svchost horcht an ports 554 und 49152-491??
 

Hallo,

Ich habe schon seit längerem Probleme mit
geöffneten Ports im bereich 491**, die meisten
werden von der SVCHost.exe geöffnet, und alle horchen
in richtung WAN. Irgendwie macht mir das einige Sorgen
und ich hoffe ihr könnt mir da weiterhelfen falls eine Infektion
vorliegen sollte, oder mich beruhigen falls nicht.

Auch die Ports 135, 445, 5357, 10243, 2869 (und weitere)
sind richtung Internet geöffnet. Im moment helfe ich mir
indem ich alle Ports außer 80 und 53 Sperre (Netlimiter),
um unerwünschte Verbindunsversuche zu unterbinden.

Auch ein Prozess (Ohne ausführbare Datei) namens System
öffnet hier munter Ports und lauscht.

Mittlerweile trau ich mich schon nichtmal mehr mich an meinem Mailaccount
anzumelden, geschweige denn Onlinebanking.
Hoffentlich kann mir jemand von euch Helfen, bin wirklich
kurz vorm ausrasten.

Hier meine HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:14, on 06.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\NetLimiter 3\NLClientApp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\_Java\jre6.0.0.0\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\_Java\jre6.0.0.0\bin\jusched.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [NetLimiter] C:\Program Files\NetLimiter 3\NLClientApp.exe /tray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NetLimiter 3 Service (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 3\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 4620 bytes

Danke schonmal im Vorraus an eventuelle Retter :)

Hallo und :hallo:

Geöffnet (LISTENING) oder was anderes? Bei 135 und 445 ist das normal. Jedenfalls bis Windows XP, deswegen konnten sich auch bis zum SP2 auch Würmer so rasant verbreiten. :rolleyes:
Für genauere Aussagen müsstest Du die Ausgabe (von netstat oder woher hast Du die Erkenntnis) posten.

Was ist das für ne Win7 Version, es ist offiziell nämlich noch garnicht draußen!

Danke für die Antwort :)

Ist eine Ultimate beta (MSDN), die ich über unsere Firma
zum Testen bekommen habe. Ich hab mir das jetzt halt auch Privat
auf den PC gemacht. In den letzten 3 Wochen hab ich schon 3 mal neu Installiert,
und hab blöderweise nicht vor der Verbindung zum Router die Ports gesperrt.
Also hatte das Rootkit/der Trojaner auf dem zweiten Laptop einfaches Spiel beim neu Infizieren :(

Hab jetzt mittlerweile auch eine mchlnjdrv.sys (/??/ Versteckt)
und eine
\??\C:\Windows\system32\30B1.tmp
mit dem Rootkit-Hook-Analyzer gefunden.
MBAM findet nichts, RootkitBuster auch nicht.

Ich denke dass es möglicherweise RKIT-Agent.GO und/oder TR/Crypt.XPACK.Gen ist/sind.

Kann man da überhaupt noch was machen ? Wenn irgendwelche
EXE-Files infiziert sein sollten (Bspw. auf einer Externen Platte),
kann man die Reparieren oder auf irgendeine Art rausfinden welche
Infiziert sind ?

Tut mir leid wenn ich zuviel frage aber ich rupf mir bald die Haare raus
weil ich echt nicht anderes mehr mache. :kaffee:

Wenn Du hinter einem Router bist, musst Du eigentlich Portforwarding einstellen, damit man denn auf die mutmaßlichen Backdoordienste von außen zugreifen kann.
Sofern es denn überhaupt durch Backdoordienste geöffnete Ports sind, dazu müsste die Hintertür "dumm" genug sein, dass man ihre Verbindungen via netstat -an sehen kann.

Wie siehts denn mit der Windows-Firewall aus? Ich glaub kaum, dass Microsoft den gleichen Fehler wie bei 2000/XP nochmal machen würde - seit dem SP2 für XP ist nämlich standardmäßig die Windows-Firewall an, sodass nicht mal eben einfach so auf die Netzwerkfreigaben aus dem Internet zugegriffen werden kann. Hast Du die immer aktiviert gehabt? Ist zwar bei einem Router nicht wirklich nötig, interessiert mich aber trotzdem. Welchen Router hast Du da eigenbtlich und wie ist der konfiguriert? Ich kann mich da an manchen Einstellungen wie zB DMZ entsinnen...weiß ich jetzt aber nicht, ob das alle Router anbieten.

Wenn die Quelle vetrauenswürdig/sauber ist, dann bringt "Deine" Win7-Version also keine Haustiere mit :D
Ist das denn auch direkt nach dem Neuaufsetzen schon so? Ich frag mich nämlich ein "wenig" was Du denn da so installierst, wenn Du sowas findest:

Die Windows-Firewall scheint aktiviert gewesen zu sein,
allerdings werden die Ports ja über "System" und "svchost.exe" geöffnet,
und die stehen dann leider in der Ausnahmeliste da sie ja zum OS gehören.
Die Verbindungen die Aufgebaut werden kommen zum Größten teil von
Außen, aber die Initiierung der Verbindungen geschieht von Innen.
Das nennt sich "LAN-Bypass" und sorgt dafür dass kein Portforwarding
mehr benötigt wird. Nur durch Sperren aller Ports und Adressen
und das selektive Freigeben erlaubter Verbindungen bin ich Sicher.

