Ethereal Analyse

Hallo...
Ich hab neulich mal das Netzwerk mit Ethereal gescannt und dabei bemerkt, dass von meinem Rechner aus relativ viele Verbindungen gestartet wurden. Mein Rechner hat von mehreren IP?s irgendwas empfangen. Mit VisualRoute hab ich rausgekriegt, dass diese IPs überall auf der Welt waren. Dabei hab ich keine Tauschbörse oder ähnliches laufen. Auch ICQ war aus... Woher können diese Verbindungen kommen und was ist das?
mfg

 

So then i am sorry MT-Soft.
That's right. Since Windows 2000 the Services are implemented in the system.

With Best regards, Urmel

 

windows 9x hasnt any services..

 

I'm not so good in German so I can understand you, but I cannot write

So on Win 98 port 5000 is not open by default

 

Ja, nach einer Standardinstallation von XP ist der Port immer offen, oder sollte ich sagen "Yes"
Warum schreibst du hier englisch, wenn du doch alles verstehen kannst? Mir kommt es eher so vor, als wolltest du dein Schreibenglisch verbessern

 

Really? And port 5000 is always opened (by Windows)?

 

MT-SOFT

http://www.computer-security.ch/ids/default.asp?TopicID=164

punkt 4. Beenden von ssdp (Port 1900, 5000)

 

Exucse me but port 5000 is known to be used by a lot of trojan horses.

 

Wenn du schon Ethereal benutzt, dann solltest du dieses "irgendwas" mal spezifizieren. Schließlich kannst du das mit Ethereal genau sehen.

Aber vermutlich jemand anderer, der mit dem Vorbesitzer der öffentlichen IP deines Routers/Internetrechners fleißig tauschte.

Das ist nichts als Unsinn. Port 5000 ist bei einigen Systemen unnötigerweise standardmäßig offen, weil ein Dienst läuft, in diesem Fall wohl UPnP.
Dass der Scanner einem Port > 1024 einen Trojaner-Namen zuordnet, ist ein Zeichen von Unfähigkeit.

 

Next time please use http://mt.smolyan.info/forum/ to get answers from the author

 

Hi, I am MT-Soft the creator of the program Open Port Scanner.

Don't worry port 5000 is usually open on XP

 

also ich hab ma mit dem Open Port Scanner http://mt.smolyan.info
alles durchgescannt... bei Port 5000 steht "Trojan - Back Door Setup, Bubbel...". was is das schon wieder? der Rechner wurde vor 3 Tagen erst neuformatiert...

 

Du solltest auf den Rechnern im Netzwerk mal untersuchen, welche Anwendungen mit welchen Ziel-Ips Kontakt aufnehmen.Auf NT-Systemen geht das z.B. gut mit einem Tool wie Open Ports, welches dir anzeigt, welche Anwendung womit Kontakt aufnimmt.Du kannst das Ergebnis dann auch direkt mit dem geloggten Ethereal-Ergebnis abgleichen.Wenn du kein Zusatz-Tool einsetzen möchtest, geht das Ganze auch mit dem Befehl netstat -ano unter XP. Dabei wird dir die Process-ID angezeigt, die du dann bei der Prozess-Anzeige unter dem Task-Manager auflösen kannst.