Ports offen keine Ahnung wieso

White · 17 November 2006

Ich habe grade mal meinen eigene PC mit nem Portscanner gescannt.
Dabei hat der mir ne Reihe offener Ports angezeigt darunter welche die er als Backdoor anzeigt.
Allerdings trotz mehrerem Virenscann hat symantec AntiVirus nichts gefunden :-(

Code:

TCP: 127.0.0.1 [21-ftp] | 220-FileZilla Server version 0.9.18 beta
220-written by Tim Kosse ([email protected])
220 Please visit https://sourceforge.net/projects/filezilla
TCP: 127.0.0.1 [25-smtp]
TCP: 127.0.0.1 [110-pop3]
TCP: 127.0.0.1 [135-epmap]
TCP: 127.0.0.1 [445-microsoft-ds]
TCP: 127.0.0.1 [1025-blackjack]
TCP: 127.0.0.1 [1032-iad3]
TCP: 127.0.0.1 [1033-backdoor]
TCP: 127.0.0.1 [1048-neod2]
TCP: 127.0.0.1 [1049-td-postman]
TCP: 127.0.0.1 [1051-optima-vnet]
TCP: 127.0.0.1 [2869-icslap]
TCP: 127.0.0.1 [4001-newoak]
TCP: 127.0.0.1 [4664]
TCP: 127.0.0.1 [14147]

scanne grade mal bis port 65535 durch.
edit: Ok keine weiteren offenen Ports...
die da oben reichen ja schon *grml*

edit: noch ein scan diesmal UDP

Code:

UDP: 127.0.0.1 [123-ntp]
UDP: 127.0.0.1 [445-microsoft-ds]
UDP: 127.0.0.1 [500-isakmp]
UDP: 127.0.0.1 [1027-icq]
UDP: 127.0.0.1 [1303-sftsrv]
UDP: 127.0.0.1 [1305-pe-mike]
UDP: 127.0.0.1 [1304-boomerang]
UDP: 127.0.0.1 [1900-ssdp]
UDP: 127.0.0.1 [4500]

LasMiranda · 17 November 2006

ist der lokal gestartet worden?

Und nen Hijackthis-Log zeigt da sicherlich mehr

Über Norton muss man nichts mehr sagen...

EDIT: das ein Server einen offenen Port haben muss, ist ja wohl aber hoffentlich logisch

White · 18 November 2006

LasMiranda schrieb:
ist der lokal gestartet worden?

Und nen Hijackthis-Log zeigt da sicherlich mehr

Über Norton muss man nichts mehr sagen...

EDIT: das ein Server einen offenen Port haben muss, ist ja wohl aber hoffentlich logisch

ja derscan wurde auf dem selben rechner gestartet.

Hijackthis mach ich morgen.

Naja und nen Server isses ja nicht ftp ist atm beabsichtigt.

flaschenkind · 18 November 2006

Mach doch lieber nen Remote Scan. Es sind doch die Ports viel wichtiger, die übers Inet erreichen kann. Wenn da nix gefunden wird, musste dir auch keien Sorgen machen.

ZeroCCC · 18 November 2006

das sind nen paar viele ports... hast du nebenbei zufällig nen p2p laufen lassen, oder sowas ähnliches?

vergleich mal was netstat -a anzeigt und nen portscan. wenn da starke unterschiede auftreten ist das sehr auffällig.

ansonsten würde ich mir jetzt als erstes mal nen alternativen virenscanner besorgen... zb nod32.

Totte · 18 November 2006

https://www.wintotal.de/Tipps/Eintrag.php?TID=352

Im 2. Teil steht, wie du rausbekommst, was da welchen Port belegt

Im Taskmanager kannst du dann unter Ansicht/ Spalten auswählen die PID anzeigen lassen und mit der vergleichen, die bei netstat ganz hinten angezeigt wird

White · 18 November 2006

ok probier ich gleich mal alles aus.
und remotescan kann ich auch gleich machen.
muss dazu nur an den pc von meinem vater.

flaschenkind · 18 November 2006

White schrieb:
muss dazu nur an den pc von meinem vater.

