[sn00ze]

hi leute!

nicht das ihr jetzt denk OMG den beitrag gabs schon 1.000 mal der soll sich den richtigen THREAD suchen und so weiter! ich hab alle THREADS durch! mein problem ist einmalig.

Vor Vier tagen setzte ich mich vor meine Maschine um meine emails zu lesen, natürlich gehe ich davor wie immer in die xp console (ehemals DOS) START->AUSFÜHREN->CMD->ENTER, und gebe netstat -a ein, was folgte war eine RIEßIGE liste von VERBUNDENEN RECHNER ohne das ich zu irgend was verbunden war. ok nicht schlimm dachte ich mir EPMAP 135 ausschalten! die internetseite war schnell gefunden [epmap 135 ausschalten] dort befolgte ich alles schritt für schritt und rebootete! und dachte mir jetzt noch norton antivirus drüberlaufen lassen (antivirus & firwall vorhanden, beides norton) dann ist es schon nen schritt sicherer, und danach noch hijackthis dann sollte es mal ok sein!

-> hijack this auswertung -> alles GRÜN!
-> norton antivirus -> fand nix!

tja glück gehabt könnte man denken! aber nach 2 stunden bin ich fast tot umgefallen als ich dann völlig arglos nochmal netstat -a machte!

das ergebniss:

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    sn00ze:smtp           sn00ze:0              LISTENING
  TCP    sn00ze:http           sn00ze:0              LISTENING
  TCP    sn00ze:epmap          sn00ze:0              LISTENING
  TCP    sn00ze:https          sn00ze:0              LISTENING
  TCP    sn00ze:1025           sn00ze:0              LISTENING
  TCP    sn00ze:1026           sn00ze:0              LISTENING
  TCP    sn00ze:1030           sn00ze:0              LISTENING
  TCP    sn00ze:1032           sn00ze:0              LISTENING
  TCP    sn00ze:1035           sn00ze:0              LISTENING
  TCP    sn00ze:1236           sn00ze:0              LISTENING
  TCP    sn00ze:1028           sn00ze:0              LISTENING
  TCP    sn00ze:1029           sn00ze:0              LISTENING
  TCP    sn00ze:epmap          pD958B354.dip.t-dialin.net:3482  ESTABLISHED
  TCP    sn00ze:epmap          pD958B354.dip.t-dialin.net:3724  ESTABLISHED
  TCP    sn00ze:epmap          pD95D073C.dip.t-dialin.net:3998  ESTABLISHED
  TCP    sn00ze:epmap          pD95D0A2C.dip.t-dialin.net:1684  ESTABLISHED
  TCP    sn00ze:epmap          pD95DD821.dip.t-dialin.net:3847  ESTABLISHED
  TCP    sn00ze:epmap          pD95DDC3E.dip.t-dialin.net:3923  ESTABLISHED
  TCP    sn00ze:epmap          pD95DDC3E.dip.t-dialin.net:3925  ESTABLISHED
  TCP    sn00ze:epmap          pD95DDC3E.dip.t-dialin.net:4245  ESTABLISHED
  TCP    sn00ze:epmap          pD95DE3E9.dip.t-dialin.net:3270  ESTABLISHED
  TCP    sn00ze:epmap          pD95DE3E9.dip.t-dialin.net:4772  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:1156  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:1965  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:2539  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:3225  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:3541  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:4067  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:4574  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF5CF.dip.t-dialin.net:4922  ESTABLISHED
  TCP    sn00ze:epmap          pD95DF605.dip.t-dialin.net:4000  ESTABLISHED
  TCP    sn00ze:epmap          pD95DFA5F.dip.t-dialin.net:3102  ESTABLISHED
  TCP    sn00ze:epmap          pD9E04088.dip.t-dialin.net:4023  ESTABLISHED
  TCP    sn00ze:epmap          pD9E767A9.dip.t-dialin.net:3103  ESTABLISHED
  TCP    sn00ze:epmap          pD9E767A9.dip.t-dialin.net:3627  ESTABLISHED
  TCP    sn00ze:epmap          pD9E767A9.dip.t-dialin.net:4379  ESTABLISHED
  TCP    sn00ze:epmap          pD9E77719.dip.t-dialin.net:2622  ESTABLISHED
  TCP    sn00ze:epmap          pD9E7FB64.dip.t-dialin.net:4374  ESTABLISHED
  TCP    sn00ze:epmap          pD9E7FB64.dip.t-dialin.net:4431  ESTABLISHED
  UDP    sn00ze:epmap          *:*                    
  UDP    sn00ze:isakmp         *:*                    
  UDP    sn00ze:1027           *:*                    
  UDP    sn00ze:2248           *:*                    
  UDP    sn00ze:2249           *:*                    
  UDP    sn00ze:3456           *:*                    
  UDP    sn00ze:27007          *:*                    
  UDP    sn00ze:2250           *:*                    
  UDP    sn00ze:27014          *:*                    

desweiteren packe ich mal allen die sich auskennen meine tasklist dazu!

