eingehende Verbindungen über svchost.exe an Port 135 normal?! |
||
---|---|---|
#0
| ||
15.06.2009, 17:32
...neu hier
Beiträge: 7 |
||
|
||
16.06.2009, 09:50
Member
Beiträge: 4730 |
#2
SO richti8g gegoogelt scheinst Du nicht zu haben, denn dann hättest Du herausgefunden, dass Port 135 für NetBIOS genutzt wird.
http://www.virenschutz.info/virenschutz_tutorials-148.html __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
16.06.2009, 10:00
...neu hier
Themenstarter Beiträge: 7 |
#3
wofür der port135 genutzt wird hab ich schon herausgefunden. und auch, wie ich den port schließen kann. damit bekämpfe ich aber höchstens symptome, und nicht die ursache meines potentiellen problems. wenn ich ein rootkit auf dem rechner habe, ändert sich daran auch mit einem schließen des ports nichts. die anfragen blocke ich momentan ja ohnehin über die firewall. ich würde sie nur gerne ganz los werden. wenn es normal wäre, dass man solche anfragen bekommt, und das nicht heißt, dass ein rootkit auf dem rechner ist, wäre ich auch beruhigt. aber netbios/den port deaktivieren scheint mir im fall des falles nur die halbe miete zu sein.
hab ja zugegebenermaßen nicht viel ahnung von netzwerk- und port-kram und so. und sich da mal eben schnell einlesen scheint mir auch nicht drin zu sein. aber auf jeden fall danke für den link. wenn ich nichts weiter finde (bin mit einem mod auf hijackthis-forum.de auf der suche) mach ich halt einfach dicht. grüße, -vio |
|
|
||
16.06.2009, 17:03
Member
Beiträge: 4730 |
#4
Ich halte ein Rootkit für unwahrscheinlich. Über die svchost.exe werden ja eine menge Dienste gesteuert - wenn der NetBIOS-Dienst gestartet ist, dann ist es normal, dass die svchost.exe auf Port 135 lauscht.
Und wenn Du ein Rootkit auf dem PC hast, dann nützt da auch keine Firewall mehr was, die Dich ohnehin offensichtlich nur verängstigt, indem sie Dir irgendwelche Meldungen ausgibt, mit denen Du nichts anfangen kannst. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
16.06.2009, 21:13
...neu hier
Themenstarter Beiträge: 7 |
#5
die firewall beseitigt ein mögliches rootkit natürlich nicht - das ist mir (offensichtlich) bewusst. aber ohne eine firewall ist man potentiell doch etwas weniger gegen angriffe von aussen geschützt. oder sehe ich das falsch?
zudem geht es hier nicht um verängstigen, sondern um gesunde vorsicht. dass die nach einem virenproblem gesteigert vorhanden ist, dürfte ganz normal, ja sogar sinnvoll sein. denn wenn man versucht, das problem ohne neuinstallation und formatierung in den griff zu bekommen (was durchaus legitim ist und funktioniern kann) will man doch möglichst sicher sein, keinerlei malware-reste im system zu haben. und mit den meldungen kann ich sehr wohl etwas anfangen. ich frage mich nur, warum sie auftauchen. und zweifle daran, dass sie normal sind. die genannten verbindungsversuche von irgendwelchen ip's (waren auch welche aus der türkei oder von sonst wo dabei) kannst du mir, wie es scheint, ja eben so wenig erklären. würdest du sie ernsthaft ignorieren? wenn ja, warum? |
|
|
||
17.06.2009, 02:00
Member
Beiträge: 4730 |
#6
Zitat ViolentJ posteteDas meinte ich auch gar nicht Ich hatte gemeint, dass ein Rootkit sich auch vor einer Software-Firewall versteckt und somit der Netzwerkverkehr an der Software-Firewall vorbei gehen würde. Zitat aber ohne eine firewall ist man potentiell doch etwas weniger gegen angriffe von aussen geschützt.Das ist richtig. Allerdings befindet sich diese Firewall in der Regel im Router. Eine Software-Firewall mach am ehesten Sinn, wenn der PC direkt über ein Modem Verbindung ins Internet aufbaut. (Ist das bei Dir der Fall?) Und natürlich lässt sich mit einer Software-Firewall auch gut kontrollieren, was alles vom PC "heraus" möchte (sei es nun ins Internet oder "nur" ins LAN). Zitat sondern um gesunde vorsicht.... die bei manchen schon in Paranoia ausartet Zitat keinerlei malware-reste im system zu haben.Sicher kann man sich da nie sein - insbesondere, wenn es eine Malware mit Backdoor-Funktion war. Zitat die genannten verbindungsversuche von irgendwelchen ip's... sind evtl. nur halb so tragisch... wenn Du bspw. NetBIOS aktiviert hast, dann ist es durchaus nachvollziehbar, dass aus dem Internet Anfragen auf den Port kommen, denn viele Scriptkiddies nutzen NetBIOS dazu, um "Hacking"-Versuche zu starten. NetBIOS ist u.a. dafür zuständig, Namensauflösungen (vor allem) im LAN durchzuführen - wird aber heute imho nicht mehr wirklich genutzt. Wenn Du kein LAN aufgebaut hast, dann schalte den Dienst ab. Für's Surfen im Internet brauchst Du ihn nicht __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.06.2009, 09:44
...neu hier
Themenstarter Beiträge: 7 |
#7
hab jetzt die anweisungen vom link aus post #1 (nochmal danke dafür) befolgt und seitdem sind die anfragen (erwartungsgemäß) futsch.
ist schon einiges an zeit für die suche nach rootkit(o.ä.)-resten drauf gegangen (mit formatieren und neuinstallieren wär ich vielleicht sogar schneller gewesen :>, und weil auch nach ausführlicher suche nix zu finden ist muss dann jetzt mal schluss sein (mit paranoia oder was auch immer ;>. drücken wir einfach die daumen, dass alles in ordnung bleibt ^^ |
|
|
||
hab mir, obwohl ich dachte, ich wäre vorsichtig genug, einen virus (wohl ein trojaner) gefangen. nach einigem hin und her schein ich ihn jetzt los zu sein. da ich auf avast sauer war (es hat den virus in der datei nicht gefunden, weshalb ich sie sorglos - zu sorglos - ausgeführt habe) ist jetzt comodo samt firewall drauf.
im schnitt versucht nun jede zweite minute eine alice ip (78.50.xxx) über die svchost.exe auf meinen port 135 zuzugreifen. momentan blockt die firewall diese zugriffe, aber ich frage mich doch, wodurch sie zustanden kommen?
ich hab selbst alice-dsl (samt ip-tv) und natürlich auch eine alice-ip. aber diese ständigen zugriffe kommen mir doch irgendwie merkwürdig vor.
bin ich nur paranoid, und das ist ganz normal? oder sollte es diese zugriffe nicht geben? die svchost.exe lauscht auf jeden fall laut comodo permanent am port 135, was mir schon allein merkwürdig vorkommt.
detailliert ahnung hab ich allerdings nicht. ich hoffe, ihr dafür um so mehr ^^
erstes googlen/suchen hat mich übrigens nicht weit gebracht, und aus dem diamondcs port explorer werd ich auch nicht so richtig schlau. jede hilfe ist also willkommen!