IE öffnet seltsame Ports, Trojaner?

Zentor

Hallo,
seit heute beschwert sich ZoneAlarm wenn ich den IE7 starte, das er Port 1058 kontaktieren will ( localhost:1058). Der Port ändert sich jedes Mal wenn man es nochmal probiert. Liegt immer im Bereich 1058 und 1500. Ich hab mit Spybot S&D, Adaware, CounterSpy und Windows Defender nach Trojanern/Hijackern gesucht, aber nichts gefunden. Auch ein durchgehen der Liste die autoruns anzeigt hat keine mir verdächtige Datei aufgezeigt und seit dem letzten Mal wo der IE noch "normal" gelaufen ist, hab ich keine ausführbaren Datein downgeloaded. Gestern hat Windows beim Herunterfahren allerdings automatisch 5 Updates installiert...

- Ist das ein Trojaner oder ein neues "Feature" von IE?
- Wieso kommuniziert der mit localhost, heißt das ich hab auf dem Port noch einen anderen Trojaner laufen?

Ich verwende zwar den IE nicht oft, aber wenn da wirklich ein Trojaner ist möchte ich ihn wegbringen. Hab schon über 2 h damit versch*..., wenn jemand eine Ahnung hat was das ist bzw. wie mans eingrenzen kann bitte melden.

mfg Oliver

mdk

schon probiert, ob das selbe beim starten von FF oder opera auftritt? dann weißt du zumindest, ob der IE bzw. irgendein IE-hijacker daran schuld war.

Zentor

Mit Firefox hab ich keine Probleme. Ich glaub es liegt am IE wobei ich aber nicht weis obs nun ein gewolltes Feature vom IE ist oder ein Trojaner. Anbei ein Screenshot.

Mr.Radar

schon mal ein hijackThis-log produziert?
bzw. manchmal kanns sein, dass es irgendwelche toolbars sind (google, icq, etc.) die nach hause telefonieren...

Zentor

Hier noch ein Schmankerl:

>nmap localhost -sT -p 1024-1500

Starting Nmap 4.21ALPHA4 ( http://insecure.org ) at 2007-06-13 17:30 Westeuropõi
sche Sommerzeit
Interesting ports on localhost (127.0.0.1):
Not shown: 476 closed ports
PORT STATE SERVICE
1027/tcp open IIS

Nmap finished: 1 IP address (1 host up) scanned in 103.559 seconds

>nmap localhost -sT -p 1027 -A

Starting Nmap 4.21ALPHA4 ( http://insecure.org ) at 2007-06-13 17:37 Westeuropõi
sche Sommerzeit
Skipping OS Scan against localhost (127.0.0.1) because it doesn't work against y
our own machine (localhost)
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE VERSION
1027/tcp open tcpwrapped

OS and Service detection performed. Please report any incorrect results at http:
//insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 1.102 seconds

Gibts einen Befehl der mir anzeigt, welcher meiner lokalen Prozesse den Port 1027 geöffnet hat?

Korrupt

Zitat von Mr.Radar

bzw. manchmal kanns sein, dass es irgendwelche toolbars sind (google, icq, etc.) die nach hause telefonieren...

nach hause telefonieren zu localhost? die wird ja wohl nicht selbstgespräche führen.

ich glaube eher, dass das ein lokaler dienst ist, der am rechner läuft und ein add-on vom IE7 benötigt von diesem etwas.

nachvollziehen kann ich es jedenfalls nicht. mein IE7 macht es nicht.

Zentor

Anbei das hijackthis.log. Hab nichts deutlich auffälliges gefunden.

Korrupt, welcher sinnvolle Service wird bei jede Aufruf auf einem anderen Port suchen? Bin da selber sehr unschlüssig.

mfg Oliver

[edit]
sofern das was hilft, ich hab den Internet Explorer im Safe Mode (ohne Add-Ons mit dem -extoff Flag) gestartet, sowie die Einstellungen des IE7 zurückgesetzt. Alles ohne Erfolg.
[/edit]

EvilGuyMischa

schon versucht mit tcpview zu verfolgen was der ie so anstellt?