tasklist:

Image Name                   PID Services                                     
========================= ====== =============================================
System Idle Process            0 N/A                                          
System                         4 N/A                                          
smss.exe                     348 N/A                                          
csrss.exe                    404 N/A                                          
winlogon.exe                 428 N/A                                          
services.exe                 472 Eventlog, PlugPlay                           
lsass.exe                    484 PolicyAgent, ProtectedStorage, SamSs         
svchost.exe                  640 RpcSs                                        
svchost.exe                  656 AudioSrv, Browser, CryptSvc, dmserver,       
                                 EventSystem, FastUserSwitchingCompatibility, 
                                 lanmanserver, lanmanworkstation, Netman,     
                                 Nla, RasMan, Schedule, seclogon, SENS,       
                                 ShellHWDetection, srservice, TapiSrv,        
                                 TermService, Themes, uploadmgr, winmgmt,     
                                 WmdmPmSp, WZCSVC                             
spoolsv.exe                  856 Spooler                                      
svchost.exe                  936 RemoteRegistry, WebClient                    
inetinfo.exe                 984 IISADMIN, SMTPSVC, W3SVC                     
mdm.exe                     1016 MDM                                          
NAVAPSVC.EXE                1052 navapsvc                                     
NISUM.EXE                   1068 NISUM                                        
nvsvc32.exe                 1112 NVSvc                                        
slee503.exe                 1208 SLEE_503_SERVICE                             
SYMPROXYSVC.EXE             1244 SymProxySvc                                  
NISSERV.EXE                 1280 NISSERV                                      
explorer.exe                1516 N/A                                          
NAVAPW32.EXE                1996 N/A                                          
IAMAPP.EXE                  2004 N/A                                          
eDoc.exe                     200 N/A                                          
devldr32.exe                 284 N/A                                          
ctfmon.exe                  1228 N/A                                          
Babylon.exe                 1436 N/A                                          
Calypso.exe                 2088 N/A                                          
mirc.exe                    2508 N/A                                          
iexplore.exe                3268 N/A                                          
iexplore.exe                3440 N/A                                          
cmd.exe                     3788 N/A                                          
wmiprvse.exe                3844 N/A                                          
tasklist.exe                3896 N/A        

also ich währe echt froh wenn mir jemand helfen könnte weil im augenblick weiss ich nicht mehr weiter, wer noch mehr infos brauch bitte einfach hier fragen reinklatschen! ich bedanke mich für eure aufmerksamkeit und im vorraus schon für eventuell viele gute lösungsvorschläge...

euer sn00ze

[Tarnatos]

Eigentlich sollte epmap durch:

1. - http://www.ntsvcfg.de/svc2kxp.cmd
2. - http://www.grc.com/files/DCOMbob.exe
3. - Reg Tweak

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"DCOM Protocols"=hex(7):00,00,00,00,00,00,00,00
"UuidSequenceNumber"=dword:00f6db8e

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"PortsInternetAvailable"="N"
"UseInternetPorts"="N"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\NameService]
"DefaultSyntax"="3"
"Endpoint"="\\pipe\\locator"
"NetworkAddress"="\\\\."
"Protocol"="ncacn_np"
"ServerNetworkAddress"="\\\\."

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\NetBios]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\SecurityService]
"9"="secur32.dll"
"10"="secur32.dll"
"14"="schannel.dll"
"16"="secur32.dll"
"1"="secur32.dll"
"18"="secur32.dll"
"68"="netlogon.dll"

deaktiviert werden. Probiere das nochmal und poste dann!

[Witi]

Diese Verbindungen könnten aber auch von Chats wie ICQ stammen. ICQ baut bspw eine P2P Verbindung auf und dann würde es das erklären:

TCP    sn00ze:epmap          pD958B354.dip.t-dialin.net:3482  ESTABLISHED

EDIT: Mach zur Sicherheit noch ein netstat -ao
Damit du auch die IDs der Prozesse siehst, die diese Verbindung aufbauen

Dieser Beitrag wurde von Witi bearbeitet: 09. März 2005 - 15:57

[sn00ze]

witi,

sry zur besseren darstellung hätte ich euch das mit -ao machen sollen mein fehler! ich wusste natürlich das alle verbindungen epmap von pid 640 laut tasklist also svchost.exe aufgebaut worden sind!

-sn00ze-

Dieser Beitrag wurde von sn00ze bearbeitet: 09. März 2005 - 16:17

[sn00ze]

grööööööööööööööööhl!

also ich habe nur:

1. - http://www.ntsvcfg.de/svc2kxp.cmd
2. - http://www.grc.com/files/DCOMbob.exe

die zwei sachen gemacht laut shilds up isser jetzt steahlt!
mein [netstat -a] sieht jetzt so aus ->

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    sn00ze:1028           sn00ze:0              LISTENING
  TCP    sn00ze:1025           sn00ze:0              LISTENING
  TCP    sn00ze:1027           sn00ze:0              LISTENING
  UDP    sn00ze:1062           *:*

unglaublich!!!!! ich kapier nicht warum das nicht so war nach dem ich es MANUELL gemacht habe!

der [3. - Reg Tweak] ist denke ich mal durch das [svc2kxp.cmd] schon gemacht worden egal wie jetzt is alles dicht und auf der shilds up page kommt steahlt!
VIELEN DANK FÜR DEINE HILFE Tarnatos!

ich hät da aber noch ne frage wie kann ich manuell die ports welche ich auf STEAHLT setzen will einfach auf steahlt stezten ? und gibts die möglichkeit auch andere p0rts remote testen zu lassen ? oder ist das übehaupt nicht nötig?!

-sn00ze-

Dieser Beitrag wurde von sn00ze bearbeitet: 09. März 2005 - 16:19

[Tarnatos]

Zu beiden Theman, Shields UP! und stealth Ports hat Rika einige nette Sachen geschrieben!

Gugst du hier: System Absichern, Auch Ohne Firewall?

Ich wühl mich da auch gerade durch.

Ach ja, KEIN PROBLEM!

##EDIT
Du kannst hiermit: http://www.petri.co....oftware/lps.zip locale Port Scanns starten, das Tool ist genail, wenn auch etwas langsam, pro port etwa 1. sek!

Dieser Beitrag wurde von Tarnatos bearbeitet: 09. März 2005 - 16:34

[Mr_Maniac]

Auf STEALTHED würde ich gar keine Ports setzen, nur auf CLOSED...
Dies ist mit svc2kxp.cmd schon geschehen...
Denn diese Datei schaltet ja Dienste ab, die eh kein Mensch braucht...

Zur Erklärung: Wenn ein Port auf STEALTHED gesetzt ist, dann gehen Nachrichten, die an diesen Port gesendet werden einfach in's nirvana...
Normalerweise aber sollte eine Antwort vom PC kommen die sagt: "Sorry man, aber hier is dicht..."
Oder, wenn der PC aus ist, sagt der letzte Router vor deinem PC: "Da ist niemand..."
Wenn ein Port jetzt aber auf STEALTHED steht, dann kann das Probleme geben...
z.B. müssen alle, die etwas an diesen Port schicken ziemlich lange warten, bis sie überhaupt erfahren, dass der Port dicht ist...
Ich hoffe du verstehst einigermassen, was ich meine...

Und mehr Ports scannen? Wofür?
Die Ports, die netstat als "LISTENING" anzeigt, sollten die einzigen sein, die offen sind...
Und die 3, die bei dir "offen" sind, könnten durchaus die ICQ-File-Transfer Ports sein (Die ICQ abhört)...
Ausserdem scannen diese On-Line Portscanner die "Wichtigsten" Ports... Also auch bekannte Trojaner-Ports und sowas...

[sn00ze]

hüpf hüpf hüpf!

warum bin ich so fröhlich so fröhlich so fröhlich!
deshalb ->

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    sn00ze:1028           sn00ze:0              LISTENING
  TCP    sn00ze:1025           sn00ze:0              LISTENING
  TCP    sn00ze:1027           sn00ze:0              LISTENING
  UDP    sn00ze:1062           *:*                    

Ausserdem muss ich sagen wieder mal zwei sehr informative links von Tarnatos ich wülle gleich mit in rikas thread, muss nur noch schnell einkaufen gehen! rechner kann ich ja jetzt wieder anlassen, hihi! achso der local portscanner also das wären dann ja bei xffffh ports -> 65535/sec -> ungefähr 18,2 h für alle p0rts hahahaha egal ich mach das am we wenn ich auf der piste bin!

achso und Mr_Maniac auch vielen dank für deinen beitrag! allerdings ist es mir bei gewissen p0rts lieber sie gehen ins nirvana! den über das shakehand verfahren können auch meldungen wie closed oder busy exploidet werden, leider.... aber tortzdem auch sehr aufklärend thx alot !

-sn00ze-

[Tarnatos]

Ach vielleicht noch eins, wenn du nen Full Scan via LPS startest, lass das Programm in Ruhe, am besten minimieren, es braucht fast keine Systemleistung.

Fang auch nicht an zu scrollen, wenn das Tool läuft, das führt dazu dass dass Fenster einfriehrt, das Tool arbeitet aber weiter.

Solltest du also doch mal gescrollte haben, einfach 1~2 Minuten warten dann kannst du es wieder minimieren.

Offene Ports werden "On-The-Fly" unten links im kleinen Fenster angezeigt. Sag ich deswegen, weil die Portliste im Mittelteil des Programmes bei vielen Ports manchal nicht vollständig dargestellt wird.

Hört sich jetzt etwas Buggy an ist aber nen nützliches Tool.

Letzter Punkt, alle nicht notwendigen Programme schließen und ggf. überflüßige Dienste (Virenscanner, VMWare, Jana, etc.) für den Scann deaktivieren!