Ich meinte damit, dass du ein Scan vom Internet aus machst, lokales Netzwerk bringt da die gleichen Ergebnisse. Hol dir deine IP von deine-ip.de oder ner anderen Seite, und gib die an. Wenn da alles dicht ist, mach dir keine Sorgen

ZeroCCC · 18 November 2006

flaschenkind schrieb:
Ich meinte damit, dass du ein Scan vom Internet aus machst, lokales Netzwerk bringt da die gleichen Ergebnisse. Hol dir deine IP von deine-ip.de oder ner anderen Seite, und gib die an. Wenn da alles dicht ist, mach dir keine Sorgen

autsch gibt nicht solche aussagen von dir... solang auf den router keine upnp aktiviert ist (große sicherheitslücke) wird nur das was gewollt ist von aussen erreichbar sein. das ist aber noch lange keine grund sich keine sorgen zu machen... auf dem rechner laufen irgendwelche programme, von den man keine ahnung hat, die irgendwelche ports öffnen. da würde ich mir dann dochmal überlegen "hrm...". du weißt noch nichtmal was die programme noch für funktion haben... am ende können die den rechner steuern, oder zeichnen deine eingaben auf, oder protokollieren dein server verhalten, oder suchen gezielt nach interessanten online transaktionen (online banking, ebay, kreditkarten daten usw...), oder verändern die anzeige von websiten, oder leiten webseiten aufrufe um, oder suchen nach serials, oder wartet bis zu einen bestimmten datum bis es dann sämtliche daten auf dem rechner zerstört oder oder oder... und/oder bieten funktion sich zu einen server zu verbinden und der server sendent dann böse kommandos zu dem rechner. und und und... also behaupte nicht dass das kein grund zu sorge ist. nur weil nen rechner von aussen nicht erreichbar ist... kann der rechner aber droztdem nach aussen komunizieren.

White · 18 November 2006

ZeroCCC
das mein ich auch.
Ok NOD32 ist installiert das wird noch geupdatet dann wird gescannt. vorher stell ich euch nochmal zwei portscans online.
eines eben remote eins lokal. aber beides im selben netzwerk.
Zum Zeitpunkt des Scans lief ein lokaler FTP server auf dem pc sowie opera googletoolbar symantec antivirus telnet (habe versucht mal per telnet auf die backdoor ports zu connecten. der letzte aus der oberen liste hat ein paar zeichen ausgegeben mehr net)

edit: so nun ist die liste fertig :www.crazyideas.de/misc/portscan.html
und hier die ausgabe von netstat -banvo

Code:

C:\Dokumente und Einstellungen\Uwe>netstat -banvo

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status           PID
  TCP    0.0.0.0:21             0.0.0.0:0              ABHÖREN         836
  [filezillaserver.exe]

  TCP    0.0.0.0:135            0.0.0.0:0              ABHÖREN         716
  c:\windows\system32\WS2_32.dll
  C:\WINDOWS\system32\RPCRT4.dll
  c:\windows\system32\rpcss.dll
  C:\WINDOWS\system32\svchost.exe
  -- unbekannte Komponente(n) --
  [svchost.exe]

  TCP    0.0.0.0:445            0.0.0.0:0              ABHÖREN         4
  -- unbekannte Komponente(n) --
  [System]

  TCP    127.0.0.1:1025         0.0.0.0:0              ABHÖREN         288
  C:\WINDOWS\system32\WS2_32.dll
  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccL40.dll
  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccL40.dll
  C:\WINDOWS\system32\kernel32.dll
  [ccProxy.exe]

  TCP    127.0.0.1:1026         0.0.0.0:0              ABHÖREN         2484
  C:\WINDOWS\System32\WS2_32.dll
  C:\WINDOWS\System32\alg.exe
  C:\WINDOWS\system32\RPCRT4.dll
  C:\WINDOWS\system32\ole32.dll
  [alg.exe]

  TCP    127.0.0.1:1027         0.0.0.0:0              ABHÖREN         3800
  C:\WINDOWS\system32\ws2_32.dll
  -- unbekannte Komponente(n) --
  c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e08
9_ad098333\system.dll
  -- unbekannte Komponente(n) --
  C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
  C:\WINDOWS\system32\KERNEL32.dll
  [CLI.EXE]

  TCP    127.0.0.1:1028         0.0.0.0:0              ABHÖREN         1576
  C:\WINDOWS\system32\WS2_32.dll
  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccL40.dll
  C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCEMLPXY.DLL
  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
  C:\WINDOWS\system32\kernel32.dll
  [ccApp.exe]

  TCP    127.0.0.1:1053         0.0.0.0:0              ABHÖREN         3184
  C:\WINDOWS\system32\ws2_32.dll
  -- unbekannte Komponente(n) --
  c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e08
9_ad098333\system.dll
  -- unbekannte Komponente(n) --
  C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
  C:\WINDOWS\system32\KERNEL32.dll
  [cli.exe]

  TCP    127.0.0.1:1054         0.0.0.0:0              ABHÖREN         3192
  C:\WINDOWS\system32\ws2_32.dll
  -- unbekannte Komponente(n) --
  c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e08
9_ad098333\system.dll
  -- unbekannte Komponente(n) --
  C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
  C:\WINDOWS\system32\KERNEL32.dll
  [cli.exe]

