explorer will ins netz, seit kurzem

Dieses Thema im Forum "Sicherheit" wurde erstellt von franzkat, 5. August 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    seit einiger Zeit, ca. 2-3 Wochen will Explorer ins Netz. Zonealarm zeigt und fragt. XP antispy ist installiert. Darf Explorer das? oder ist das ein Trojaner.
    Beim Suchen nach Explorer ist die Bezeichnung a: Internet Explorer und b: Windows-Explorer. Was ist dann die Bezeichnung :Explorer.exe.

    Wie gesagt bis vor ein paar Wochen hat der Explorer nicht versucht eine verbindung zu erstellen.

    Norton sagt nichts dazu, kein Virus o.ä.
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Das Merkwürdige ist ja, dass der Explorer Port 1030 öffnet.UPnP über Port 5000 und SSDP über 1900 wäre in dem von Dir skizzierten Fall normal.

    franzkat
     
  3. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hast du eventuell kürzlich mal deine Soundkarte o.ä. gewechselt?

    Seit Einführung des Universal Plug-n-Play (UPnP) werden über das "simple service discovery protokoll" (ssdp), welches Bestandteil vom UPnP ist, SSDP-Pakete über das Internet gesendet.

    Mit diesem Versuch eines Informationsaustausches sollen eigentlich weitere SSDP-fähige Rechner im Netzwerk gefunden werden, um eine gemeinsame Benutzung von Hardwarekomponenten UPnP-fähiger Geräte zu ermöglichen.
    Da XP nicht erkennt, ob sich dein Rechner überhaupt in einem LAN befindet, sendet er die Informationen alternativ über das Internet und zwar hier über SSDP auf Port 5000 (TCP).

    Du solltest unter den Diensten von XP den SSDP-Suchdienst ssdpsrv.exe beenden und den automatischen Start unterbinden. Dann sollte explorer.exe Ruhe geben.

    Gruß

    Marc
     
  4. coralle

    coralle Byte

    Registriert seit:
    21. März 2003
    Beiträge:
    11
    ...mit etwas mehr Erfahrung hätte ich darauf geachtet, aber ich bin manchmal mit dem Löschen/Ändern etwas zu schnell. 1030 ist jetzt jedenfalls nicht geöffnet und in tcpview ist auch Explorer nicht sichtbar.
    Nach dem Entfernen der alten Programme war auch keine Meldung mehr in Zonealarm sichtbar. Trotzdem, habe ich, um sicher zu gehen dann noch den Systempunkt wieder zurückgesetzt.
    Ich werde jetzt die Programme wieder installieren und dann mal sehen, ob was passiert.
     
  5. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Ein interessanter Fall.Es ist ja nichts Besonderes, dass ein Prgramm nach Hause telefoniert.Bemerkenswert ist, dass der Port durch den Windows-Explorer geöffnet wird, so dass sich so nicht ohne weiteres sagen läßt, welche Aktivität denn nun genau verantwotlich ist. Du beschreibst zwei Schritte ; ist denn schon nach dem ersten Schritt mit dem Deinstallieren der Programme der Port 1030 geschlossen worden oder erst nach dem zweiten mit der Systemwiederherstellung ?

    franzkat
     
  6. coralle

    coralle Byte

    Registriert seit:
    21. März 2003
    Beiträge:
    11
    Erstmal vielen herzlichen Dank für deine Bemühungen.

    Ich habe jetzt folgendes getan:

    1.Die letztinstallierten Programme gelöscht: Photoshop elements,
    acrobat reader, Roxio Plainum usw.

    2. einen Systemwiederherstellungszeitpunkt vor dem Problembeginn gewählt
    und siehe da- alles läuft wieder wie gehabt ohne Nachfrage ob der Explorer eine Verbindung ins Internet haben darf.
    Ich vermute immer noch, falls das theoretisch mgl. ist, dass eines
    der letztinstallierten Programme diese Problematik verursacht hat.

    Nochmal Danke!
     
  7. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Nochmal ein Nachtrag : Ich sehe gerade, dass bei Dir auch der Prozess ccapp.exe läuft. Das ist der Symantec Common Client, der in der Vergngenheit für sehr viele Schwierigkeiten gesorgt hat und ein durchaus heißer Kandidat für die Ursache Deiner Probleme sein könnte.

    http://news.zdnet.de/story/0,,t101-s2132289,00.html

    Das würde ich als Möglichkeit in jedem Fall mal abchecken.

    franzkat
     
  8. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Habe in folgendem Forum diesen Beitrag gefunden, der das gleiche Phänomen beschreibt :

    http://www.techzonez.com/forums/showthread.php?threadid=5240

    Dehcbad25 23:39

    In diesem Fall scheint so zu sein, dass der UPnP-Service hier über den Explorer läuft. Frag mich nicht, warum das so sein kann. Ich würde mal an Deiner Stelle unter Systemsteuerung | Verwaltung | Dienste den Dienst UPnP deaktivieren ( den brauchst Du nicht ).Evtl. liegts daran.

