trotz geblockter FW Internetaktivität (Win XP SP 2)

Jetzt stellt sich nur noch die Frage, was du mit einer UDP-Verbindung zu deinem Provider willst -> Schuss ins Blaue: Untermieter...

 

Wieso ? Die Verbindung zu QSC ist doch eine TCP-Verbindung; oder brauch ich eine neue Brille ? Ist ja ein wenig klein die Darstellung.

 

Nö.
Port 123/udp Network Time Protocol
Port 1900/udp SSDP
TO sollte sein OS ordentlicher konfigurieren. Wenn ich schon Port 135 und 445 sehe.

Hier mal meine netstat Ausgabe.
http://img274.imageshack.us/img274/2842/corel0763yo.jpg

Hattest du sie auf?

 

Ups, da fällt mir doch augenblicklich wieder ein, warum ich w2k benutze -> hatte nur mal schnell gegengeprüft und nicht die Ports nachgesehen...

 

Blödsinn.Was ist das denn für eine unsinnige Empfehlung ?

So ein Port-Purismus ist nicht hilfreich.Das sind die letzten Aufrechten von ntsvcfg.de, die noch immer meinen, damit würde man dem System was Gutes tun.

 

Hallo @all,

es ist NICHT mein Rechner und ich kann da also nicht "von jetzt auf gleich" alles kontrollieren.


Exakte Frage: Was fällt Negatives an den geposteten Log von netstat auf? Was die Größe anbelangt, ich musste das Schirmfoto auf 100k einstampfen, zwecks hochladen.

Danke für Hinweise!

Uwe

 

Was ist der Listening Port TCP 5679 ?

Überprüfe das mal, indem du dir anzeigen läßt, welcher Prozess unter der Nummer 2456 läuft.Das kann man zwar auch mit Windows-Mitteln, ich würde dir aber -weil es auch ansonsten eins der besten Analyseinstrumente ist - empfehlen, den Process Explorer von sysinternals.com zu installieren :

http://www.sysinternals.com/Utilities/ProcessExplorer.html

 

Überprüfe auch mal, welcher Prozess (Nummer: 896) ist.

Da wird eine Verbindung zu einem Webserver von akaitechnologies.com hergestellt, was auch etwas verdächtig aussieht.Hier mal eine Information :

Im Web gibt es viele Berichte von Usern, die, ohne es zu wollen, mit diesem Server verbunden werden.Kann sein dass das ZA initiiert.Welchen Provider benutzt du ?

 

google kennt dazu u.a. Active Sync und den hier -> http://www.securityspace.com/de/smysecure/catid.html?id=50061

 

Nachdem es 3 Tage gedauert hat, bis die Anfrage nach NETSTAT -ano mit einem Screenshot beantwortet wurde, habe ich mir zunächst mal die angebotenen Fakten angesehen...

(1) Win XP prof, SP 2, mit 56k-Modem (gem. #1)
(2) 20 Rechner (gem. #7)
(3) 3 Rechner bei Dir zuhause (gem. #7)
*quaaak*

Anschliessend die Info: (1) hat NAV-2006 und die 87-er Adresse besagt, daß Du einen Celox-/QSC-Anschluss in der Nähe von FFM hast und aktuell (213.148.129.142) wiederum mit QSC-intern über Port 80 "telefonierst" und offenbar versuchst von der gleichen Adresse:123 (NTP) Deine Systemzeit zu synchronisieren [1] UND dies macht der gleiche Prozess 896. - 896 müßte ein Win-eigener Prozess sein, leider wissen wir nicht welcher, da die nächste Frage, welches Programm sich dahinter verbirgt, unbeantwortet bleibt. PIDs ändern sich, daher ist der Screenshot wertlos.

Hätte man die Tools von Sysinternals [2] benutzt, wüsste man PID + Prozess. Alternativ reicht die Kenntnis, daß ein TaskManager existiert...

> Erbitte tatkräftiges nachdenken...:-)
*hust* Hört sich alles so an, als wenn Du nur Dinge hören willst, die Dir ohnehin bekannt sind. - Komm also erstmal mit den geforderten Infos nach (s. auch buddy2002).

