Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: netstat Auswerten mit komischen Namen statt IP

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 06.08.2010, 15:06   #1
Pandaren
 
netstat Auswerten mit komischen Namen statt IP - Standard

netstat Auswerten mit komischen Namen statt IP



Hallo,

ich habe meinen PC seit kurzen neu installiert, ich habe bisher keine alten exe oder dll Dateien ausgeführt und auch sonst nichts unsicheres gemacht. Trozdem habe ich den verdacht, dass sich etwas vorbei geschliechen hat. Auch habe ich gemerkt das mein Kaspersky(seit der ersten Verbindung aktiv), an dauernt diese legalen Prozesse,die potentiell gefährlich sind, oder so findet, die beim ersten mal im Recycle Order drin waren, obwohl ich den eigentlich über Linux gelöscht habe(glaub ich).

netstat -b
Code:
ATTFilter
  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    192.168.0.111:63124    fx-in-f104:http        WARTEND
  TCP    192.168.0.111:63125    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63126    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63127    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63128    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63129    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63131    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63132    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63133    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63134    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63135    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63136    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63137    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63138    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63139    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63140    a92-122-207-155:http   WARTEND
  TCP    192.168.0.111:63141    a92-122-207-155:http   WARTEND
         
netstat -a
Code:
ATTFilter
  
  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:80             Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:135            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:443            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:445            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:912            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:3306           Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49152          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49153          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49154          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49155          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49156          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49157          Admin-PC:0              ABHÖREN
  TCP    192.168.0.111:139      Admin-PC:0              ABHÖREN
  TCP    192.168.0.111:63128    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63129    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63131    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63132    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63133    a92-122-207-136:http   WARTEND
  TCP    192.168.0.111:63134    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63135    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63136    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63137    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63138    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63139    a92-122-207-171:http   WARTEND
  TCP    192.168.0.111:63140    a92-122-207-155:http   WARTEND
  TCP    192.168.0.111:63141    a92-122-207-155:http   WARTEND
  TCP    192.168.25.1:139       Admin-PC:0              ABHÖREN
  TCP    192.168.40.1:139       Admin-PC:0              ABHÖREN
  TCP    [::]:80                Admin-PC:0              ABHÖREN
  TCP    [::]:135               Admin-PC:0              ABHÖREN
  TCP    [::]:443               Admin-PC:0              ABHÖREN
  TCP    [::]:445               Admin-PC:0              ABHÖREN
  TCP    [::]:49152             Admin-PC:0              ABHÖREN
  TCP    [::]:49153             Admin-PC:0              ABHÖREN
  TCP    [::]:49154             Admin-PC:0              ABHÖREN
  TCP    [::]:49155             Admin-PC:0              ABHÖREN
  TCP    [::]:49156             Admin-PC:0              ABHÖREN
  TCP    [::]:49157             Admin-PC:0              ABHÖREN
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:53142        *:*
  UDP    192.168.0.111:137      *:*
  UDP    192.168.0.111:138      *:*
  UDP    192.168.0.111:1900     *:*
  UDP    192.168.25.1:137       *:*
  UDP    192.168.25.1:138       *:*
  UDP    192.168.25.1:1900      *:*
  UDP    192.168.40.1:137       *:*
  UDP    192.168.40.1:138       *:*
  UDP    192.168.40.1:1900      *:*
  UDP    [::]:500               *:*
  UDP    [::]:4500              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:53141            *:*
  UDP    [fe80::8999:2b32:7194:bb3%11]:546  *:*
  UDP    [fe80::8999:2b32:7194:bb3%11]:1900  *:*
  UDP    [fe80::9412:ca90:fbb8:e201%16]:546  *:*
  UDP    [fe80::9412:ca90:fbb8:e201%16]:1900  *:*
  UDP    [fe80::e1bb:a25:36a2:1a47%14]:546  *:*
  UDP    [fe80::e1bb:a25:36a2:1a47%14]:1900  *:*
         
Ich frage mich wirklich warum ich ports mit +60000 offen habe und ich frage mich was diese "a92-122-207-171" und "fe80::8999:2b32:7194:bb3%11" zu bedeuten haben, ich kann von ihnen auf keine IP Adresse schließen.

