|
Ist dieses logfile sauber? Hallo Forum, was haltet ihr von diesem logfile? Ich bin misstrauisch geworden nachdem ich ein verdächtiges netstat -a hatte (direkt nach Neustart und Netzwerk ausgestöpselt): Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP p4:epmap p4:0 ABHÖREN TCP p4:microsoft-ds p4:0 ABHÖREN TCP p4:1025 p4:0 ABHÖREN TCP p4:1028 p4:0 ABHÖREN TCP p4:1029 p4:0 ABHÖREN TCP p4:5000 p4:0 ABHÖREN TCP p4:18350 p4:0 ABHÖREN TCP p4:1028 localhost:18350 HERGESTELLT TCP p4:4664 p4:0 ABHÖREN TCP p4:18350 localhost:1028 HERGESTELLT UDP p4:microsoft-ds *:* UDP p4:isakmp *:* UDP p4:1035 *:* UDP p4:ntp *:* UDP p4:1034 *:* UDP p4:1900 *:* UDP p4:ntp *:* UDP p4:1900 *:* Hier das HJT log: Logfile of HijackThis v1.99.1 Scan saved at 14:59:19, on 22.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe d:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe D:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\cmd.exe D:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.**.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.**.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Download All Files by HiDownload - d:\Programme\HiDownload\HDGetAll.htm O8 - Extra context menu item: Download by HiDownload - d:\Programme\HiDownload\HDGet.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - d:\Programme\HiDownload\hidownload.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5980EFE4-F873-43BB-9A0F-701738B29140}: NameServer = 192.168.1.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe Vielen Dank im voraus!! |
Hallo schischa, soweit nix verdächtiges zu sehen. ABER damit das auch so bleibt,schnellstens System aktualisieren.Stichwort SP2 dann beschäftige dich mal damit : 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen (Alternativ:http://www.blafusel.de/ie.html) Irrlicht |
Und was ist mit dem netstat? Vor allem diese ports kommen mir seltsam vor: TCP p4:1025 p4:0 ABHÖREN TCP p4:1028 p4:0 ABHÖREN TCP p4:1029 p4:0 ABHÖREN TCP p4:5000 p4:0 ABHÖREN TCP p4:18350 p4:0 ABHÖREN Bei http://www.gaijin.at/lsttrojanports.php werden diese ports als Trojanerports gelistet... |
Servus! Schließe mal alle unnötigen ports (zb mit http://www.dingens.org/ dingens oder http://www.ntsvcfg.de/ ntsvcfg) und wiederhole die netstat-Abfrage! Und - irrlicht hats Dir ja schon geleuchtet - update Dein BS mit SP2! stupormundi |
Danke erstmal für eure Hilfe! Ich hab auf der dingens Seite gelesen, dass ich das Programm gar nicht brauche, wenn mein Router NAT unterstützt. Ich habe einen Zyxel WLan Router (Arcor) und habe dort NAT nur SUA aktiviert und für edonkey ein paar ports freigegeben. Reicht das, oder sind diese Einstellungen unsicher? BTW, wenn ich die firewall meines Routers aktiviere erzählt mir der ie ab und zu, dass ich offline bin. Dann kann ich für 30 Sekunden nicht surfen (nur Fehlermeldungen im ie) und dann gehts wieder... Soll ich die netstat Abfrage nur ausführen, wenn ich frisch gebootet habe und das Netzwerkkabel ausgestöpselt ist, damit man auch wirklich nur "lauschende" trojaner enttarnt? |
Hallo schischa, mit Netstart siehst du die offenen Ports,nicht mehr nicht weniger.Trojaner verbergen sich dahinter und werden dir nicht "winken".Mit dem Wissen,welcher Trojaner gern welches Port benutzt,könntest du ihn einkreisen.Dieses Wissen fehlt dir aber.Also solltest du den "dingens.org" Link nochmal durchlesen.Auch mit Router gibt es eine Möglichkeit die nichtgebrauchten Ports zu schließen.Dann schaust du dir den "blafusel" Link an,handelst danach und denkst über einen alternativen Browser nach.Und ganz wichtig :Service Pack 2 !!! Irrlicht |
