PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Komischer netstat Eintrag



n3v3r-ag4in
26.02.2010, 11:56
Liebe Forengemeinde,

ich mache einmal öfter nen netstat und seit einiger Zeit fällt mir folgendes auf:

bei netstat -a & netstat -b taucht folgender Eintrag auf:


TCP n********:epmap dslb-***-***-243-116.pools.arcor-ip.net:33426 WARTEND 0Dabei ist folgendes eigenartig: die beiden letzten Zahlen also 243-116 weichen von meiner eigenen IP ab (wobei der Rest übereinstimmt - also was jetzt *** sind), dazu kommt, dass beim Wiederholen der Abfrage sich dann der Port (33426 jetzt 11435 dann wieder ) ändert.

So dann 5 Minuten später, wieder netstat -a gemacht und der eintragt sieht dann wie folgt aus:


TCP n*********:epmap n*********:0 ABHÖRENHabe ich nen Grund zur Sorge?

D3MEN
26.02.2010, 12:18
lass doch mal hijackthis durchlaufen

Cheese
26.02.2010, 12:25
Netstat -ano und dann pid im taskmanager suchen

HTC
26.02.2010, 12:25
Lade dir kaspersky 2010 runter ich geb nen key wenn du willst ! melde dich einfach falls bei mir... Icq oder hier

Crypt
26.02.2010, 12:28
bist connected zu ner privaten ip-adresse... server zb von normalen websites haben die form: 201.23.49.148 oder halt dns wie google.de
so dass der port random is ist ja klar weil wenn du nen server bist der auf den client connected... wie bei nem dienst, schau mal auf wikipedia nac dem server/client prinzip und wie das mit den ports läuft
sieht für mich so aus als ob du infected bist oder conected zu ner privaten ip adresse halt aber wieso... kann vieles sein!

GregorSamsa
26.02.2010, 12:31
Es sieht so aus, als würdest du selber derjenige sein, der empfängt.

Du hast einen statischen Port, die Gegenseite einen Variablen (ist normal).

Port 135 (der bei dir offen ist) gehört zum MS RPC Dienst - also entweder jemand (versucht) deinen Rechner fernzusteuern, oder du hast den blaster/welchia Wurm drauf.

Schließ mal die Ports 135 und 137-139 per Firewall.

//Edit: @Crypt, wenn du wüsstest, wie das Client/Server Prinzip abläuft, wüsstest du das kein Server sich mit einem Client verbindet, und nur der Server immer feste Ports hat -.-

Crypt
26.02.2010, 12:49
ja und wenn er nen server laufen hat connected der trotzdem random, und der client hat feste porst! muss ja nicht zwangsläufig so sein das der server nur feste ports hat ;)

n3v3r-ag4in
26.02.2010, 12:51
also nachdem ich die ports geschlossen hatte, ging gar nichts mehr ^^ bzw. meine seitenaufrufe per firefox wurden geblockt.

auf die ports greift im übrigen der prozess ntoskrnl.exe zu.....

so und anbei mal mein hijackthis logfile...




Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 12:50:53, on 26.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\PROGRAMME\MAMUTU\mamutu.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Mamutu\a2service.exe
c:\Programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
C:\Programme\Sandboxie\SbieSvc.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807. 1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - (no file)
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] REM C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title="CorelDRAW Graphics Suite 11" /date=051909 serial=DR11WBL-2155585-FUG
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Mamutu Guard] "C:\PROGRAMME\MAMUTU\mamutu.exe" /silent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] REM "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] REM "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] REM C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [Eraser] REM C:\Programme\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: AltaVista Search - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Translate - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1172795938
O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.tvlution.com/KooPlayer.ocx
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B93B8F42-8AD4-43D1-B85E-FBAA281A2841}: NameServer = 195.50.140.248 195.50.140.114
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.ex e
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - C:\Programme\Mamutu\a2service.exe
O23 - Service: MySql - Unknown owner - C:/Programme/xampp/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 9402 bytes

Cheese
26.02.2010, 13:11
"ntoskrnl.exe " hört sich verdammt nach malware an, kill das ding, also such dir den pfad mit tools wie security task manager oder tuneup task manager kann das glaub auch und lösch die datei, dann guck noch obs autostart einträge dazu gibt (run msconfig.msc)


Edit: glaub fail ntoskrnl.exe scheint der name von nem legalen windows prozess zu sein xD

n3v3r-ag4in
26.02.2010, 13:17
ähm, also die google suche sagt da aber doch erheblich was anderes ^^ also, die meinte sogar, ohen die geht nichts....

GregorSamsa
26.02.2010, 13:20
@Crypt: Sorry, aber mir scheint es, als ob du _keine_ Ahnung hast.

1. Der Server ist das, was wenn du ein RAT benutzt du zuhause startest.
2. Der Client ist das Teil, das sich (über Reverse Connection) zum Server verbindet.
3. Im Client wird ein fester Port eingestellt (z.B. 81) - damit der Client weiß, welchen der 65535 Ports er benutzen soll
4. Daraufhin wird eine Verbindung aufgebaut. Technisch wird das so gelöst, das der Server auf Port 81 wartet und von dort aus eine Verbindung aufbaut. Der Client selber bekommt einen zufälligen Port (gibt bestimmte Bereich, OS bedingt) welchen er als "Ausgang" benutzt. So kann der Server mit mehreren Clients gleichzeitig eine Verbindung aufbauen.

Das bedeutet: Der Server ist _immer_ Port 81 (in diesem Beispiel) und der Client _immer_ ein Port zwischen z.B. 10000 und 60000.

Erkenntnis: Wenn der eigene Rechner immer nen festen Port hat, und die Gegenseite einen dynamischen, bedeutet das, das auf dem eigenen Rechner der Server läuft, nicht umgekehrt.

Und bevor du mir wieder widersprichst, ließ du erstmal hier:
http://de.wikipedia.org/wiki/Client-Server-Modell
http://de.wikipedia.org/wiki/Port_%28Protokoll%29

n3v3r-ag4in
26.02.2010, 13:42
streitet euch nicht ^^ witzigerweise ist der eintrag jetzt verschwunden, ich weiss ehrlich nicht, was ich genau davon halten soll...

zur vorgeschichte:
hatte bifrost und den skorpion007 crypter ausprobiert, auch bei mir selbst getestet - aber eigentlich alles entfernt.... ( windowsinstaller.exe. meine.exe log.dat) sowie den eintrag ausm autostart-menü - gestern dann noch den eintrag aus der "systemwiederherstellung" ) auch bifrost etc. ist alles mit dem eraser bearbeitet worden und weg.

das hijackthis-logfile scheint doch auch sauber zu sein, oder? obendrein habe ich avira und mamutu laufen lassen, auch keine beschwerden. na ich hoffe einfach, dass das system jetzt sauber ist ^^