  TCP    127.0.0.1:4664         0.0.0.0:0              ABHÖREN         228
  C:\WINDOWS\system32\WS2_32.dll
  C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
  C:\WINDOWS\system32\kernel32.dll
  [GoogleDesktopIndex.exe]

  TCP    127.0.0.1:14147        0.0.0.0:0              ABHÖREN         836
  [filezillaserver.exe]

  TCP    192.168.142.1:139      0.0.0.0:0              ABHÖREN         4
  -- unbekannte Komponente(n) --
  [System]

  TCP    192.168.116.1:139      0.0.0.0:0              ABHÖREN         4
  -- unbekannte Komponente(n) --
  [System]

  TCP    192.168.1.22:139       0.0.0.0:0              ABHÖREN         4
  -- unbekannte Komponente(n) --
  [System]

  TCP    192.168.1.22:4811      89.163.162.110:21      HERGESTELLT     2720
  C:\WINDOWS\system32\imon.dll
  G:\FlashFXP\FlashFXP.exe
  C:\WINDOWS\system32\user32.dll
  G:\FlashFXP\FlashFXP.exe
  C:\WINDOWS\system32\kernel32.dll
  [FlashFXP.exe]

  TCP    192.168.1.22:1587      216.239.37.99:80       WARTEND         0
  TCP    192.168.1.22:1911      216.113.185.92:80      WARTEND         0
  TCP    192.168.1.22:1917      216.113.185.92:80      WARTEND         0
  TCP    192.168.1.22:4815      89.163.162.110:20      WARTEND         0
  UDP    0.0.0.0:1060           *:*                                    1140
  C:\WINDOWS\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\DNSAPI.dll
  c:\windows\system32\dnsrslvr.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

  UDP    0.0.0.0:1038           *:*                                    1140
  C:\WINDOWS\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\DNSAPI.dll
  c:\windows\system32\dnsrslvr.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

  UDP    0.0.0.0:500            *:*                                    468
  C:\WINDOWS\system32\WS2_32.dll
  C:\WINDOWS\system32\oakley.DLL
  C:\WINDOWS\system32\LSASRV.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [lsass.exe]

  UDP    0.0.0.0:4500           *:*                                    468
  C:\WINDOWS\system32\WS2_32.dll
  C:\WINDOWS\system32\oakley.DLL
  C:\WINDOWS\system32\LSASRV.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [lsass.exe]

  UDP    0.0.0.0:1096           *:*                                    1140
  C:\WINDOWS\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\DNSAPI.dll
  c:\windows\system32\dnsrslvr.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

  UDP    0.0.0.0:445            *:*                                    4
  -- unbekannte Komponente(n) --
  [System]

  UDP    0.0.0.0:1091           *:*                                    1140
  C:\WINDOWS\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\DNSAPI.dll
  c:\windows\system32\dnsrslvr.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

  UDP    127.0.0.1:123          *:*                                    1060
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    127.0.0.1:1900         *:*                                    1320
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    192.168.142.1:1900     *:*                                    1320
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    192.168.116.1:123      *:*                                    1060
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    192.168.1.22:138       *:*                                    4
  -- unbekannte Komponente(n) --
  [System]

  UDP    192.168.142.1:137      *:*                                    4
  -- unbekannte Komponente(n) --
  [System]

  UDP    192.168.116.1:1900     *:*                                    1320
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    192.168.1.22:123       *:*                                    1060
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    192.168.1.22:137       *:*                                    4
  -- unbekannte Komponente(n) --
  ntdll.dll
  -- unbekannte Komponente(n) --
  [System]

  UDP    192.168.116.1:138      *:*                                    4
  -- unbekannte Komponente(n) --
  ntdll.dll
  -- unbekannte Komponente(n) --
  [System]

  UDP    192.168.1.22:1900      *:*                                    1320
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    192.168.142.1:123      *:*                                    1060
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  -- unbekannte Komponente(n) --
  [svchost.exe]

  UDP    192.168.116.1:137      *:*                                    4
  -- unbekannte Komponente(n) --
  [System]

  UDP    192.168.142.1:138      *:*                                    4
  -- unbekannte Komponente(n) --
  [System]

edit: das flashfxp war beim scann mit netstat noch an da ich den portscann geuplaodet habe.

White · 18 November 2006

also nod32 hat nichts gefunden :-/

noch jemand ne idee?

ice-breaker · 18 November 2006

WHITE!

Hijackthis downloaden, einene Scan machen lassen auf www.hijackthis.de gehen und das Log dort posten, die gefundene Spyware dann mit HijackThis entfernen.

