eigenartige verbindungen via netstat-a!
 

Hallo, habe gerade mal "netstat -a" ausgeführt, mir wurde dabei ziemlich unwohl, da sind icq verbindungen drin, mehrere, obwohl ich keine nachrichtensitzung offen habe. zudem sind da verbindungen mit freenet.ftp drin, die ich absolut nicht zuordnen kann. noch mehr stutzig machen mich die statusse, da steht ziemlich oft "abhören". kenne mich absolut nciht aus, aber das kann nicht gut sein oder?

habe nen screen und nen hijack log gemacht.
danke im voraus. mfg

screen:

[IMG]http://b.imagehost.org/t/0841/Unbenannt.jpg[/IMG]

hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:36, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://netmap.vodafone.de
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207583855929
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CDAB2D1-77E9-47C7-854A-A32DA9E073C2}: NameServer = 192.168.8.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CDAB2D1-77E9-47C7-854A-A32DA9E073C2}: NameServer = 192.168.8.254
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8418 bytes

also die sache ist mir ganz und gar nicht geheuer...kn mich bitte jemand aufklären? da steht z.b ja auch netbios.ssn port 0 abhören usw, das kann nichts gutes sein oder? bitte um hilfe! danke im voraus

ist das der thrad hier fehl m platz oder warum antwortet niemand?bitte um hilfe!!

warum antwortet mir niemand?

Wieso Dir keiner antworten will, lässt sich jetzt grad nicht eruieren, aber manchmal ist's halt so. Netstat hast Du ja schon gefunden, weswegen ich gleich mal frage, ob
etwas mehr Licht ins Dunkel bringt?

Marc

ersteinmal danke für die antwort. leider bringt das kein licht ins dunkle. da stehehn "hunderte" verbindungen mit abören oder hergestellt dahinter. das kann doch nichts gutes sein. ist der screen oben auffällig? ist das logfile aufäälig? malware bytes hat nichts gefunden.zumindest im schnelltest. danke im voraus

Wenn Du bitte so freundlich wärst, die Ausgabe des Kommandos hier zu posten. Dass zig TCP-Verbindungen zu sehen sind, ist nicht so ungewöhnlich, schliesslich kommunizieren Programme und Programmteile häufig (meist? - kann hier ein Softwareentwickler etwas Licht ins Dunkle bringen?) über Ports. Die einzelnen Module des Antivirenscanners zum Beispiel kommunizieren über zig Ports und das Updatemodul selber wieder mit dem Updateserver über mindestens einen Port. Viel kommunikative Software (auch Firefoxplugins) auf dem Rechner bedeuten auch fast immer ein ziemliches Rauschen wenn man die Verbindungsprotokolle betrachtet.

Marc

ok, hab ich gemacht. also das sind 4 screens, die ausgabe war sehr lang.

nummer 1:

http://d.imagehost.org/0982/Unbenannt.jpg


nummer 2:

http://d.imagehost.org/0011/Unbenannt2.jpg

nummer 3:

http://d.imagehost.org/0313/Unbenannt3.jpg

nummer 4:

http://d.imagehost.org/0309/Unbenannt4.jpg



mir kommen halt diese unbekannten verbindungen extrem seltsam vor. da steht oben beim "netstat- a" screen was von ftp.freenet, ich hab absolut nichts mit freenet am hut...

ist denn der hijack log in ordnung? malware bytes hat wie gesagt nichts gefunden. trotzdem kanns nicht gut sein , oder? danke schonmal!

Tja, was soll man dazu sagen? avast scheint ziemlich kommunikativ zu sein. Über 50 der Einträge gehen auf avast zurück, 10 auf Firefox und 5 Verbindungen existieren zu Google (vermutlich über Firefox), 1 zu Studi-Vz. Wenn Du kein ICQ lauschen haben willst, dann beende das Programm einfach.
Im ersten Screenshot wird beim Servicehost eine unbekannte Komponente angezeigt, aber da würde ich jetzt nicht der Paranoia freien Lauf lassen. Das kann viele Ursachen haben.

Wenn sich keine verdächtigen Symptome zeigen bzw Du keinen ganz konkreten Verdacht hast, würde ich sagen wir lassen es dabei, dass Dein Virenscanner extrem viele TCP-Verbindungen aufbaut. Wenn Dir die Software zu ressourcenhungrig ist, kannst Du natürlich einfach mal auch andere testen (aber immer nur eine installiert haben, sonst droht Ungemach).

In Deinem HJT-Log gibt es nur kosmetische Beanstandungen:
Beta-Software sollte man auf Testsystemen installieren und niemals! auf Produktivsystemen (bzw Systemen die in irgendeiner Art und Weise relevant sind).

Diese Einträge kannst Du getrost fixen (vorher Backup machen und TeaTimer deaktiveren):
Ich persönlich würde gleich noch den ganzen ASUS-Schranz deaktivieren, aber es gibt Leute, die ohne nicht schlafen können. Wer's mag ...

Marc

thx, bin beruhigt. also gibts keinen konkreten verdacht auf trojaner etc? die svchost ist wirklich ungefährlich? war da nicht mal was wegen trojaner oder virus oder ähnlich...irgendwie wenn die nicht im system32 ordner liegt ists ein trojaner oder so? meine mich an sowas in der art entsinnen zu können? gibts noch ne methode/ programm mit dem ich (fast) absolut auf nummer sicher gehen kann? habe spybot search & destroy und malware bytes. gibts noch was besseres/ gründlicheres?

ich weiß, viele fragen, sry. :)

Also meine Rechner verhalten sich normal. Über Deine kann ich nichts sagen, ausser dass die Daten die ich gesehen habe unauffällig sind.

Die svchost zu Windows und wird auch unbedingt benötigt. Es gibt Schadsoftware, die sich zB scvhost nennt oder in einem Verzeichnis abgelegt ist. Es ist aber müsig auf jeden denkbaren Schädling zu untersuchen, wenn es keinen konkreten Verdacht gibt. Eine etwas überkommunikative Antivirensoftware ist kein konkreter Verdacht.

Platten formatieren, System neu aufspielen, Dateisystem verschlüsseln, die Kiste in Beton eingiessen und dann das ganze Paket im Marianengraben versenken.


Bezüglich Antivirensoftware kann ich Dir keine Tipps geben, da ich keine verwende.


Solltest Du mal einen begründeten Verdacht haben (irgendwas verhält sich merkwürdig) kannst Du ja nochmal jemanden über das System schauen lassen, aber nur just for fun wird niemand Dein System auseinander nehmen wollen.


Gruß

Marc

vielen dank!