Trojaner-Board - Viele NAT Sessions

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Viele NAT Sessions (https://www.trojaner-board.de/103261-viele-nat-sessions.html)

Viele NAT Sessions

Hallo zusammen,

nachdem mir dieses Board so toll mit meinem Privat-PC geholfen hat, wollte ich noch eine Frage zu meinem Büro-PC stellen.

Wir arbeiten in einem kleinen Netzwerk über einen gemeinsamen DSL/WLAN-Router. In letzter Zeit ist das Internet oft sehr langsam. Ich habe nun im Router nachgesehen und in der NAT Sessions Table meiner Ansicht nach ungewöhnlich viele Einträge gefunden. Mein Rechner z.B. hat die IP ....111 und hat folgende Einträge:

Code:

-------------------------------------------------------------------------------

     Private IP :Port #Pseudo Port         Peer IP :Port  Interface

-------------------------------------------------------------------------------

  192.168.1.111  1170        50857  199.47.216.173   443    WAN1

  192.168.1.111  1171        50858  107.20.249.212   443    WAN1

  192.168.1.111  1173        50860  199.47.216.146    80    WAN1

  192.168.1.111  1202        50889   80.237.133.27   143    WAN1

  192.168.1.111  1203        50890   80.237.133.27   143    WAN1

  192.168.1.111  1204        50891   80.237.133.27   143    WAN1

  192.168.1.111  1205        50892   80.237.133.27   143    WAN1

  192.168.1.111  1208        50895   80.237.133.27   143    WAN1

  192.168.1.111  1213        50900   80.237.133.27   143    WAN1

  192.168.1.111  1214        50901   80.237.133.27   143    WAN1

  192.168.1.111  1215        50902   80.237.133.27   143    WAN1

  192.168.1.111  1216        50903   80.237.133.27   143    WAN1

  192.168.1.111  1219        50906   80.237.133.27   143    WAN1

  192.168.1.111  1224        50911   80.237.133.27   143    WAN1

  192.168.1.111  1228        50915   80.237.133.27   143    WAN1

  192.168.1.111  1229        50916   80.237.133.27   143    WAN1

  192.168.1.111  1230        50917   80.237.133.27   143    WAN1

  192.168.1.111  1232        50919   80.237.133.27   143    WAN1

  192.168.1.111  1233        50920   80.237.133.27   143    WAN1

  192.168.1.111  1234        50921   80.237.133.27   143    WAN1

  192.168.1.111  1260        50947   74.125.39.105    80    WAN1

  192.168.1.111  1263        50950   63.245.209.45    80    WAN1

  192.168.1.111  1265        50952   74.125.39.120    80    WAN1

  192.168.1.111  1267        50954   74.125.39.105    80    WAN1

  192.168.1.111  1269        50956   74.125.39.105    80    WAN1

  192.168.1.111  1271        50958   63.245.209.45    80    WAN1

  192.168.1.111  1273        50960    74.125.77.95    80    WAN1

  192.168.1.111  1275        50962   63.245.209.45    80    WAN1

  192.168.1.111  1277        50964   63.245.209.45    80    WAN1

  192.168.1.111  1279        50966   63.245.209.45    80    WAN1

  192.168.1.111  1281        50968   63.245.209.45    80    WAN1

  192.168.1.111  1283        50970   66.102.13.101    80    WAN1

Frage: Ist das normal oder haben wir da einen Trojaner im Netz, der heimlich die Verbindung nutzt? Eigentlich sollte pro PC doch nur eine - vielleicht ein paar - NAT Sessions offen sein, oder?

Vielen Dank im Voraus!!!!

Nur anhand von Verbindungen lässt sich nicht wirklich sagen ob da was werkelt oder nicht. Diese Anzahl kann durchaus normal sein.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne!

Hier die Logs - zuerst Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7684
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

10.09.2011 08:07:35

mbam-log-2011-09-10 (08-07-35).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|W:\|)

Durchsuchte Objekte: 716953

Laufzeit: 14 Stunde(n), 39 Minute(n), 1 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Die OTL-Logs als ZIP-Datei:

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ja, da gibt es noch welche:

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7602
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

30.08.2011 17:32:49

mbam-log-2011-08-30 (17-32-49).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 208719

Laufzeit: 15 Minute(n), 41 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7468
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

15.08.2011 14:02:38

mbam-log-2011-08-15 (14-02-38).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 361417

Laufzeit: 3 Stunde(n), 3 Minute(n), 21 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Es gibt auch noch eine Reihe von "protection-logs", sind die auch wichtig?

Ja poste die auch mal.
Führe auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Die sehen eigentlich alle mehr oder weniger so aus:

Code:

08:59:24        Sangmeister        MESSAGE        Protection started successfully

08:59:31        Sangmeister        MESSAGE        IP Protection started successfully

08:59:31        Sangmeister        MESSAGE        IP Protection stopped

09:00:27        Sangmeister        MESSAGE        Database updated successfully

15:18:40        Sangmeister        MESSAGE        Protection started successfully

15:18:49        Sangmeister        MESSAGE        IP Protection started successfully

15:18:49        Sangmeister        MESSAGE        IP Protection stopped

Ok, ist uninteressant. Poste bitte das ESET Log.

ESET sagt "No threats found":

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=f07b7a5cda413c4a862b41827bcc4f5f

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2011-09-12 08:41:29

# local_time=2011-09-12 10:41:29 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1792 16777175 100 0 23862895 23862895 0 0

# compatibility_mode=8192 67108863 100 0 134 134 0 0

# scanned=140374

# found=0

# cleaned=0

# scan_time=13681

Also keine Funde. Und die NAT Sessions sind durchaus normal.

OK, super. Danke für die Hilfe!!!