-Ace- (mit der Bitte um selbiges + zügiges arbeiten)
_________________

[1] UDP:123 telefoniert mit Zeitserver (völlig normal). - Ggfs. wurde auch mit "NET TIME" rumgespielt oder schlimmer: Es wird über "geplante Tasks" versucht, die Zeit alle paar Sek. abzugleichen...

[2] Proz.Expl. / TDI-Mon / TCPView

[3] @buddy *grübel* ... Akamai? - Ob QSC da was selber angemietet hat?

[4] Bevor wir völlig durcheinandergeraten betr. "welchen Provider benutzt Du", lass uns weiterhin NUR über DEN Provider sprechen, an dem DER Problemrechner (vermutl. 1) aktiv ist. - Ganz klar: Gemeint ist Dein Kumpel aus #1, auch wenn Du als sein Sprachrohr fungierst...

 

So blöd kann diese Empfehlung und dieser Purismus nicht sein. Seit mehreren Jahren erfreue ich mich an einem sicheren System.

Beitrag #23 nicht richtig gelesen? netstat von TO nicht verstanden?

+ Port 123/UDP = NTP = Windows-Zeitgeber
+ Port 1231/UDP = lpm = QoS
+ Port 1232/TCP = Universal App Server = ? bin nicht sicher QoS, AFD :nixwissen
= svchost.exe wobei wir wieder bei Beitrag #23 wären

Tatsächlich? Du meinst die 213.148.129.142?

5679/TCP = Direct Cable Connect Manager = da hängt wohl was dran

Betrachte ich mir Alles zusammen, ist ein Trojaner auch nicht auszuschließen. Beitrag #20 würde dies aber revidieren.

 

@Mylin
> Beitrag #23 nicht richtig gelesen?
> netstat von TO nicht verstanden?

Erklär mal. - Unter SVCHOST verstehe ich so etwas wie einen Prozesscontainer, sprich: Interessant ist, was der hostet. Insofern müsste der TO so etwas wie den Prozessexplorer bedienen können, da der Taskmanager keine Prozessstrukturen zeigt.

123/UDP (=NTP) und QoS (ich verstehe da RSVP drunter) sind unter dem Aspekt IMHO 2 verschiedene Paare Socken, wobei der TO eine weitere Hausaufgabe bekommt: Unter den Eigenschaften der Netzverbindung nachsehen, ob dort (unsinnigerweise) der QoS-Paketplaner aktiviert ist.

QoS /RSVP erzeugt nämlich ausgehenden Verkehr: Es sucht nach dem NIE vorhandenen QoS-Server (bzw. dem Gegenstück der RSVP-Strecke) für die Mindest-Bandbreite zu garantieren ist. - Weiss natürlich der generische User nicht, der liest Qualität und ist überzeugt, es wäre gut für ihn.

-Ace- (2 ct.)

 

@Ace
> Erklär mal. - Unter SVCHOST verstehe ich so etwas wie einen Prozesscontainer....
Jupp.

> Insofern müsste der TO so etwas wie den....
Joah.

> 123/UDP (=NTP) und QoS .... 2 verschiedene Paare Socken.
Ja, aber von der selben svchost.exe getragen.

> wobei der TO eine weitere Hausaufgabe bekommt....
Ohje.

 

Wie unsinnig z.B. das Deaktivieren des 445er nach ntsvcfg.de ist, das kannst du hier genauer nachlesen :

http://www.pcwelt.de/forum/showpost.php?p=657556&postcount=1

Das erklärt noch lange nicht die Verbindung zu dem Server :

deploy.akaitechnologies.com

PS : Weist du nicht, wie man eine Namensauflösung macht ?

Mit solchen vorschnellen Schlussfolgerungen muss man immer sehr vorsichtig sein.Malware hat kein Problem, sich einen solchen Port zu schnappen.Entscheidend ist die Prozess Analyse.