Was willst du bei sowas mit nem Virenscanner? :roll:

White · 18 November 2006

https://www.hijackthis.de/logfiles/eb1fbf78d8639e233e5770197ebfaabe.html

da ist die auswertung.
also alles ok

LasMiranda · 18 November 2006

das ne VM läuft ist bekannt, hoffentlich

und dann würde ich mal ganz dringend das Java updaten, vor allem, wenn man diesen "geilen "Browser nutzt

White · 19 November 2006

LasMiranda schrieb:
das ne VM läuft ist bekannt, hoffentlich

und dann würde ich mal ganz dringend das Java updaten, vor allem, wenn man diesen "geilen "Browser nutzt

ja das vms aufm system sind ist mir bekannt.

java update ich sofort mom. das wurde am freitag erst installiert durch JAP.

White · 19 November 2006

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \No One Lives Forever 2 - Liesmich.lnk 4.11.2006 22:32 611 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \No One Lives Forever 2 .lnk 4.11.2006 22:32 595 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \No One Lives Forever 2 deinstallieren.lnk 4.11.2006 22:32 595 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \No One Lives Forever 2 registrieren .url 4.11.2006 22:32 191 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \NolfGirl-Community-Website.url 4.11.2006 22:32 166 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \Offizielle Website von No One Lives Forever 2.url 4.11.2006 22:32 165 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2 \Sierra Update.lnk 4.11.2006 22:32 611 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\No One Lives Forever 2 - Liesmich.lnk 4.11.2006 22:32 611 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\No One Lives Forever 2 .lnk 4.11.2006 22:32 595 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\No One Lives Forever 2 deinstallieren.lnk 4.11.2006 22:32 595 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\No One Lives Forever 2 registrieren .url 4.11.2006 22:32 191 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\NolfGirl-Community-Website.url 4.11.2006 22:32 166 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\Offizielle Website von No One Lives Forever 2.url 4.11.2006 22:32 165 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Fox Interactive\No One Lives Forever 2\Sierra Update.lnk 4.11.2006 22:32 611 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Symantec Client Security\Symantec AntiVirus\SAVRT\0333NAV~.TMP 19.11.2006 20:38 0 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 15.10.2006 11:51 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 15.10.2006 11:51 111.50 KB Visible in Windows API, but not in MFT or directory index.

das ist mal die ausgabe von RootkitRevealer.
Kennt sich damit jemand näher aus?

White · 20 November 2006

Wenn ich den User erwische. Muss jemand von Klamm.de gewesen sein. Habe mir nur den Nickname net gemerkt :-(
Hat mich heute im ICQ angetickert mit nem Link. (naja leuten in meiner kontaktliste vertrau ich eigentlich)
Virus gebindet an Bild :-(
WORM/STRATON falls das jemanden was sagt....

schnitter · 24 November 2006

Moin

du meinst wohl Stration

:arrow:

https://www.sophos.de/security/analyses/w32strationaj.html

4 Grundregeln:

1. Traue Niemanden den du nicht kennst und der dir was schicken will...

2. Halte deinen Virenscanner aktuell.

3. Installier dir ne Firewall (KEIN ZONEALARM!!!!) und mach alle Ports dicht die du nicht brauchst. Gib nur anwendungen frei die du im Internet brauchst.

4. Lad nicht jeden Scheiss aus I-Net runter

Greetz
Schnitter

LasMiranda · 24 November 2006

schnitter schrieb:
...42-2,5 Grundregeln:

1. Traue Niemanden den du nicht kennst und der dir was schicken will...

2. Halte deinen Virenscanner aktuell. (nur wenn einer installiert ist)

~~3. Installier dir ne Firewall (KEIN ZONEALARM!!!!) und mach alle Ports dicht die du nicht brauchst. Gib nur anwendungen frei die du im Internet brauchst.~~

4. Lad nicht jeden Scheiss aus I-Net runter...

so heißt das doch

schnitter · 25 November 2006

EIn Virenscanner sollte grundsätzlich installiert sein. Wer keinen hat, gehört erschlagen oder ihm/Ihr den Rechner abgenommen...

eine Firewall sollte installiert sein... vergesst die Windoof-FW, die Taugt nix..

Wer sagt, ne FW brauch man nicht, gehört erschlagen...

Es ist meist die Dummheit der Leute, wenn sich Viren und Würmer rasend schnell verbreiten...

Ich seh das tag täglich bei meinen Kunden....

Ports offen keine Ahnung wieso

Well-known member

kanz pöhse

Well-known member

Well-known member

wasn das?

MØþ€®@¶øℜ

Well-known member

Well-known member

wasn das?

Well-known member

Well-known member

return void

Well-known member

kanz pöhse

Well-known member

Well-known member

Well-known member

Mal kurz wieder da

kanz pöhse

Mal kurz wieder da