XP: welche proggies nutzen lokalen Port 1243?

Rufus1966 · 13.10.2008, 12:39

Hallöle,
Norton Antivirus zeigt im Protokoll, dass lokaler Port 1243 (Backdoor-G) bei GMX auf Port 110 zugreift.
Hier mal der Auszug:
13.10.2008 10:21:56,192.168.178.21,Backdoor-g-1(1243),213.165.64.22,pop3(110),42,167,0:00:00.250,"Verbindung: pop.gmx.net: pop3(110) Von 01815MEINEREINE: Backdoor-g-1(1243), 42 Bytes gesendet, 167 Bytes empfangen, Zeitdauer: 0.250"

Norton bezeichnet den Port 1243 wohl generell als Backdoor-G, ohne das ein Trojaner im System sein muss.

Gibt es legale Programme die den Port 1243 bisweilen nutzen??
Mein PC hängt an einer Eumex 300ip. Norton Antivirus2008 und Comodo Firewall sind installiert. Ein DateiScan von Laufwerk C: über Chip-Linux-Rettungs-DVD war sauber!

Danke schonmal für eure Infos!

cosinus · 13.10.2008, 22:05

Hallo und

Das sieht irgendwie merkwürdig aus, ich würde spintan auf nen Fehlalarm tippen, aber man weiß ja nie.

Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Dann sehen wir weiter.

Rufus1966 · 14.10.2008, 09:29

danke schonmal!!!
Hier mal das Logfile. Als "Laie" fällt mir jetzt nichts besonderes auf.
Allerdings hat Norton nachfolgende Verbindung gestern mitprotokolliert:

13.10.2008 14:32:06,192.168.178.21,Backdoor-g-1(1243),88.221.32.146,https(443),11145,66974,0:08:28.500,"Verbindung: 88.221.32.146: https(443) Von 01815MEINEREINE: Backdoor-g-1(1243), 11145 Bytes gesendet, 66974 Bytes empfangen, Zeitdauer: 8:28.500"

Ich hatte zu diesem Zeitpunkt sicherheitshalber meinen PayPal-Account gekündigt. Die IP-Addy 88.221.32.146 gehört zu PayPal!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:18, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\Ai Booster\OverClk.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Pen_Tablet.exe
I:\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://ssaw.symantec.com/?SASSERVER=sasmain.symantec.com&TRANSID=/72778/xyyDmAAARzD8Wevg/003N000Y00AP&TID=xyyDmAAARzD8Wevg&SKU=385&VID=131&PID=34&FP=0FF6EEC40FF6F352&LNG=DEU&ISPID=1003&CID=301&SN=Germany
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - I:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - I:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programme\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2052111302-746137067-1177238915-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'FR-Surf')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-21-2052111302-746137067-1177238915-1006 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'FR-Surf')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8881 bytes

cosinus · 14.10.2008, 11:02

Hmhm...Du hast nicht zufällig gerade was bei GMX oder Ebay/Paypal gemacht zu den Zeitpunkten dieser Protokolleinträge?

Rufus1966 · 14.10.2008, 11:12

Ja doch.
Outlook Express hat zu dem Zeitpunkt meine ganzen Emails bei verschiedenen Accounts abgerufen und Paypal hatte ich zu dem Zeitpunkt gerade gekündigt.

Mich stört halt der Port 1243 den Norton wohl generell als Backdoor-G bezeichnet.

MightyMarc · 14.10.2008, 17:18

Man möge mir meine Naivität verzeihen, aber könnte nicht

Code:

ATTFilter

netstat -abn

Licht ins Dunkel bringen?

Marc

cosinus · 14.10.2008, 17:25

Zitat:

Zitat von %ComSpec%

Man möge mir meine Naivität verzeihen, aber könnte nicht

Code:

ATTFilter

netstat -abn

Licht ins Dunkel bringen?

Marc

Ja, das könnte es durchaus!

KarlKarl · 15.10.2008, 09:19

Hi

Zitat:

Gibt es legale Programme die den Port 1243 bisweilen nutzen?

aber ja. Z.B. Windows.

Dein Mailprogramm will die Mails laden. Dazu gibt es vor die Adresse des Mailservers und Port 25, mit den Angaben ist der Mailserver zu erreichen. Auf deiner Seite der Verbindung ist aber auch ein Port erforderlich, von dem aus die Verbindung aufgebaut wird. Welcher das ist, ist egal, Hauptsache irgendeiner. Das Mailprogramm macht sich deshalb keinen Kopf darum (könnte es auch nicht). Der Netzwerkcode von Windows wählt dafür einfach einen Port aus. Es gibt da ein paar Untershciede, aber vermutlich fängt er einfach an, der Reihe nach die Ports ab 1024 zu benutzen. Zwischendurch kommt dann eben 1243 dran und schon hat Norton erkannt, dass diren System vom Backdoorserver Sub7 (der nämlich früher mal auf Port 1243 vorkonfiguriert war) befallen ist.

Und wenn es nicht das Mailprogramm ist, dann eben der Webbrowser oder sonstwas, ändert nichts am Prinzip.

Was lernen wir daraus? Dass Norton noch dümmer als Hühnerscheiße ist.

Gruß, Karl

cosinus · 15.10.2008, 09:34

Zitat:

Was lernen wir daraus? Dass Norton noch dümmer als Hühnerscheiße ist.

Genau das hab ich ja schon vermutet, wollte es aber ehrlich gesagt bei der aktuellen Version von der gelben Pest nicht glauben

Rufus1966 · 15.10.2008, 17:59

Dann bin beruhigt und doch nicht paranoid :-)
Hatte mir extra Wireshark installiert und den Port 1243 loggen lassen. Ausser Firefox und Mailproggie lief da kein Datenverkehr.
Aber äusserst interessant ist zu sehen, wenn man Wireshark ein ping zu google loggen lässt! Was da an Daten ausgetauscht wird........hammer!

DANKE an KARLKARL für die Erklärung!! Jetzt kann ich wohl wieder nachts ruhig schlafen!

13.10.2008, 22:05	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	XP: welche proggies nutzen lokalen Port 1243? Anleitung / Hilfe Hallo und Das sieht irgendwie merkwürdig aus, ich würde spintan auf nen Fehlalarm tippen, aber man weiß ja nie. Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! Dann sehen wir weiter. __________________ __________________

14.10.2008, 11:02	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Lösung: XP: welche proggies nutzen lokalen Port 1243? Hmhm...Du hast nicht zufällig gerade was bei GMX oder Ebay/Paypal gemacht zu den Zeitpunkten dieser Protokolleinträge? __________________ Logfiles bitte immer in CODE-Tags posten

XP: welche proggies nutzen lokalen Port 1243?

Alles rund um Windows: XP: welche proggies nutzen lokalen Port 1243?

Problem: XP: welche proggies nutzen lokalen Port 1243?