 

Nochmal ein Nachtrag :

Habe jetzt hier einen Hinweis gefunden, dass es sich bei dem akamaitechnologies-Server (also nicht akaitechnologies, wie oben fälschlicherweise geschrieben) um einen Windows-Update-Server handele :

http://72.14.221.104/search?q=cache...l+akamaitechnologies&hl=de&gl=de&ct=clnk&cd=9

Das wäre ja eine plausible Erklärung auch für den regen Datenverkehr im Hintergrund und die Implementierung in einen svchost-Container.Ist das automatische Windows-Update aktiviert ? Was passiert, wenn es deaktiviert wird ?

 

Hallo,

danke zuerst für die zahlreichen Hinweise. Wie ich schrieb ist es nicht mein Rechner und der Kumpel arbeitet auch noch in Schichten. Ich komme also nicht "von jetzt auf gleich" an den Rechner, um etwas zu testen oder weitere Infos zu holen.

Der Provider ist NGI. Wissentlich wurde an dem Rechner nichts verstellt oder gar Experimente gemacht.

Sobald ich wieder am Rechner bin, werde ich das Ergebnis des Prozeßexplorers posten. QoS ist aktiv, werde ich deaktivieren. Allerdings wurde da auch nichts geändert.


@buddy2002

Das automatische Windowsupdate wurde deaktiviert. Aber irgendwie verdächtige ich das immer noch... Die Datenmenge ist einfach zu groß, als das es so etwas wie ein "ausgerastetes" NTP o.ä. sein könnte.
Danke!

Uwe

 

@ Uwe: Du kannst auch einfach: Rechtsklick in die Eingabeaufforderung, Linksklick auf "Markieren", dann mit Linksklick den zu kopierenden Text markieren, mit <ENTER> in Zwischenablage kopieren, dann in Deinen Text als ASCII einfügen: braucht viiiiiiel weniger als 100 kB und sieht erst noch nicht verwaschen aus wie ein Bildschirmfoto



.

 

(brzl)
> auf Artikel aus den Jahren 2003 oder 2004 aufbauen?

Stimmt. Es gibt wirklich neuere....
Heise 01-2006
Heise 11-2005


> Rechtsklick... Linksklick... (kopieren/ einfügen)

Mach ich nochmal *hust*... Wer 3 Tage braucht für ein NETSTAT -ano > a:\netstat.txt (beachte die rote Farbe), die angeforderte Info. nicht erbringt und dann gar "tatkräftiges Nachdenken" einfordert, hat *garnix* erfolgreich im Einsatz, sondern bestenfalls ein HNF (Home-Frickel-Netz), dessen Zustand von 2-3 erbärmlichen Clients nicht transparent erfragbar ist.

Von daher (nochmal) der Tipp an den TO: Diskette + Liste von Anforderungen unterm Arm und zügig Fakten vorweisen (und keine Mutmassungen anstellen).


__________________

PS.: *mönsch* iss dat schön kein MOD zu sein. Da darf man auch mal unfreundliche und klare Worte sprechen...


PPS.: blaue Farbe (s.o.) erfordert eine eingelegte Diskette...

 

Hallo @all,

danke an die, die sich echt bemühen! So habe ich echt noch nicht gewusst, dass der Text aus cmd in die Zwischenablage kopiert werden kann. Jetzt weiss ich das. Danke!


An die Nörgler, wegen meiner Antwortzeit: (zum xten mal) Der betreffende Rechner befindet sich bei einen Kumpel, der in Schichten arbeitet. Wahrscheinlich komme ich erst am Sonnabend !!! wieder ran, versuche es aber eher, wegen den Prozeßexplorer.


@Ace Piet

Danke für den Hinweis:

NETSTAT -ano > a:\netstat.txt

Ich war betriebsblind...

Kein ! Danke für :

Wer 3 Tage braucht für ein NETSTAT -an

Ich hatte es ! wiederholt! erklärt, warum das so lange dauert!
Definitiv ist es ! kein ! Problem von ZA, das Phänomen tritt auch so auf!

Uwe