netstat Auswerten mit komischen Namen statt IP

Pandaren · 06.08.2010, 15:06

Hallo,

ich habe meinen PC seit kurzen neu installiert, ich habe bisher keine alten exe oder dll Dateien ausgeführt und auch sonst nichts unsicheres gemacht. Trozdem habe ich den verdacht, dass sich etwas vorbei geschliechen hat. Auch habe ich gemerkt das mein Kaspersky(seit der ersten Verbindung aktiv), an dauernt diese legalen Prozesse,die potentiell gefährlich sind, oder so findet, die beim ersten mal im Recycle Order drin waren, obwohl ich den eigentlich über Linux gelöscht habe(glaub ich).

netstat -b

Code:

ATTFilter

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    192.168.0.111:63124    fx-in-f104:http        WARTEND
  TCP    192.168.0.111:63125    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63126    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63127    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63128    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63129    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63131    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63132    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63133    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63134    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63135    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63136    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63137    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63138    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63139    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63140    a92-122-207-155:http   WARTEND
  TCP    192.168.0.111:63141    a92-122-207-155:http   WARTEND

netstat -a

Code:

ATTFilter

  
  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:80             Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:135            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:443            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:445            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:912            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:3306           Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49152          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49153          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49154          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49155          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49156          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49157          Admin-PC:0              ABHÖREN
  TCP    192.168.0.111:139      Admin-PC:0              ABHÖREN
  TCP    192.168.0.111:63128    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63129    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63131    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63132    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63133    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63134    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63135    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63136    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63137    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63138    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63139    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63140    a92-122-207-155:http   WARTEND
  TCP    192.168.0.111:63141    a92-122-207-155:http   WARTEND
  TCP    192.168.25.1:139       Admin-PC:0              ABHÖREN
  TCP    192.168.40.1:139       Admin-PC:0              ABHÖREN
  TCP    [::]:80                Admin-PC:0              ABHÖREN
  TCP    [::]:135               Admin-PC:0              ABHÖREN
  TCP    [::]:443               Admin-PC:0              ABHÖREN
  TCP    [::]:445               Admin-PC:0              ABHÖREN
  TCP    [::]:49152             Admin-PC:0              ABHÖREN
  TCP    [::]:49153             Admin-PC:0              ABHÖREN
  TCP    [::]:49154             Admin-PC:0              ABHÖREN
  TCP    [::]:49155             Admin-PC:0              ABHÖREN
  TCP    [::]:49156             Admin-PC:0              ABHÖREN
  TCP    [::]:49157             Admin-PC:0              ABHÖREN
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:53142        *:*
  UDP    192.168.0.111:137      *:*
  UDP    192.168.0.111:138      *:*
  UDP    192.168.0.111:1900     *:*
  UDP    192.168.25.1:137       *:*
  UDP    192.168.25.1:138       *:*
  UDP    192.168.25.1:1900      *:*
  UDP    192.168.40.1:137       *:*
  UDP    192.168.40.1:138       *:*
  UDP    192.168.40.1:1900      *:*
  UDP    [::]:500               *:*
  UDP    [::]:4500              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:53141            *:*
  UDP    [fe80::8999:2b32:7194:bb3%11]:546  *:*
  UDP    [fe80::8999:2b32:7194:bb3%11]:1900  *:*
  UDP    [fe80::9412:ca90:fbb8:e201%16]:546  *:*
  UDP    [fe80::9412:ca90:fbb8:e201%16]:1900  *:*
  UDP    [fe80::e1bb:a25:36a2:1a47%14]:546  *:*
  UDP    [fe80::e1bb:a25:36a2:1a47%14]:1900  *:*

Ich frage mich wirklich warum ich ports mit +60000 offen habe und ich frage mich was diese "a92-122-207-171" und "fe80::8999:2b32:7194:bb3%11" zu bedeuten haben, ich kann von ihnen auf keine IP Adresse schließen.

Hoffe jemand kann helfen. Es könnte ein rootkit sein oder ein bestehender backdoor.

cosinus · 06.08.2010, 21:22

Zitat:

Ich frage mich wirklich warum ich ports mit +60000 offen habe

Weil für bestehende Verbindungen ein Port >1024 ausgewählt wird! Würdest Du zB Deine Verbindungssession über einen Webserver auch ständig über Port 80 laufen lassen, könnte sich kein anderer mehr mit dem verbinden. Der Webserver lauscht auf Port 80, die verbindest Dich mit ihm, wenn die Verbindung besteht wird alles weitere über zufällig hohe Ports geregelt.

Nur Logs von netstat sind fast wie Kaffeesatzleserei.
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

netstat Auswerten mit komischen Namen statt IP

Antiviren-, Firewall- und andere Schutzprogramme: netstat Auswerten mit komischen Namen statt IP

netstat Auswerten mit komischen Namen statt IP

netstat Auswerten mit komischen Namen statt IP

Ähnliche Themen: netstat Auswerten mit komischen Namen statt IP