    franzkat
     
  9. coralle

    coralle Byte

    Registriert seit:
    21. März 2003
    Beiträge:
    11
    [System Process]:0 TCP Coralle:1290 localhost:1031 TIME_WAIT
    [System Process]:0 TCP coralle:1289 pop3.arcor-online.net:pop3 TIME_WAIT
    [System Process]:0 TCP Coralle:1292 localhost:1031 TIME_WAIT
    CCAPP.EXE:248 TCP Coralle:1031 Coralle:0 LISTENING
    EXPLORER.EXE:1956 UDP Coralle:1030 *:*
    IEXPLORE.EXE:2280 UDP Coralle:1046 *:*
    LSASS.EXE:592 UDP Coralle:isakmp *:*
    SVCHOST.EXE:756 TCP Coralle:epmap Coralle:0 LISTENING
    SVCHOST.EXE:756 UDP Coralle:epmap *:*
    SVCHOST.EXE:820 TCP Coralle:1025 Coralle:0 LISTENING
    SVCHOST.EXE:820 UDP Coralle:1026 *:*
    SVCHOST.EXE:820 UDP Coralle:1645 *:*
    SVCHOST.EXE:820 UDP Coralle:1646 *:*
    SVCHOST.EXE:820 UDP Coralle:radius *:*


    Ich habe mal den Ausschnitt kopiert, in dem der Explorer auftaucht. Ist das richtigt, das die Verbindungen nur über TCP laufen und UDP home ist?
    Bei Explorer steht *.*
    Das komische ist, das ich in Zonealarm jedesmal den Explorer lösche und er selbst, ohne Nachfrage, wie sonst üblich, auftaucht, wenn auch nur mit Fragezeichen, d.h. er fragt dann nicht nach der Verbindung.
    Da ich das vorher nicht hatte, habe ich schon gedacht, das dieses durch ein eventuell neu installiertes Programm ausgelöst wird??
    Oje!
     
  10. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Du hast ja XP; da kannst Du mit dem Tooll TCPView vom oben schon genannten Hersteller direkt und einfacher auslesen, welche Internetverbindungen ein Prozess herstellen will :

    http://www.sysinternals.com/ntw2k/source/tcpview.shtml

    franzkat
     
  11. Gast

    Gast Guest

    Hallo,

    was die aktiven Verbindungen betrifft, schau mal hier:
    http://kssysteme.de/s_content.php?id=fk2002-01-31-3823

    Grüße, Markus
     
  12. coralle

    coralle Byte

    Registriert seit:
    21. März 2003
    Beiträge:
    11
    Microsoft Windows XP [Version 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C
    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status

    C:\Dokumente und Einstellungen\Corall>netstat a

    Zeigt Protokollstatistik und aktuelle TCP/IP-Netzwerkverbindungen an.

    NETSTAT [-a] [-e] [-n] [-o] [-s] [-p Proto] [-r] [Intervall]

    -a Zeigt den Status aller Verbindungen an. (Verbindungen
    des Servers werden normalerweise nicht angezeigt).
    -e Zeigt die Ethernetstatistik an. Kann mit der Option -s
    kombiniert werden.
    -n Zeigt Adressen und Portnummern numerisch an.
    -o Zeigt die mit jeder Verbindung verknüpfte, übergeordnete
    Prozesskennung an.
    -p Proto Zeigt Verbindungen für das mit Proto angegebene Protokoll
    an. Proto kann sein: TCP, UDP, TCPv6 oder UDPv6.
    Bei Verwendung mit der Option -s kann Proto Folgendes

    C:\Dokumente und Einstellungen\Corall>netstat -a

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP Coralle:epmap Coralle:0 ABHÖREN
    TCP Coralle:microsoft-ds Coralle:0 ABHÖREN
    TCP Coralle:1025 Coralle:0 ABHÖREN
    TCP Coralle:1027 Coralle:0 ABHÖREN
    TCP Coralle:5000 Coralle:0 ABHÖREN
    TCP Coralle:1031 Coralle:0 ABHÖREN
    UDP Coralle:epmap *:*
    UDP Coralle:microsoft-ds *:*
    UDP Coralle:isakmp *:*
    UDP Coralle:1026 *:*
    UDP Coralle:1039 *:*
    UDP Coralle:1645 *:*
    UDP Coralle:1646 *:*
    UDP Coralle:radius *:*
    UDP Coralle:radacct *:*
    UDP Coralle:1028 *:*
    UDP Coralle:1029 *:*
    UDP Coralle:1030 *:*
    UDP Coralle:1900 *:*
    UDP Coralle:1900 *:*

    Das habe ich dabei herausbekommen, für mich böhmische Dörfer. Ist daraus ersichtlich, was darf/ oder nicht?
    Danke für die Hinweise an Franzkat
     
  13. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Laß die Verbindung mal zu und überprüfe dann in der DOS-Box mit dem Befehl netstat -a, mit welcher Adresse der Kontakt hergestellt werden soll. Normal ist das nicht, und man sollte in jedem Fall überprüfen, wer da "telefonieren" möchte.

    franzkat
     
  14. coralle

    coralle Byte

    Registriert seit:
    21. März 2003
    Beiträge:
    11
    ...habe ich gemacht:Explorer.exe = Windows Explorer.
    Das ist ja soweit schon mal gut, aber warum will er dann neuerdings eine Verbindung?
     
  15. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Überprüfe mal mit einem Process Explorer, um was für einen Prozess es sich handelt und was für eine Datei das ist :

    http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

    franzkat
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen