Firewall Meldungen, Ports 'n Co

Newbie in da House ;-)

Hallo @ all ....

Habe in letzter Zeit ein paar - für mich diffuse - Meldungen von meiner Zone Alarm Firewall - erhalten.

explorer.exe (NICHT IE, sondern WINDOWS) versucht auf das Internet - 239.255.255.250:Port 1900 -
svchost.exe versucht auf das Internet - 239.255.255.250:Port 1900 zuzugreifen

explorer.exe (NICHT IE, sondern WINDOWS) versucht auf die sichere Zone -127.0.0.1: Port 1029 -
svchost.exe versucht auf die sichere Zone -127.0.0.1: Port 1032 zuzugreifen.

Die Zugriffe habe ich vorerst verweigert - und es läuft eigentlich alles? normal, selbst MS-Updates funktionieren...

Laut HiJack von EmsiSoft und auch Win Taskplaner laufen zwei Instanzen vom Explorer

- 1x mit Hoher Priorität / Process ID = 2172
- 1x mit Normaler Priorität / Process ID = 2484

beide mit Ursprungspfad C:\WINDOWS\
- ersterer wird als Explorer.EXE und letzterer als explorer.exe bezeichnet
- die Versionsbezeichnung ist identisch.

Der Pfad ist imho ja in Ordnung, aber 2 Instanzen ???


Recherchen bei ZoneLabs, sowie auch über http://www.iana.org/ haben mich nicht wirklich weitergebracht... Port 1032 weist ja unter anderem auch auf SpyNet hin - ich kann mir allerdings nicht vorstellen wie ich mir einen Keylogger eingefangen haben sollte, da ich zum einen als einziger Zugriff zum P-Zeh habe, der IE in einer Sandbox läuft und die zuletzt installierten Prg's aus einer vermeintlich sicheren Quelle ( PcWelt - DVD's - *gg*) stammen.
Ausserdem finden weder AniVir,Spy,Trojan, noch Rootkit u.ä.Tools irgendetwas .. und ein Dialer ist es auch nicht!!!
So what .....???

Ach ja, OS -> Win XP-SP2 -- Update und Patch Status recht aktuell (Stand 04.2007)

Hat jemand 'ne Idee - wäre für Infos sehr dankbar !!

Auch Linkaddis zwecks Eigenrecherche bzgl. Ports etc wären nett.

sl - janosch ;-)

 

-> an die Sicherheitsabteilung überwiesen

Ansonsten: wenn da nicht mal dein Rechner mit sich selber redet....

 

http://www.ntsvcfg.de/kss_xp/kss_xp.html#xp4

 

Port 1032: ICQ (TCP)

 

...nur wer soll auf localhost antworten?

 

SSDP Suchdienst, ermittelt UPnP Geräte in Netzwerken.

DNS Cache, wertet DNS Namen aus und speichert sie zwischen.

Könnte sein, dass du dir etwas mit DNS Manipulation eingefangen hast.

Laß mal die Hosen runter und folge der Anleitung:
http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

 

ein hallo - @ first
und schon mal danke für die infos bis jetzt..... (mehr haben will 'fg')

im genanntem prob - explorer etc (versuchts heute ausnahmsweise mal auf port 1026) - scheint auch ein zusammenhang mit folgender datei zu bestehen...

Windows\System32\Logs\WMI\trace.log

erwähnte 'log'-datei wächst und wächst - wird bei jedem (neu-)start grösser - war schon ca 12 GB !!! gross - habe sie
per unlocker umbenannt und gelöscht, wird allerdings immer neu erstellt...
im moment (nur rund 1GB - seit 2 starts - hüstel) habe ich sie erstmal unter schreibschutz
(und permanente beobachtung 8-\ ) gestellt, mal sehn ..
apropos - womit kann mensch dateien dieser grösse 'lesen' ?

