proggies nutzen lokalen Port 1243?

Wo XP: welche proggies nutzen lokalen Port 1243? Lösung!

Ähnliche Themen: XP: welche proggies nutzen lokalen Port 1243?

14.10.2008, 11:12	#5
Rufus1966	Wie XP: welche proggies nutzen lokalen Port 1243? Ja doch. Outlook Express hat zu dem Zeitpunkt meine ganzen Emails bei verschiedenen Accounts abgerufen und Paypal hatte ich zu dem Zeitpunkt gerade gekündigt. Mich stört halt der Port 1243 den Norton wohl generell als Backdoor-G bezeichnet.

14.10.2008, 17:18	#6
MightyMarc	Wo XP: welche proggies nutzen lokalen Port 1243? Lösung! Man möge mir meine Naivität verzeihen, aber könnte nicht Code: ATTFilter netstat -abn Licht ins Dunkel bringen? Marc __________________ --> XP: welche proggies nutzen lokalen Port 1243?