Hoffe jemand kann helfen. Es könnte ein rootkit sein oder ein bestehender backdoor.

Alt 06.08.2010, 21:22   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
netstat Auswerten mit komischen Namen statt IP - Standard

netstat Auswerten mit komischen Namen statt IP



Zitat:
Ich frage mich wirklich warum ich ports mit +60000 offen habe
Weil für bestehende Verbindungen ein Port >1024 ausgewählt wird! Würdest Du zB Deine Verbindungssession über einen Webserver auch ständig über Port 80 laufen lassen, könnte sich kein anderer mehr mit dem verbinden. Der Webserver lauscht auf Port 80, die verbindest Dich mit ihm, wenn die Verbindung besteht wird alles weitere über zufällig hohe Ports geregelt.


Nur Logs von netstat sind fast wie Kaffeesatzleserei.
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Antwort

Themen zu netstat Auswerten mit komischen Namen statt IP
127.0.0.1, 192.168.0.1, aktiv, auswerten, backdoor, code, dateien, dll, exe, frage, gefährlich, gelöscht, ip adresse, kaspersky, linux, namen, netstat, netstat backdoor rootkit, neu, ports, prozesse, recycle, rootkit, tcp, udp, verbindung, verdacht, warum



Ähnliche Themen: netstat Auswerten mit komischen Namen statt IP


  1. Erhalte Mail Delivery Nachrichten von komischen Adressen
    Log-Analyse und Auswertung - 26.11.2015 (12)
  2. langsam und ständiges öffnen von komischen Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 15.06.2015 (29)
  3. Prozess System mit komischen Verbindungen
    Plagegeister aller Art und deren Bekämpfung - 19.01.2015 (3)
  4. Pc gibt komischen Ton über die Boxen aus
    Plagegeister aller Art und deren Bekämpfung - 29.11.2013 (15)
  5. bilder mit komischen dateinamen
    Log-Analyse und Auswertung - 19.09.2012 (1)
  6. trojaner gefunden/gelöscht, alle Datein mit komischen Endungen!
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (19)
  7. Rechner spielt Komischen Sound ungewollt ab
    Plagegeister aller Art und deren Bekämpfung - 14.05.2011 (40)
  8. Ich Habe einen komischen virus!
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (1)
  9. Google links werden zu komischen Seiten
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (18)
  10. Komischen Link geschickt bekommen...
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (1)
  11. Trojancheck zeigt komischen Prozess
    Log-Analyse und Auswertung - 19.01.2009 (14)
  12. Firefox öffnet komischen Link/MSN Virus
    Log-Analyse und Auswertung - 26.10.2008 (1)
  13. 16 statt 256 Farben/640x480 statt 800x600
    Alles rund um Windows - 14.07.2008 (4)
  14. Windows Services mit komischen Namen
    Plagegeister aller Art und deren Bekämpfung - 24.10.2007 (5)
  15. Noch so jemand mit komischen PopUps! HELP
    Plagegeister aller Art und deren Bekämpfung - 05.02.2006 (11)
  16. Ist das normal??? Bitte mal Logfile von netstat -a auswerten...
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (11)
  17. Hilfe, komischen Sachen!!!
    Log-Analyse und Auswertung - 19.11.2004 (1)

Zum Thema netstat Auswerten mit komischen Namen statt IP - Hallo, ich habe meinen PC seit kurzen neu installiert, ich habe bisher keine alten exe oder dll Dateien ausgeführt und auch sonst nichts unsicheres gemacht. Trozdem habe ich den verdacht, - netstat Auswerten mit komischen Namen statt IP...
Archiv
Du betrachtest: netstat Auswerten mit komischen Namen statt IP auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.