Netstat schlägt queer? // Trojanerfreiheit wiederhergestellt?

#1 Erst einmal den Screenshot zu dem ich ein paar Fragen hätte:




Eins vorweg, mein System war vor kurzem mit diverser Spyware und nem ziemlich ueblen Trojaner verseucht (möglicherweise immernoch), wobei der Täter definitiv mehr als nur viel Ahnung hat (da ich ihn leider kenne *g*)

ich frage miche nun:

a. Was bringen bitte die Localhost Verbindungen? (siehe u.a. nachbarthread)
b. wieso stehen einige TCP Verbindungen dauerhaft auf abhören bei mir
c. die UDP Verbindungen = ???
d. wieso tauchen u.a. andere verbindungen wie diese zu dem board hier z.b. garnicht auf?

Ein Sniffer brachte mir leider keinerlei Antworten auf die oben genannten Fragen,
(half jedoch bei deaktivierung diverser dinge angefangen bei netbios als auch netter spyware) wenn ich den Angaben von HiJackThis trauen kann duerfte ich das System halbwegs wieder sauber haben...

momentan sieht das ganze so aus:

Logfile of HijackThis v1.97.7
Scan saved at 08:11:02, on 09.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Daemon-Tools\daemon.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
D:\ssm\SSM194-1\SysSafe.exe
D:\Programme\Miranda IM\miranda32.exe
D:\Programme\ffxp1.4.815\flashfxp.exe
C:\Programme\Netscape\Netscp.exe
C:\WINDOWS\System32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Chemistry\Packetyzer\Packetyzer.exe
D:\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SystemSafe] D:\ssm\SSM194-1\SysSafe.exe
€:// 2 einträge Q17: O17 - HKLM\System\CCS\Services\Tcpip\..\{192C9A20-8AA0-476F-805B-BD3D23538741}: NameServer = 192.168.xx.xx


Ich freue mich für jede Stellungnahme und/oder Mithilfe bei der Problemlösung, und danke schonmal fürs lesen

mfg
me

€:// für die bessere analyse
- trojancheck zeigt mir die wininit.ini an, inhalt:
[rename]
NUL=C:\DOKUME~1\user\LOKALE~1\Temp\ginstall.dll
NUL=C:\GD-DOM~1.EXE
NUL=C:\GD-DOM~1.EXE
NUL=c:\PROGRA~1\GLOBAL~1\DOMER0~1\GD-DOM~1.EXE
NUL=c:\PROGRA~1\GLOBAL~1\DOMER0~1\047.dat
NUL=c:\PROGRA~1\GLOBAL~1\DOMER0~1\
Im Verzeichnis C:\Programme\ gibts es ein Verzeichnis namens GlobalDialer (???) mit einer 47.dat ~2kb
ich löschte vor einigen tagen bei dem aufräumen des systems dieses verzeichnis bereits, wie es scheint erstellt es sich wohl wieder :*

Im Registry Active Setup steht ein sonst unerklärter eintrag namens jkfbic ???

Autostart Standardeinträge: 2(!) x desktop.ini ???

(und als prozesse und überwachung läuft die smss.exe 2 mal... wird im taskmanager jedoch nur 1x angezeigt...)



Hoffe da steigt nocht wer durch, wenn irgendwas noch gebraucht wird, immer her damit, glaube langsam wird es interressant *G*
__________
## i still dunno ##

#2 Poste doch bitte mal das ganze Log.

#3 Grundsätzlich: Eine Anwendung sucht sich einen lokalen Port, von dem aus sie kommuniziert. Und ein Abhören/Listening ist im Grunde kein ungewöhnlicher Zustand.
Warum UDP ? Das kommt einfach darauf an, was für Anwendungen zum Zeitpunkt des Screenshots aktiv waren. evtl gibt es dafür eine ganz pausible Erklärung.
Aber poste einfach mal dein komplettes Log.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 @kazee

Bei dir werden von Netstat systemspezifische Dienste angezeigt.
Netstat ist gut TCPView und Process Explorer verraten dir etwas mehr.
Autostart Viewer ist auch ein nützliches Tool.
Wieso hast Du in deiner 2xdesktop.ini/Autostart nicht hereingeschaut?(mit Notepad öffnen)

#5 @Dafra: das gesamte Log

Logfile of HijackThis v1.97.7
Scan saved at 09:12:42, on 19.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Kerio PFW\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Kerio PFW\Personal Firewall 4\kpf4gui.exe
C:\Programme\Daemon-Tools\daemon.exe
D:\Programme\Kerio PFW\Personal Firewall 4\kpf4gui.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
D:\ssm\SSM194-1\SysSafe.exe
D:\Programme\Miranda IM\miranda32.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\GMX SMS-Manager\SMSMngr.exe
D:\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SystemSafe] D:\ssm\SSM194-1\SysSafe.exe
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.2242013889
O17 - HKLM\System\CCS\Services\Tcpip\..\{192C9A20-8AA0-476F-805B-BD3D23538741}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{192C9A20-8AA0-476F-805B-BD3D23538741}: NameServer = 192.168.1.1


@Ajax:
Ich Habe diverse Programme ausser Netstat benutzt, u.a. CHXI Management Console, ein wirklich nettes Program, wo ich ebenso n Haufen offener Ports sehe, die ebenso vorhanden sind wenn ich alles Kille ausser den paar Win Standard Prozessen.

