Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   netstat Auswerten mit komischen Namen statt IP (https://www.trojaner-board.de/89188-netstat-auswerten-komischen-namen-statt-ip.html)

Pandaren 06.08.2010 15:06
netstat Auswerten mit komischen Namen statt IP
 
Hallo,

ich habe meinen PC seit kurzen neu installiert, ich habe bisher keine alten exe oder dll Dateien ausgeführt und auch sonst nichts unsicheres gemacht. Trozdem habe ich den verdacht, dass sich etwas vorbei geschliechen hat. Auch habe ich gemerkt das mein Kaspersky(seit der ersten Verbindung aktiv), an dauernt diese legalen Prozesse,die potentiell gefährlich sind, oder so findet, die beim ersten mal im Recycle Order drin waren, obwohl ich den eigentlich über Linux gelöscht habe(glaub ich).

netstat -b
Code:

  Proto  Lokale Adresse        Remoteadresse          Status
  TCP    192.168.0.111:63124    fx-in-f104:http        WARTEND
  TCP    192.168.0.111:63125    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63126    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63127    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63128    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63129    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63131    a92-122-207-136:http  WARTEND
  TCP    192.168.0.111:63132    a92-122-207-136:http  WARTEND
  TCP    192.168.0.111:63133    a92-122-207-136:http  WARTEND
  TCP    192.168.0.111:63134    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63135    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63136    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63137    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63138    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63139    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63140    a92-122-207-155:http  WARTEND
  TCP    192.168.0.111:63141    a92-122-207-155:http  WARTEND
netstat -a
Code:
 
  Proto  Lokale Adresse        Remoteadresse          Status
  TCP    0.0.0.0:80            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:135            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:443            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:445            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:912            Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:3306          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49152          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49153          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49154          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49155          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49156          Admin-PC:0              ABHÖREN
  TCP    0.0.0.0:49157          Admin-PC:0              ABHÖREN
  TCP    192.168.0.111:139      Admin-PC:0              ABHÖREN
  TCP    192.168.0.111:63128    fx-in-f101:http        WARTEND
  TCP    192.168.0.111:63129    fx-in-f106:http        WARTEND
  TCP    192.168.0.111:63131    a92-122-207-136:http  WARTEND
  TCP    192.168.0.111:63132    a92-122-207-136:http  WARTEND
  TCP    192.168.0.111:63133    a92-122-207-136:http  WARTEND
  TCP    192.168.0.111:63134    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63135    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63136    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63137    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63138    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63139    a92-122-207-171:http  WARTEND
  TCP    192.168.0.111:63140    a92-122-207-155:http  WARTEND
  TCP    192.168.0.111:63141    a92-122-207-155:http  WARTEND
  TCP    192.168.25.1:139      Admin-PC:0              ABHÖREN
  TCP    192.168.40.1:139      Admin-PC:0              ABHÖREN
  TCP    [::]:80                Admin-PC:0              ABHÖREN
  TCP    [::]:135              Admin-PC:0              ABHÖREN
  TCP    [::]:443              Admin-PC:0              ABHÖREN
  TCP    [::]:445              Admin-PC:0              ABHÖREN
  TCP    [::]:49152            Admin-PC:0              ABHÖREN
  TCP    [::]:49153            Admin-PC:0              ABHÖREN
  TCP    [::]:49154            Admin-PC:0              ABHÖREN
  TCP    [::]:49155            Admin-PC:0              ABHÖREN
  TCP    [::]:49156            Admin-PC:0              ABHÖREN
  TCP    [::]:49157            Admin-PC:0              ABHÖREN
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500          *:*
  UDP    0.0.0.0:5355          *:*
  UDP    127.0.0.1:1900        *:*
  UDP    127.0.0.1:53142        *:*
  UDP    192.168.0.111:137      *:*
  UDP    192.168.0.111:138      *:*
  UDP    192.168.0.111:1900    *:*
  UDP    192.168.25.1:137      *:*
  UDP    192.168.25.1:138      *:*
  UDP    192.168.25.1:1900      *:*
  UDP    192.168.40.1:137      *:*
  UDP    192.168.40.1:138      *:*
  UDP    192.168.40.1:1900      *:*
  UDP    [::]:500              *:*
  UDP    [::]:4500              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900            *:*
  UDP    [::1]:53141            *:*
  UDP    [fe80::8999:2b32:7194:bb3%11]:546  *:*
  UDP    [fe80::8999:2b32:7194:bb3%11]:1900  *:*
  UDP    [fe80::9412:ca90:fbb8:e201%16]:546  *:*
  UDP    [fe80::9412:ca90:fbb8:e201%16]:1900  *:*
  UDP    [fe80::e1bb:a25:36a2:1a47%14]:546  *:*
  UDP    [fe80::e1bb:a25:36a2:1a47%14]:1900  *:*
Ich frage mich wirklich warum ich ports mit +60000 offen habe und ich frage mich was diese "a92-122-207-171" und "fe80::8999:2b32:7194:bb3%11" zu bedeuten haben, ich kann von ihnen auf keine IP Adresse schließen.

Hoffe jemand kann helfen. Es könnte ein rootkit sein oder ein bestehender backdoor.

cosinus 06.08.2010 21:22
Zitat:
Ich frage mich wirklich warum ich ports mit +60000 offen habe
Weil für bestehende Verbindungen ein Port >1024 ausgewählt wird! Würdest Du zB Deine Verbindungssession über einen Webserver auch ständig über Port 80 laufen lassen, könnte sich kein anderer mehr mit dem verbinden. Der Webserver lauscht auf Port 80, die verbindest Dich mit ihm, wenn die Verbindung besteht wird alles weitere über zufällig hohe Ports geregelt.


Nur Logs von netstat sind fast wie Kaffeesatzleserei.
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28