IE öffnet seltsame Ports, Trojaner?

  • Hallo,
    seit heute beschwert sich ZoneAlarm wenn ich den IE7 starte, das er Port 1058 kontaktieren will ( localhost:1058). Der Port ändert sich jedes Mal wenn man es nochmal probiert. Liegt immer im Bereich 1058 und 1500. Ich hab mit Spybot S&D, Adaware, CounterSpy und Windows Defender nach Trojanern/Hijackern gesucht, aber nichts gefunden. Auch ein durchgehen der Liste die autoruns anzeigt hat keine mir verdächtige Datei aufgezeigt und seit dem letzten Mal wo der IE noch "normal" gelaufen ist, hab ich keine ausführbaren Datein downgeloaded. Gestern hat Windows beim Herunterfahren allerdings automatisch 5 Updates installiert...

    - Ist das ein Trojaner oder ein neues "Feature" von IE?
    - Wieso kommuniziert der mit localhost, heißt das ich hab auf dem Port noch einen anderen Trojaner laufen?

    Ich verwende zwar den IE nicht oft, aber wenn da wirklich ein Trojaner ist möchte ich ihn wegbringen. Hab schon über 2 h damit versch*..., wenn jemand eine Ahnung hat was das ist bzw. wie mans eingrenzen kann bitte melden.

    mfg Oliver

  • Mit Firefox hab ich keine Probleme. Ich glaub es liegt am IE wobei ich aber nicht weis obs nun ein gewolltes Feature vom IE ist oder ein Trojaner. Anbei ein Screenshot.

  • Hier noch ein Schmankerl:

    >nmap localhost -sT -p 1024-1500

    Starting Nmap 4.21ALPHA4 ( http://insecure.org ) at 2007-06-13 17:30 Westeuropõi
    sche Sommerzeit
    Interesting ports on localhost (127.0.0.1):
    Not shown: 476 closed ports
    PORT STATE SERVICE
    1027/tcp open IIS

    Nmap finished: 1 IP address (1 host up) scanned in 103.559 seconds

    >nmap localhost -sT -p 1027 -A

    Starting Nmap 4.21ALPHA4 ( http://insecure.org ) at 2007-06-13 17:37 Westeuropõi
    sche Sommerzeit
    Skipping OS Scan against localhost (127.0.0.1) because it doesn't work against y
    our own machine (localhost)
    Interesting ports on localhost (127.0.0.1):
    PORT STATE SERVICE VERSION
    1027/tcp open tcpwrapped

    OS and Service detection performed. Please report any incorrect results at http:
    //insecure.org/nmap/submit/ .
    Nmap finished: 1 IP address (1 host up) scanned in 1.102 seconds


    Gibts einen Befehl der mir anzeigt, welcher meiner lokalen Prozesse den Port 1027 geöffnet hat?

  • bzw. manchmal kanns sein, dass es irgendwelche toolbars sind (google, icq, etc.) die nach hause telefonieren...


    nach hause telefonieren zu localhost? die wird ja wohl nicht selbstgespräche führen.

    ich glaube eher, dass das ein lokaler dienst ist, der am rechner läuft und ein add-on vom IE7 benötigt von diesem etwas.

    nachvollziehen kann ich es jedenfalls nicht. mein IE7 macht es nicht.

    *** Ich würde gern die Welt verändern, aber Gott gibt mir den Quelltext nicht ***

  • Anbei das hijackthis.log. Hab nichts deutlich auffälliges gefunden.

    Korrupt, welcher sinnvolle Service wird bei jede Aufruf auf einem anderen Port suchen? Bin da selber sehr unschlüssig.

    mfg Oliver

    [edit]
    sofern das was hilft, ich hab den Internet Explorer im Safe Mode (ohne Add-Ons mit dem -extoff Flag) gestartet, sowie die Einstellungen des IE7 zurückgesetzt. Alles ohne Erfolg.
    [/edit]

  • Gibts einen Befehl der mir anzeigt, welcher meiner lokalen Prozesse den Port 1027 geöffnet hat?

    netstat -b

    Zitat von Zentor

    welcher sinnvolle Service wird bei jede Aufruf auf einem anderen Port suchen?


    stimmt. das macht eigentlich wenig sinn. es sieht danach, als ob das service immer gestartet und beendet wird.

    wobei ich mittels netstat -b auch gerade festgestellt habe, dass der firefox auch zu sich lokal verbindet.

    *** Ich würde gern die Welt verändern, aber Gott gibt mir den Quelltext nicht ***

  • Hab mir alles mit TCPView und Netstat angeschaut, und jetzt bin ich erst recht verwirrt...
    Firefox öffnet *auch* eine Verbindung zu localhost, hier zwei Ports: 1278 und 1277. Die scheinen von ZoneAlarm aber erlaubt zu werden...
    Jetzt kommts, wenn ich den IE mit about:blank als Startseite lade, dann öffnet der genau 0 Connections, auch keine seltsamen. Könnte eine Sicherheitsfunktion sein. Sobald eine "normale" Webseite geöffnet wird, kommt die seltsame Connection zusätzlich zur normalen Connection. Wobei im TCPView als Remote Address hier "*.*" steht (-> Unconnected Endpoint), obwohl die Firewall sagt es verbinde zu localhost. Ich finde im Web nichts darüber, das ein Browser diese Ports von sich aus benötigt... Was ist das nur??? Hab mit Wireshark versucht was herauszubekommen, aber vom "seltsamen" Port aus wird nichts verschickt/empfangen... Interessant ist, das die erste normale Connection eine Portnummer hat, die um 1 größer ist als der "seltsame" Port. Ist das vielleicht eine Art Connection-Pool aus dem er dann die "seltsame" Connection einfach nie verwendet?

    Kann es sein, das hier Daten vom HTTP Protokoll in einer Art Pushbaserten Variante empfangen werden? Macht für mich aber alles wenig Sinn...

    Screenshots:
    sc1 = Firefox/IE geschlossen
    sc2 = IE hat http://www.google.at angefragt

    Kann jemand mal schauen obs diese Connections bei ihm auch gibt?

    mfg Oliver

  • @ josef19, k.A. glaub nicht das es das ist. Hab alle Einstellungen mit FTP/Webfolders im IE mal deaktiviert-> keine Verändernug
    @ Jensi, hab ich schon versucht, siehe mein voriges Posting. Es werden keine
    Daten vom/zu dem seltsamen Port geschickt.

    Helfts ma! Was is da los?

  • Laut http://kb.mozillazine.org/Connections_es…artup_-_Firefox verwendet Firefox eine Loopback-Verbindung auf localhost für die Kommunikation zwischen Browser-Core und SSL-Modul.

    Mit "netstat -abn" kann man sich unter Windows die Prozessinformation zu allen Verbindungen ausgeben lassen, hier ein Ausschnitt meiner Liste:

    Code
    TCP    127.0.0.1:1054         127.0.0.1:1055         HERGESTELLT     3052  [firefox.exe]
    
    
      TCP    127.0.0.1:1055         127.0.0.1:1054         HERGESTELLT     3052  [firefox.exe]
    
    
      TCP    127.0.0.1:1056         127.0.0.1:1057         HERGESTELLT     3052  [firefox.exe]
    
    
      TCP    127.0.0.1:1057         127.0.0.1:1056         HERGESTELLT     3052  [firefox.exe]

    Der Internet Explorer wird vermutlich irgendetwas ähnliches machen, aber genau kann ich dir das nicht sagen. ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!