Ich hab SP2 jetzt installiert. Was mir aber immer noch nicht ganz klar ist: Meine firewall (Zyxel Router bzw. Arcor WLan Router 100) blockt bis auf ein paar eDonkey ports jede Kommunikation vom Netz ins Lan. Dennoch kann doch ein Trojaner einfach die "üblichen" www ports verwenden um zu kommunizieren, oder? Was also bringt das ports blocken? Und bezgl. meines netstats: Sind diese ports (vor allem die 102x) nun verdächtig, oder nicht? Wie kann ich herausfinden welcher Prozess da lauscht? Danke!! |
Hallo schischa, du kannst hier mal einen Test machen und deine Kiste checken. http://webscan.security-check.ch/test/lang=d/sid=af41f745eaf21094cd18f52b016e56cd Ansonsten solltest du dich informieren was ein Port ist,was er tut,und warum der eine oder andere Port gebraucht wird oder eben nicht.Dabei wird dir außer deinem Handbuch zum Router auch Google sehr gute Dienste leisten können. Das sind Hausaufgaben,wir alle haben sie machen müssen.Auch du wirst nicht darum herum können,wenn du deine Kiste besser verstehen willst. Irrlicht |
Hallo Irrlicht, Zitat: Ansonsten solltest du dich informieren was ein Port ist,was er tut,und warum der eine oder andere Port gebraucht wird oder eben nicht. Dabei wird dir außer deinem Handbuch zum Router auch Google sehr gute Dienste leisten können. Ich weiss was ein port ist. Allerdings bin ich kein Sicherheitsexperte und stelle mir daher die Frage was es bringt ports zu sperren, wenn die meisten Programme (Trojaner eingeschlossen) frei entscheiden können auf welchem port sie kommunizieren. So kann doch z.B. edonkey auf dem Standard www oder ftp port laufen um traffic shaping der provider auszutricksen. Wieso sollte ein trojaner nicht das gleiche können? Daher meine Frage: Was bringt das sperren von irgendwelchen ports solange ein paar ports offen sind (und sein müssen, da sonst z.B. eDonkey nicht läuft)? Ich hoffe, dass diese Frage nicht so idiotisch ist, dass man darauf antworten muss "schau mal bei google was ein port ist". Meine andere Frage: Mit welcher software kann ich herausfinden welcher Prozess an welchem port lauscht? Wenn netstat mir zeigt, dass an o.a. ports auf eine Verbindung gewartet wird, dann würde mich brennend interessieren, welcher Prozess dahinter steckt. Oder ist das technisch unmöglich? Danke! |
Hallo, ich glaube mit TCPview wird der Prozess angezeigt. Und offene Ports an sich sind kein großes Sicherheitsproblem, es kommt darauf an welche Anwendung hinter dem Port wartet. Es muß ja erstmal ein Trojaner schaffen eine Sicherheitslücke in dieser Anwendung zu finden um sich dann ausführen zu können. Wie es da bei deinen Ports 1025, 1028 und 1029 aussieht bin ich mir nicht ganz sicher, ich dachte mal gehört zu haben das es sich hier um Angriffe auf mögliche Lücken im OS handelt, die allerdings auch verpuffen wenn diese Lücke gepatcht ist. Nachtrag: Port 1025 sollte in Verbindung mit dem MS Taskplaner stehen Grüße Wildone |
Hi, danke für deine Antwort. Habe TCPView und Security Task Manager installiert und folgendes rausgefunden: 1025 wird von alg.exe (Application Gateway Layer) genutzt. Laut Security Task Manager ungefährlich, solange im system32 Ordner. 1030 von avgnt.exe (AntiVir XP). Ungefährlich. 4664 von Google Desktop 18350 von AntiVir Xp Die anderen sind momentan nicht gelistet. Ich mach mal nen Neustart und schau mal, ob die dann nochmal auftauchen. Update: Seltsam, ein paar ports, die gestern noch in meinem netstat gelistet waren, sind es nun nicht mehr. Das einzige, was mir noch Sorgen macht ist, dass ich 6 svchost Prozesse habe und einer davon ist mit 20-25 MB nicht gerade schlank. Und gemäß TCPView hat dieser prozess einen TCP port, die anderen svchosts laufen alle nur auf UDP ports. Kennt sich damit jemand aus? Danke!! |
Kennt sich keiner genauer mit svchost Prozessen aus? Irrlicht, was ist mit dir? Ich warte eigentlich immer noch auf neAntwort... :( Danke! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board