Es hat ungefähr (Direkt nach der ersten Verbindung mit dem Router) 4-5
Stunden gedauert bis eine neue Infektion aufgetreten war.
(Zu erkennen an mehreren svchost.exe Prozessen und lokal geöffneten
Ports in den genannten Bereichen)

Die Infektion kam eindeutig übers LAN vom anderen Laptop,
ich hatte gehofft das bessere Passwörter den Laptop schützen würden,
leider falsch gedacht. :(

Ich habe auch schon einige Spam-Mails (von Viagra bis Afrikanische Finanzierungsvermittler)
über meinen Wireshark aufgezeichnet,
also nehme ich an dass der Rechner Teil eines Botnets ist.

Natürlich hab ich gleich nach dem Neuaufsetzen versucht den Rechner
zu Schützen, und Software wie SpyBot SD, MBAM, HiJackThis,
SpyWare Doctor (Welches wie ich rausgefunden hab auch einen DLL-Injection Treiber installiert,
evtl kam der Mad Code Hook Injection Driver von hier,
wird manchmal von Virenschreiben Mißbraucht), Spyware Terminator,
Avira Antivir... Schutz brachte das allerdings leider auch nicht.

Ich vermute dass sich das Programm übers LAN auf ein Standartshare des
zweitbenutzers Kopiert hat (War für ca. 10 Minuten ohne PWD).

Wenn der Trojaner/der Schädling tatsächlich Crypted sein sollte hab
ich ja warscheinlich keine Chance jemals die Infizierten .EXE Dateien zu finden, oder ?

Über das eigene LAN? Schonmal die anderen Rechner, die bei Dir im eigenen Netzwerk sind, überprüft? :confused:

Es gibt 3 Rechner in meinem Netz, 2 Laptops und eine Workstation.
Alle 3 sind Infiziert, und verbreiten sich auch immer wieder übers LAN.

Und Du hast alle drei auch schon mal neu aufsetzt?

Nein. Das leider nicht. Ich wollte vorerst auf einem Rechner mit
allen möglichen Mitteln versuchen, die Infektion ohne Formatieren
in den Griff zu bekommen, bis jetzt ohne Erfolg.

Kein AV-Programm oder Trojan Removal Tool konnte bis jetzt eindeutig
eine Infektion erkennen, und wenn doch auffällige Dateien gefunden wurden,
konnte ich die entsprechenden Files nicht entfernen.
( \??\C:\Windows\... )

Ich kann nur mit Sicherheit sagen dass die Rechner Infiziert sind, und
gegen Abend für Spam-zwecke Missbraucht wurden. Durch blockieren
der Port-bereiche können die Angreifer aber keine Verbindung mehr ins
interne Netz aufbauen, also sind die Rechner im moment zumindest
solange Geschützt wie die Schädlinge nicht auf die Idee kommen
schlimmeres anzustellen. Hoffentlich gibt es keine Routinen die
schwerwiegendere Schäden anrichten sollen.

Ich würde nur einfach gerne auf einen 100%igen Datenverlust verzichten,
solange es noch Hoffnung geben kann diesen Hartnäckigen kleinen Mistkerl
aus dem System zu ziehen, und aus evtl. infizierten .EXE Dateien zu löschen.

Dazu müsstest Du jedes System was im LAN ist erstmal analysieren und dann die gezielt bereinigen/neuaufsetzen, die eben befallen sind. Solange bist Du weißt, welche Geräte das sind, musst Du alle potenziell verseuchten Rechner eben vom Netzwerk ausschließen.

Wieso Datenverlust, machst Du keine Backups? Als IT-Professionell (nur die bekommen MSDNAA-Accounts!) solltest Du davon aber schon gehört haben.

Natürlich mache ich als Programmierer auch Backups,
aber die mache ich eher bei meinem Arbeitsplatz,
und das auch nur von wichtigen Sourcecodes oder Releases...
Ich bin kein Systemintegrator der jeden Tag Backups von
Serverplatten macht, von daher: Privat eher weniger.

Naja, wie gesagt sind alle 3 Rechner betroffen, was ich durch
Wireshark rausgefunden habe. Wenn ich mich jetzt aber einem
Verhör unterziehen soll warum ich Windows 7 auf meinem Rechner
habe, dann Tut es mir Leid aber dann wende ich mich lieber an jemand
anderes. Kann ja sein dass Ihr hier viel mit illegalen Raubkopien
zu tun habt, als Programmierer stehe ich da aber eher auf der
Seite gegenüber!

Gibt es nun eine möglichkeit die Infektionen zu Identifizieren ?
Also herauszufinden mit welchem Schädling mein Netzwerk
Kompromittiert wurde ? Oder bleibt mir nur die letztlich endgültige Lösung
meine Systeme zu Formatieren ?

Weil wie man hier sehn kann nicht nur ausführbare Dateien genutzt werden:

Und ich ja dann damit sozusagen gezwungen werde alles zu Löschen.
(Natürlich wird es Schwierig eine .tmp Datei auszuführen, aber möglichkeiten
diese Dateien in entsprechende Position zu bringen oder umzubenennen
gibt es sicherlich einige)

Du kannst auch Tischler oder Bäcker sein...der Festplatte ist das ziemlich egal welchen Beruf Du hast, wenn sie kaputt geht ;) *mitdemzaunpfahlwink*

Eine Bereinigung für ein System ist schon aufwendig genug, für drei Systeme... :balla:

Mach erstmal von einem System, von dem Du sicher weißt, dass es infiziert ist, ein RSIT-Logfile.

Ja, da hast auch wieder recht^^
Werde wohl zukünftig öfters mal ein Backup machen.

Fortsetzung folgt

Fortsetzung folgt

Hier ist RSIT mit der folgenden Messagebox abgeschmiert.

---------------------------
AutoIt Error
-------------------
Line -1:

Error: Variable used without being declared.
--------------------------------------------

Nameserver auf 192.168.178.5 ist OK, das ist die IP der Fritz!Box.