wiederkehrende beidseitige localhost - verbindungen, feste ports ?

#1 Hi PPL!


nachdem ich vor kurzem doch wieder feststellen musste, wie extrem unsicher ein unkonfigurierter IE samt admin account und obendrein noch fremdbenutzern ist (bitte keine kommentare :*), komm ich zu folgendem anliegen:
(paddeln könnt ihr mich später*g*)


also:
1. nach anraten eines freundes wich ich dochmal zeitweise heute nacht auf NIS und NAV über (aktuellste version / nein ich mag die auch nicht)
-> NAV fand auch zugleich n dutzend progs die spyware zuzuordnen (u.a. auch einiges an trojanern, oh man),
darunter einige programme die sich nicht löschen ließen (?)

2. seid dem funzt die suchfunktion nicht mehr
(bzw sekundenlanger freeze, - und trotzdem keine suchfunktion)

nun 3
> MO: bereits vor der schnappsidee "mit norton koenne ich es loesen", traten bereits dutzende (teils ueber 100) localhost verbindungen auf, der großteil mit dem status wartend, die ports erstreckten sich zwischen 10xx - 2xxx.
~ DI: die localhost verbindungen beschränken sich größtenteils auf den port 1027 - 23xx,24xx in BEIDE richtungen, alle hergestellt - (http://board.protecus.de/t6479.htm - ist es " wohl leider" nicht)
nach dem durchprobieren mehrerer tools, ssm, trojancheck6, oder auch hijack wurde ich auch nicht viel schlauer draus, der schon zuvor benutzte sniffer ethereal brachte genauso wenig logisches hervor.
nach einem neustart vor ner knappen halben stunde aenderte sich der port auf 1028 - 103x, 18xx, und s.o. - wieder in BEIDE richtungen und HERGESTELLT.


System: fast identisch trat dies bei benutzung von icq2000b auf einem desktop pc auf, Win2k, SP2.
Das hier beschriebene tritt auf einem Notebook, WinXP Pro, SP1, auf.
(miranda IM anstatt icq)


nun zu den fragen, fragen und noch mehr fragen ...
a. wieso zickt die suchfunktion
b. was ist das bitte was dutzende, damals sogar hunderte localhost verbindungen verursacht hat und pakete rausschickt, ohne das ein programm ersichtlich aktiv ist
c. habe ich eine möglichkeit (falls noch genug reste vorhanden sind) rauszufinden um welchen verursacher (bzw gegenseite) es sich bei diesem müll handelte und vorallem wie groß der schaden ist?
d. ich haenge im LAN hinter einem Allied Telesyn AT-AR220E router inkl "wan firewall", ist eine LAN interne verseuchung moeglich? da ein dritter rechner der nicht von mir benutzt wird unter einem (ich denke NIE gepatchtem, unsicherem) win 98 system läuft.

e. was fuer konkrete moeglichkeiten habe ich, um generell festzustellen welches programm ob getunnelt, versteckt oder was/wie auch immer an welches ziel pakete schickt, bzw auf ein bestimmtest ziel reagiert?



so far
- Ich bedanke mich schonmal herzlichst im vorraus für das lesen des langen textes (war bestimmt nicht einfach), und bin jeglicher Art von Hilfe und Unterstüzung dankbar. (was euch "hoffentlich" einfacher fällt)

lg
die rl-kranke auf der tastatur einpennende mietzekatze...
*hust*

P.S.: gibtsne gute kombi aehnelnd ZoneAlarm Pro und ner Sandbox?
P.P.S.: 2 hijack logs
http://home.arcor.de/kazee/bleh/030204-0100am.log
http://home.arcor.de/kazee/bleh/030204-0750am.log
(einige einträge sind definitiv SEHR verwunderlich)[/i]

€:// was ich vergass: das ganze tritt bereits bei einer bestehenden online verbindung auf, ohne jegliche nutzung.
__________
## i still dunno ##

#2 a) Gute Frage da bist du nicht der erste.
-> http://board.protecus.de/t8051.htm
b) Gute Frage mach mal ein netstat -a und pipe es am besten in ein Log-File mittels "netstat -a > log.txt".
d) Schon möglich wenn du Netzlaufwerke verwendest.
e) Wie schon genannt Ethereal ansonsten Firewall installieren und schaun welches Programm sich wohin verbinden will.

Lad dir mal Ad-Aware und/oder Spybot runter (Google) und scann mal im abgesicherten Modus deinen Rechner durch.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.