Ich habe mal die wohl hier im Forum sehr beliebte KPF installiert, und bekomme dort auch mehr als nur wenige Angriffe angezeigt, etwa die haelfte geht auf trojaner versuche zurueck, ...
z.b.: http://www.whitehats.com/info/IDS83
http://www.whitehats.com/info/IDS106
http://www.whitehats.com/info/IDS202

klar, wie auch dort u.a. beschrieben kann dieser alarm auch durch andere programme die auf den port reagieren ausgelöst worden sein, das seltsamste ist nur, ich habe KEINEN der ports offen, noch auf listenning. ?

desweiteren melden mir sowohl SSM als auch Kerio veränderungen an explorer.exe und dem WMP.

ich könnt jetzt natürlich mal alles neuinstallieren und erneut gucken, ich würd aber gerne jetzt bereits wissen ob und was und wohin, wenn ihr versteht was ich meine...

Und zun guter letzt: das Kerio Log ist nicht wirklich aufschlussreich :/


und danke fuer die bisherigen antworten...

mfg
me

€:// P.S.: ich kann davon ausgehen das die ganzen localhost verbindungen die durch KPF enstehen normal sind?!
__________
## i still dunno ##

#6

Zitat

Ich Habe diverse Programme ausser Netstat benutzt, u.a. CHXI Management Console, ein wirklich nettes Program, wo ich ebenso n Haufen offener Ports sehe...

Glaubst Du ich habe dir spaßhalber TCPView & ProcessExplorer zum Download empfohlen oder meinst ich bekomme von Sysinternals dafür Provision?
TCPView zeigt dir grundsätzlich auch den Prozess mit Pfadangabe an,der am Port lauscht.Anhand deines Screenshots von Netstat müsste man eine Glaskugel haben um zu erraten was alles an Prozesse aktiv war.

Zitat

desweiteren melden mir sowohl SSM als auch Kerio veränderungen an explorer.exe und dem WMP.

Upgrade,Update ?
Ansonsten schon mit einem vernünftigen AV gescannt ?

Zitat

wieso tauchen u.a. andere verbindungen wie diese zu dem board hier z.b. garnicht auf?

Ziemlich unwahrscheinlich.Bist Du dir da ganz sicher? Sowohl TCPView als auch TDIMon sollten es eigentlich anzeigen.

Zitat

Eins vorweg, mein System war vor kurzem mit diverser Spyware und nem ziemlich ueblen Trojaner verseucht (möglicherweise immernoch),

Hat der Trojaner auch einen Namen?

Zitat

Ich habe mal die wohl hier im Forum sehr beliebte KPF installiert, und bekomme dort auch mehr als nur wenige Angriffe angezeigt, etwa die haelfte geht auf trojaner versuche zurueck, ...

Der Schmarn mit Trojanerangriffe auf geschlossene Ports wurde hier im Forum schon 100x erklärt.(übrigens wurde hier im Forum die KPF 2.1.5 des öfteren empfohlen und nicht die 3-er oder 4-er Version)

Zitat

wobei der Täter definitiv mehr als nur viel Ahnung hat (da ich ihn leider kenne *g*)

Falls so und er direkten Zugang zum Rechner hatte,hätte er dir auch was nettes unterjubeln können,das all deine Schutzsoftware (auch Netstat & ...) umgeht und Du dabei gar nichts bemerkst.(scheint aber nicht der Fall zu sein)
Übrigens hast Du System Safety Monitor installiert.Der warnt/fragt ja nun wirklich vor dem Ausführen (fast)jeglicher Prozesse.Man muß nur wissen was man erlauben darf bzw seine eigene Programme und Prozesse des BS's kennen,sonst ist er nutzlos.

#7 Hallo kazee,

die Verbindungen zum "localhost", oder auch IP 127.0.0.1, sind Verbindungen mit deinem eigenen Rechner, d. h. Verbindungen zu Programmen welche sich auf deinem Rechner befinden.

Solche Verbindungen gehen nicht nach draussen und sind daher ungefährlich.

Allerdings ist, wie auf deinem Screenshot zu sehen, folgenden Verbindung aktiv:

Proto Lokale Adresse Remoteadresse Status
TCP knb:1035 205.188.9.57:5190 HERGESTELLT

Der Port 5190 wird normalerweise von Programmen wie AIM oder ICQ verwendet. Wenn du allerdings keines dieser Programme bei dir installiert hast, handelt es sich mit ziemlicher Wahrscheinlichkeit um einen Trojaner der sich über diesen Port, zu der IP 205.188.9.57 vebundet hat.

Unter http://www.ripe.net kannst du nachsehen wer diese IP registriert hat.

Evtl. kannst du auch mal im Taskmanager nachschauen ob bei dir verdächtige Prozesse laufen.

#8 So, hi ppl,

ich bedank mich erstmal fuer eure Antworten,
vlt. habe ich mich hier ein bisschen zu sehr nub haft ausgedrückt.

@Ajax: TCPView nutze ich inzwischen, ein wirklch gutes programm, so kann ich mir die muehseelige suche per PID ersparen.

upgrade/update gab es zu dem zeitpunkt noch nicht, AV Scanner FreeAV & NAV getestet (wobei ich beide nicht all zu gut finde)

ajax: leider ja, das istja das merkwürdige... er zeigt den host auch von anderen seiten nicht an.

ich kenne den namen leider nicht, meinst du ich kann den KPF logs trauen, eher nicht...

Die KPF Version habe ich überlesen, sorry mein fehler *duck*

Direkten Zugriff, ist eine gute Frage, eigtl nicht,...
die hauptfrage ist inwiefern ich bestehende prozesse auf deren korrektheit überprüfen kann...

@Cablenet zu dem zeitpunkt lief miranda auf port 5190, auch mit der dazugehoerigen verbindung zum icq/aol server... von daher: das sollte so sein
und lt. ner damalig überprüften und eben per ripe kontrollierten anfrage dürfte das wohl ebenso der gewünschte server sein *denk*

mfg
me
__________
## i still dunno ##