Korrupt

Zitat von Zentor

Gibts einen Befehl der mir anzeigt, welcher meiner lokalen Prozesse den Port 1027 geöffnet hat?

netstat -b

Zitat von Zentor

welcher sinnvolle Service wird bei jede Aufruf auf einem anderen Port suchen?

stimmt. das macht eigentlich wenig sinn. es sieht danach, als ob das service immer gestartet und beendet wird.

wobei ich mittels netstat -b auch gerade festgestellt habe, dass der firefox auch zu sich lokal verbindet.

Zentor

Hab mir alles mit TCPView und Netstat angeschaut, und jetzt bin ich erst recht verwirrt...
Firefox öffnet *auch* eine Verbindung zu localhost, hier zwei Ports: 1278 und 1277. Die scheinen von ZoneAlarm aber erlaubt zu werden...
Jetzt kommts, wenn ich den IE mit about:blank als Startseite lade, dann öffnet der genau 0 Connections, auch keine seltsamen. Könnte eine Sicherheitsfunktion sein. Sobald eine "normale" Webseite geöffnet wird, kommt die seltsame Connection zusätzlich zur normalen Connection. Wobei im TCPView als Remote Address hier "*.*" steht (-> Unconnected Endpoint), obwohl die Firewall sagt es verbinde zu localhost. Ich finde im Web nichts darüber, das ein Browser diese Ports von sich aus benötigt... Was ist das nur??? Hab mit Wireshark versucht was herauszubekommen, aber vom "seltsamen" Port aus wird nichts verschickt/empfangen... Interessant ist, das die erste normale Connection eine Portnummer hat, die um 1 größer ist als der "seltsame" Port. Ist das vielleicht eine Art Connection-Pool aus dem er dann die "seltsame" Connection einfach nie verwendet?

Kann es sein, das hier Daten vom HTTP Protokoll in einer Art Pushbaserten Variante empfangen werden? Macht für mich aber alles wenig Sinn...

Screenshots:
sc1 = Firefox/IE geschlossen
sc2 = IE hat http://www.google.at angefragt

Kann jemand mal schauen obs diese Connections bei ihm auch gibt?

mfg Oliver

josef19

Weis zwar nicht ob das irgendwas mit eurem Problem zu tun hat, aber poste es trotzdem:

http://www.outpostfirewall.com/guide/rules/pr…htm#web_folders

Jensi

Schau doch mal mit wireshark, was über diese Verbindungen geschickt wird...

Zentor

@ josef19, k.A. glaub nicht das es das ist. Hab alle Einstellungen mit FTP/Webfolders im IE mal deaktiviert-> keine Verändernug
@ Jensi, hab ich schon versucht, siehe mein voriges Posting. Es werden keine
Daten vom/zu dem seltsamen Port geschickt.

Helfts ma! Was is da los?

Florian

Laut http://kb.mozillazine.org/Connections_es…artup_-_Firefox verwendet Firefox eine Loopback-Verbindung auf localhost für die Kommunikation zwischen Browser-Core und SSL-Modul.

Mit "netstat -abn" kann man sich unter Windows die Prozessinformation zu allen Verbindungen ausgeben lassen, hier ein Ausschnitt meiner Liste:

Code

TCP    127.0.0.1:1054         127.0.0.1:1055         HERGESTELLT     3052  [firefox.exe]


  TCP    127.0.0.1:1055         127.0.0.1:1054         HERGESTELLT     3052  [firefox.exe]


  TCP    127.0.0.1:1056         127.0.0.1:1057         HERGESTELLT     3052  [firefox.exe]


  TCP    127.0.0.1:1057         127.0.0.1:1056         HERGESTELLT     3052  [firefox.exe]

Der Internet Explorer wird vermutlich irgendetwas ähnliches machen, aber genau kann ich dir das nicht sagen.

Zentor

Na sowas blödes, wer programmiert bitte so??? Echt ärgerlich. Ich hoffe das is beim IE auch der Fall, kann das vielleicht jemand bestätigen?
mfg Oliver

IE öffnet seltsame Ports, Trojaner?

Jetzt mitmachen!

Rechtliches