Begegnung der 3. Art -Advanced Administration Tool

[DerNeuling 10]

Hiho !

 

Vorgeschichte: Bin irgendwann einmal, auf der Suche nach einen handlichem Regestrycleaner auf das Tool "Advanced Administration Tool" gestoßen.

 

Nach erster ansicht:Vollgepackt mit nützlichen features die einem den Alltag wirklich angenehmer gestalten.

 

Auch den eigentlichen Sinn des Downloads hat das Tool erfüllt.

überflüssige Regestryeinträge wurden tadellos erkannt.

 

Zu meiner Verwunderung allerdings stellten sich plötzlich ganz seltsame Dinge ein. Frei nach dem Motto:"Ähm, wirst Du jetzt paranoid oder was?"

 

Na ja, aber nach Überprüfung per netstat wurde mir schon bestätigt das da plötzlich an Stellen gelauscht wurde an denen das vorher nicht der Fall war.

Die Systemüberprüfung per Norton bestätigte die Vermutung.

Entdeckt wurde gina..irgendwas die sich im Programmordner des AATools befand.

Wurde dann von mir dann natürlich samt dem dazugehörigen Programm entfernt.

Mit autoprotect war da wohl nichts.......

 

Zu meiner Verwunderung hab ich aber feststellen müssen das immernoch sobald eine DFÜ Verbindung aufgebaut wird Verbindungsversuche stattfinden.

Alles auf Ebene der Ports ab 3000 aufwärts.

 

Anscheinend gibt es ja schon noch einige Trojaner im Umlauf deren Signaturen nicht von den großen Saubermachern entdeckt werden.

 

Hat jemand vielleicht mal ein paar Tips auf Lager wie man der Sache gezielt auf den Grund gehen kann.

[Damian 1.518]

Hi Neuling.

 

Welche "Saubermacher" hast du denn schon ausprobiert?

Hier findest du eine Portliste mit den bekanntesten Nervtötern: http://www.trojaner-info.de/port.shtml

Dazu gibt´s auf der Seite noch jede Menge Tipps, wie du den Müll erkennen und runterwerfen kannst.

 

Damian

[blub 115]

Hallo Neuling,

Hol dir doch bei http://www.sysinternals.com das Programm tcpview. Da siehst du sofort hinter welchem Port welches Programm steckt.

 

cu

blub

 

PS: tcpview ist trojanerfrei :-)

[DerNeuling 10]

Hiho!

 

Ich post jetzt einfachmal was netstat so ausgibt....

 

Proto Lokale Adresse Remoteadresse Status PID

TCP 0.0.0.0:135 0.0.0.0:0 ABH™REN 988

TCP 0.0.0.0:445 0.0.0.0:0 ABH™REN 4

TCP 0.0.0.0:1027 0.0.0.0:0 ABH™REN 1116

TCP 0.0.0.0:1033 0.0.0.0:0 ABH™REN 4

TCP 0.0.0.0:1065 0.0.0.0:0 ABH™REN 1644

TCP 0.0.0.0:5679 0.0.0.0:0 ABH™REN 156

TCP 127.0.0.1:1026 0.0.0.0:0 ABH™REN 1232

TCP 127.0.0.1:1031 0.0.0.0:0 ABH™REN 1528

TCP 127.0.0.1:1032 0.0.0.0:0 ABH™REN 1528

TCP 127.0.0.1:1035 0.0.0.0:0 ABH™REN 1384

TCP 127.0.0.1:1038 0.0.0.0:0 ABH™REN 156

TCP 127.0.0.1:1040 0.0.0.0:0 ABH™REN 1644

TCP 127.0.0.1:1041 0.0.0.0:0 ABH™REN 1644

TCP 127.0.0.1:1043 0.0.0.0:0 ABH™REN 2572

TCP 127.0.0.1:1065 127.0.0.1:1032 SCHLIESSEN_WARTEN 1644

TCP 127.0.0.1:1121 0.0.0.0:0 ABH™REN 1604

TCP 192.168.10.190:139 0.0.0.0:0 ABH™REN 4

TCP [::]:135 [::]:0 ABH™REN 988

TCP [::]:1027 [::]:0 ABH™REN 1116

UDP 0.0.0.0:445 *:* 4

UDP 0.0.0.0:500 *:* 804

UDP 127.0.0.1:123 *:* 1116

UDP 127.0.0.1:1115 *:* 2572

UDP 127.0.0.1:1122 *:* 1604

UDP 192.168.1.2:123 *:* 1116

 