- wmiprsv.exe wäre eigentlich meines wissens nach das prg. welches normalerweise für WMI zuständig ist und befindet
sich im korrekten Pfad (%windir%\system32\wbem\)
- von wegen IRC -, oder übersehe ich da was????
so what the hell... - bisher gabs da noch nie solche riesigen dateien, also wie kömmts ??

Bitte um Info - möglichst flott 'g' ;-) - da sonst meine HD überquillt - bzw. ich vom löschen wunde finger bekomme
danke

HiJackThis Log ist im Anhang
- ich sollte ja die hosen runterlassen - na gut, aba keine beschwerden oder anzüglichkeiten - bitte ja.......

sl janosch

PS: Sorry wenn ich drängel, aber ich bin ab samstagnachmittag für ne Woch nicht online und würde das bis dahin gerne
annähernd geklärt haben -
bitte, helft 'nem Modem-User - bin ja schon fast 'ne antiquität diesbezüglich - danke

 

Hallo.
Das Thema hat sich insofern erledigt, als dass ich mein Sys inzwischen neu aufgesetzt habe - war mir alles zu unsicher;
trotzdem erstmal danke für Eure Antworten.....
Intesserieren täts mich aber trotzdem, dass mit dem Explorer - bin da selber leider noch nicht wirklich mit der Recherche weitergekommen - ist halt per Modemanschluss alles etwas langwierig und zeitaufwändig.
Also falls jemand im HiJackLog irgendwas gefunden haben sollte - oder sonst, bitte Kurzinfo - - hier , oder auch per Mail -> jan_osch@hotmail.de.
Mercie bien
sl janosch

 

Und jetzt ohne den PortSNIFFER?

 

Du hast das Programm Hydravision von ATI zum Verwalten mehrerer Bildschirme. Das Programm greift tief in das System ein.

Vor einem Jahr hatte ich grosse Probleme (tut mir leid, weiss nicht mehr welche) und zur Lösung musste ich Hydravision rausschmeissen.

Falls Du nur mit einem Bildschirm arbeitest, kannst Du das meist vorinstallierte Programm gar nicht verwenden und ärgern kann es Dich trotzdem. Zumindest Autostart deaktivieren.

Gruss Urs

 

Hydravision arbeitet eigentlich recht zuverlässig. Einzig muss die Version zur Treiberversion passen. Und was u.U. verwirren kann, sind die Einzelanwendungseinstellungen. Wenn man die an der falschen Stelle falsch wählt, bekommt man unschöne Effekte wie Fenster, die sich nicht mehr auf einen Bildschirm bringen lassen oder die falsche Große haben usw. - aber wie gesagt: das ist Einstellungssache.

 

Falls... es vorinstalliert ist und nicht gebraucht, deshalb nicht konfiguriert, aber trotzdem geladen wird... das war bei mir so. Ich dachte ATI... das wird sicher nötig sein...

Die DriveLetterAccess-Programme (etwa Sonic-DLA) greifen auch in den Explorer ein. Auch schon ein Problem nach Installation von .NET 2.0 gehabt...

Nach einem MS-Update können Zugriffsprobleme entstehen, die man dann lange suchen darf.

Gruss Urs

 

Hallo,
mhmm Hydra, tja da hatte ich schon mal Probs mit einem Übersetzungsprogramm - musste Hydra vor Verwendung desselben immer abschiessen - danach gings auch mit dem translaten....

aber ansonsten:
Zitat von kalweit
Hydravision arbeitet eigentlich recht zuverlässig...

und vorinstalliert wars auch...!!
Zitat von Urs2
Falls... es vorinstalliert ist und nicht gebraucht,
_________________________________________________

na werd mal n Auge drauf werfen...

zu Net fällt mir dabei ein, dass ich vor einiger Zeit Vers. 3.0 installiert hatte - vielleich hängts ja daran ??

anyway im mom scheint alles i.O.

danke für Infos - werd dran bleiben ...

sl janosch