Zonealarm zeigt Verbindung von Outlookexpress

Zonealarm zeigt bei Aufruf in der rechten oberen Ecke die aktiven programme mit Verbindung ins Netz.
Eigenartigerweise zeigt er eine Verbindung von outlookexpress, obwohl ich OE laengst beendet hab.

Ist es moeglich, das OE aktiv ist, ohne das das Programm laeuft??

Auch irritiert mich die Verbindung daneben:
"Firefox, Verbindungserkennung an den Ports TCP 1243, 1247"

 

Schau doch einmal im Taskmanager, was so alles an Prozessen läuft, und staune.

 

Gut und schoen.
Aber ist das jetzt "normal"?

 

Ja. Läuft eben noch im Hintergrund. Sind ja bekannte Programme, also kein Problem. Nur ZoneAlarm meckert immer, auch ohne Internet! Ist so. Es gibt wahrlich besseres.

 

Normal ist das nicht. Du kannst mal in Qutlook Express gucken, ob PlugIns oder AddOns integriert sind.
Die können das Schließen verhindern.

 

Keine addons installiert.
Hat sich aber erledigt.
Nach einem nochmaligen kompletten Neustart beendet OE nach dem schliessen auch die Verbindung (lt. Zonealarm).
Waer aber doch interessant zu wissen, wieso es vorher die Verbindung nicht schloss.

 

tcp 1243 benutzen einige Trojaner
http://www.tcp-ip-info.de/tcp_ip_und_internet/well_known_trojaner_ports.htm

Mach mal bitte ein Hijackthis-Log.

 

So etwas befuerchte ich auch, da ich vorher schon Probleme hatte, bestimmte Seiten (die eine sichere Verbindung verlangten wie meine Bankseite, ebay usw.) zu erreichen.
Hab den FF neu installiert und es ging wieder.

Hab hier das Log von Hijackthis, werd allerdings nicht schlau draus!

 

Schädlinge finde ich da nicht, aber ein paar Sachen, die ich fixen würde.

Code:

O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home

http://www.cidres-security.de/hjt_tutorial.html#o14

Hast du mit XP Antispy IE-Optionen verändert?
Du kannst die mal auf Systemstandard zurücksetzen.
Das würde ich fixen, bzw. in dem Tool deaktivieren:

Code:

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Der PC ist wohl mal abgestürzt. Kann gefixt werden.

Code:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Von der Java Runtime gibt es eine neue Version 1.6 Update 3.

HijackThis in einem eigenen Ordner entpacken. Ansonsten werden keine Sicherungen angelegt, um Änderungen rückgängig machen zu können!

BHOs Programmerweiterungen des IE (Browser Helper Objects) können gefixt werden:

Code:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

Acrobat 5 ist total veraltet und sicherheitsanfällig (Javascript).
Installiere lieber den Acrobat Reader 8.1 zum Betrachten von PDF im Browser.

O9 - Extra Buttons in der IE-Toolbar, oder zusätzliche Einträge im IE-Menü 'Extras' können gefixt werden:

Code:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Kaspersky Onlinecan aktualisieren, da im ActiveX Controll eine Sicherheitslücke entdeckt wurde, oder deinstallieren:

Code:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/96374/

 

Leider kein smiley fuer ein grosses Dankeschoen fuer die Erlaeuterungen hier gefunden.
Dank dir, deoroller :-))

 

Leider besteht das Problem wieder.

 

Du kannst mal mit http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html scannen.

 

Danke fuer den Tip.
Hab den Sophos Antirootkit installiert und gescannt, negativ.
Allerdings war diese (free) version vom august, also bereits 2 Monate alt.

 

Du kannst auch mal mit gmer scannen http://www.hijackthis-forum.de/showthread.php?t=16868

 

hab gescannt.


ist es moeglich, das der, eventuelle, Rootkit/trojaner/backtool, nur zeitweise aktiv wird?

 

der 2. teil des logs.
Die datei hatte 106 kb und war daher etwas zu gross.

 

Ein Rootkit muss immer aktiv sein, um Prozesse verstecken zu können.
So wie es aussieht, ist aber keiner aktiv.

Du kannst mal eine Übersicht der aktuellen Verbindungen erstellen, wenn OE ein Netzwerkverbindung unterhält.

Dazu kannst du netstat benutzen. Der Befehlt wird in der Eingabeaufforderung eingegeben.

netstat-ano

 

Leider schliesst sich das Fenster viel zu schnell, um eingelesen werden zu koennen und ich hab keinen parameter gefunden, der die Anzeige verlangsamt.

 

laut netstat -a sind offenbar etliche ports offen.
Ich werd aber leider nicht schlau draus (ja, ich hab gegoogelt, bis zur Vergasung :-(()




mich irritiert die, vorher nie auftretende, Verbindungserkennung (siehe unten)

 

netstat -ano ist aussagekräftiger, da dann auch die Remoteports angezeigt werden.

Established sind hergestellte Verbindungen.
Auf Localhost wird interner Datenverkehr abgewickelt (z.B. AV-Programm, O&O Defrag)
Listening heißt, dass der Dienst auf Verbindung wartet.
Dabei können nur Serverdienste von Außen Befehle ausführen.
Clientdienste, wie Browser und Mail können von Außen nicht gesteuert werden.
http ist eine Verbindung des Browsers.
UDP wird von Outlook benutzt.
Bei mir sind das
UDP 0.0.0.0:445 *:*
UDP 192.168.2.22:137 *:*
UDP 192.168.2.22:138 *:*
UDP 192.168.2.22:500 *:*
UDP 192.168.2.22:4500 *:*
ntp ist Network Time Protocol, mit dem die Uhr mit einem Server im Internet synchronisiert wird.
isakmp Internet Security Association and Key Management Protocol. Definiert einen Rahmen für den Schlüsselaustausch und die Verwaltung von Verschlüsselungsparametern für IPSEC Verbindungen. Hast du ein VPN?
netbios ist unnötig.
Siehe http://www.ntsvcfg.de/kss_xp/kss_xp.html

edit:
129 | TCP/UDP Password Generator Protocol
http://www2.tu-berlin.de/www/software/avipports.shtml