 

Auffallig an der ganzen Geschichte sind wohl

 

1033 --> würde auf NETSPY hindeuten....

 

Die IcQ ports, es ist gar kein ICQ installiert....

 

1065

 

Könnte es sein das Netspy "unter" dem Radar durchfliegt?

Soweit ich mich erinnern kann ist das doch frei verkäufliche Software....die komplett im stealth mode ausführbar ist....

 

Gruß

[Damian 1.518]

Hm, da ist schon einiges offen. :suspect:

Versuche auf jeden Fall den Tool-Tipp von blub (tcpview), dann kannst du gezielt Maßnahmen ergreifen.

 

Damian

[DerNeuling 10]

TCPview sagt mir das das System an dem besagten Port lauscht..

 

Wohl kaum!

[Damian 1.518]

Welche Säuberungs-Tools hast du bis jetzt über dein System laufen lassen?

 

Damian

[DerNeuling 10]

Eigentlich nur Adaware und eben Norton......

[Damian 1.518]

Dann versuche mal Spybot, gibt´s z. B. hier: http://www.chip.de/downloads/c_downloads_8833199.html

 

Installieren, Internet-Update runterladen, laufen lassen und staunen... ;)

 

Damian

[DerNeuling 10]

Das Tool ist wirklich nicht schlecht.

Allerdings kam das Prog während des scannens kurz mal ins stocken.

Hmmm, außer ein paar Cookies nichts Außergewöhnliches.

 

Ich glaub ich versuch mal noch etwas anderes....

[blub 115]

Hallo Neuling,

Also PID 4 ist das System!

Zweitens bin ich mir nicht sicher, wie zuverlässig die Aussage von netstat "TCP 0.0.0.0:1033 0.0.0.0:0 ABH™REN 4

" ist, dass hier wirklich gelauscht wird. Hol dir doch bei http://www.microsoft.com/downloads die neue Version2 von portqry, dem MS-Portscanner. Wenn möglich, lass dann von einem zweiten Rechner einen Scan gegen den ersten laufen, z.B.: portqry -n 192.168.10.190 -e 1033 . Ich vermute, du wirst ein "NOT LISTENING" bekommen. Ein schönes Ergebnis liefert übrigens auch portqry -local.

Die portqry.exe V2 hat 140 KB, die alte wesentlich weniger. Nicht verwechseln, beim Aufrufen.

 

cu

blub

[DerNeuling 10]

@ blub

 

die Fragen die ich mir da stelle ....

 

1. Wo nach lauscht das System denn auf diesem Port ???

 

2. Kurzbeschreibung: Ich starte eine Dfü Verbindung ;

und sobald Outlook aufs Mails abholen will ,gibts ein Trommelfeuer an Zugriffversuchen auf sämtlichen Highports

(Wenns jetzt nur die Eselports wären, sind es aber nicht nur)

 

Der Umstand das sich doch hierbei um eine Dailupverbindung handelt macht es mir doch sehr unverständlich das dies ohne jegliche Zeitverzögerung geschieht.....

Bei einer ständigen Verbindung würde ich ja nichts sagen...

 

Gruß

[grizzly999 11]

Was ich auch absolut empfehlen kann, ist tcpview von http://www.sysinternals.com. Der zeigt neben den Programmen, die Ports benutzrn auch die Remoteadressen an, alles grafisch

 

grizzly999