Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   XP: welche proggies nutzen lokalen Port 1243? (https://www.trojaner-board.de/61974-xp-welche-proggies-nutzen-lokalen-port-1243-a.html)

Rufus1966 13.10.2008 12:39
XP: welche proggies nutzen lokalen Port 1243?
 
Hallöle,
Norton Antivirus zeigt im Protokoll, dass lokaler Port 1243 (Backdoor-G) bei GMX auf Port 110 zugreift.
Hier mal der Auszug:
13.10.2008 10:21:56,192.168.178.21,Backdoor-g-1(1243),213.165.64.22,pop3(110),42,167,0:00:00.250,"Verbindung: pop.gmx.net: pop3(110) Von 01815MEINEREINE: Backdoor-g-1(1243), 42 Bytes gesendet, 167 Bytes empfangen, Zeitdauer: 0.250"

Norton bezeichnet den Port 1243 wohl generell als Backdoor-G, ohne das ein Trojaner im System sein muss.

Gibt es legale Programme die den Port 1243 bisweilen nutzen??
Mein PC hängt an einer Eumex 300ip. Norton Antivirus2008 und Comodo Firewall sind installiert. Ein DateiScan von Laufwerk C: über Chip-Linux-Rettungs-DVD war sauber!

Danke schonmal für eure Infos!

cosinus 13.10.2008 22:05
Hallo und :hallo:

Das sieht irgendwie merkwürdig aus, ich würde spintan auf nen Fehlalarm tippen, aber man weiß ja nie.

Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Dann sehen wir weiter.

Rufus1966 14.10.2008 09:29
danke schonmal!!!
Hier mal das Logfile. Als "Laie" fällt mir jetzt nichts besonderes auf.
Allerdings hat Norton nachfolgende Verbindung gestern mitprotokolliert:

13.10.2008 14:32:06,192.168.178.21,Backdoor-g-1(1243),88.221.32.146,https(443),11145,66974,0:08:28.500,"Verbindung: 88.221.32.146: https(443) Von 01815MEINEREINE: Backdoor-g-1(1243), 11145 Bytes gesendet, 66974 Bytes empfangen, Zeitdauer: 8:28.500"

Ich hatte zu diesem Zeitpunkt sicherheitshalber meinen PayPal-Account gekündigt. Die IP-Addy 88.221.32.146 gehört zu PayPal!


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:18, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\Ai Booster\OverClk.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Pen_Tablet.exe
I:\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://ssaw.symantec.com/?SASSERVER=sasmain.symantec.com&TRANSID=/72778/xyyDmAAARzD8Wevg/003N000Y00AP&TID=xyyDmAAARzD8Wevg&SKU=385&VID=131&PID=34&FP=0FF6EEC40FF6F352&LNG=DEU&ISPID=1003&CID=301&SN=Germany
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - I:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - I:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programme\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2052111302-746137067-1177238915-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'FR-Surf')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-21-2052111302-746137067-1177238915-1006 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'FR-Surf')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8881 bytes

cosinus 14.10.2008 11:02
Hmhm...Du hast nicht zufällig gerade was bei GMX oder Ebay/Paypal gemacht zu den Zeitpunkten dieser Protokolleinträge? :confused:

Rufus1966 14.10.2008 11:12
Ja doch.
Outlook Express hat zu dem Zeitpunkt meine ganzen Emails bei verschiedenen Accounts abgerufen und Paypal hatte ich zu dem Zeitpunkt gerade gekündigt.

Mich stört halt der Port 1243 den Norton wohl generell als Backdoor-G bezeichnet.

MightyMarc 14.10.2008 17:18
Man möge mir meine Naivität verzeihen, aber könnte nicht
Code:
netstat -abn
Licht ins Dunkel bringen?

Marc

cosinus 14.10.2008 17:25
Zitat:
Zitat von %ComSpec% (Beitrag 382224)
Man möge mir meine Naivität verzeihen, aber könnte nicht
Code:
netstat -abn
Licht ins Dunkel bringen?

Marc
Ja, das könnte es durchaus! ;)

KarlKarl 15.10.2008 09:19
Hi
Zitat:
Gibt es legale Programme die den Port 1243 bisweilen nutzen?
aber ja. Z.B. Windows.

Dein Mailprogramm will die Mails laden. Dazu gibt es vor die Adresse des Mailservers und Port 25, mit den Angaben ist der Mailserver zu erreichen. Auf deiner Seite der Verbindung ist aber auch ein Port erforderlich, von dem aus die Verbindung aufgebaut wird. Welcher das ist, ist egal, Hauptsache irgendeiner. Das Mailprogramm macht sich deshalb keinen Kopf darum (könnte es auch nicht). Der Netzwerkcode von Windows wählt dafür einfach einen Port aus. Es gibt da ein paar Untershciede, aber vermutlich fängt er einfach an, der Reihe nach die Ports ab 1024 zu benutzen. Zwischendurch kommt dann eben 1243 dran und schon hat Norton erkannt, dass diren System vom Backdoorserver Sub7 (der nämlich früher mal auf Port 1243 vorkonfiguriert war) befallen ist.

Und wenn es nicht das Mailprogramm ist, dann eben der Webbrowser oder sonstwas, ändert nichts am Prinzip.

Was lernen wir daraus? Dass Norton noch dümmer als Hühnerscheiße ist.

Gruß, Karl

cosinus 15.10.2008 09:34
Zitat:
Was lernen wir daraus? Dass Norton noch dümmer als Hühnerscheiße ist.
Genau das hab ich ja schon vermutet, wollte es aber ehrlich gesagt bei der aktuellen Version von der gelben Pest nicht glauben :balla:

Rufus1966 15.10.2008 17:59
Dann bin beruhigt und doch nicht paranoid :-)
Hatte mir extra Wireshark installiert und den Port 1243 loggen lassen. Ausser Firefox und Mailproggie lief da kein Datenverkehr.
Aber äusserst interessant ist zu sehen, wenn man Wireshark ein ping zu google loggen lässt! Was da an Daten ausgetauscht wird........hammer!

DANKE an KARLKARL für die Erklärung!! Jetzt kann ich wohl wieder nachts ruhig schlafen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131