Trojan? Portscans? ...weird log entries...

Seite 1 von 1 - Forum: Internet & Provider auf overclockers.at

URL: https://www.overclockers.at/internet-provider/trojan_portscans_weird_log_entries_132458/page_1 - zur Vollversion wechseln!

Folgende Eintragungen sind in einer WLAN.log in c:\, und ich werde absolut nicht schlau daraus:

Code:

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-12-20 04:37:26 OPEN TCP 192.168.1.3 207.46.250.101 1267 80 - - - - - - - - -
2004-12-20 04:37:27 CLOSE TCP 192.168.1.3 207.46.250.101 1267 80 - - - - - - - - -
2004-12-20 04:37:48 CLOSE TCP 192.168.1.3 207.46.196.121 1266 80 - - - - - - - - -
2004-12-20 04:37:50 OPEN TCP 192.168.1.3 207.46.250.101 1269 80 - - - - - - - - -
2004-12-20 04:37:51 OPEN TCP 192.168.1.3 207.46.196.121 1270 80 - - - - - - - - -
2004-12-20 04:37:51 CLOSE TCP 192.168.1.3 207.46.250.101 1269 80 - - - - - - - - -
2004-12-20 04:37:51 OPEN TCP 192.168.1.3 207.46.250.101 1271 80 - - - - - - - - -
2004-12-20 04:37:52 CLOSE TCP 192.168.1.3 207.46.250.101 1271 80 - - - - - - - - -
2004-12-20 04:37:57 CLOSE TCP 192.168.1.3 207.46.196.121 1270 80 - - - - - - - - -
2004-12-20 04:38:01 OPEN TCP 192.168.1.3 207.46.250.101 1273 80 - - - - - - - - -
2004-12-20 04:38:01 OPEN TCP 192.168.1.3 207.46.196.121 1274 80 - - - - - - - - -
2004-12-20 04:38:02 CLOSE TCP 192.168.1.3 207.46.250.101 1273 80 - - - - - - - - -
2004-12-20 04:38:02 OPEN TCP 192.168.1.3 207.46.250.101 1275 80 - - - - - - - - -
2004-12-20 04:38:02 CLOSE TCP 192.168.1.3 207.46.250.101 1275 80 - - - - - - - - -
2004-12-20 04:38:10 CLOSE TCP 192.168.1.3 207.46.196.121 1274 80 - - - - - - - - -
2004-12-20 04:38:20 OPEN TCP 192.168.1.3 207.46.250.101 1277 80 - - - - - - - - -
2004-12-20 04:38:20 OPEN TCP 192.168.1.3 207.46.196.121 1278 80 - - - - - - - - -
2004-12-20 04:38:20 CLOSE TCP 192.168.1.3 207.46.250.101 1277 80 - - - - - - - - -
2004-12-20 04:38:21 OPEN TCP 192.168.1.3 207.46.250.101 1279 80 - - - - - - - - -
2004-12-20 04:38:21 CLOSE TCP 192.168.1.3 207.46.250.101 1279 80 - - - - - - - - -
2004-12-20 04:39:26 CLOSE TCP 192.168.1.3 207.46.196.121 1278 80 - - - - - - - - -
2004-12-20 04:40:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:40:38 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:40:39 OPEN TCP 192.168.1.3 206.112.112.157 1280 80 - - - - - - - - -
2004-12-20 04:40:48 CLOSE TCP 192.168.1.3 206.112.112.157 1280 80 - - - - - - - - -
2004-12-20 04:42:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:43:17 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:43:17 OPEN TCP 192.168.1.3 206.112.112.157 1283 80 - - - - - - - - -
2004-12-20 04:43:27 CLOSE TCP 192.168.1.3 206.112.112.157 1283 80 - - - - - - - - -
2004-12-20 04:45:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:45:30 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:45:30 OPEN TCP 192.168.1.3 207.46.250.101 1285 80 - - - - - - - - -
2004-12-20 04:45:30 OPEN TCP 192.168.1.3 207.46.196.121 1286 80 - - - - - - - - -
2004-12-20 04:45:30 CLOSE TCP 192.168.1.3 207.46.250.101 1285 80 - - - - - - - - -
2004-12-20 04:45:31 OPEN TCP 192.168.1.3 207.46.250.101 1287 80 - - - - - - - - -
2004-12-20 04:45:32 CLOSE TCP 192.168.1.3 207.46.250.101 1287 80 - - - - - - - - -

Sieht eigentlich nach normalem Surf-Traffic aus. Stelle mal fest von welchem Programm das ausgeht (müsste z.B. mit tcpview von http://www.sysinternals.com gehen).

Is doch eh ganz normale Traffic... von source (192.1681.3) nach destination (zB 207.46.250.101, usw.)

Port 80 ist definitiv ein Webserver.
Port 53 ist ein DNS Lookup, denke mal er löst eine URL auf?

Ergo, wirklich ganz normaler Surf - Traffic...
nix auffälliges, meines Erachtens...

/edit:
Das Log-File wird wohl das der Windows Firewall sein und immer schön brav gefüllt werden bis max 25 MB, dann fliegen die ältesten Einträge raus, usw.

Versteh deine Frage nicht so ganz?

Okay, das beruhigt mich, hab mir das grad mit dem Tool angeschaut.

Was mir da noch auffällt, ist, dass svchost.exe und tcpsvcs.exe ziemlich viel offen haben (je 5-10 Connections). Das dürfte normal sein, oder?

Naja... also die svchost.exe is eigentlich normal... nur
tcpsvcs.exe - da könnts schon ein kleineres problem geben, siehe auch:

http://securityresponse.symantec.co...or.egghead.html

Bitte nicht falsch verstehen, tcpsvcs.exe ist durchaus auch ein normales Service (TCPServices) nur hab ich bis jetzt kein Standard-WindowsXP mit diesem Service laufen gesehn.

/edit:
Am Besten du siehst dir das ganze mal mit dem
Systinternals Prozess Explorer an.
Dann sag mal welches programm den tcpsvcs - Prozess startet...

Zitat

It creates the folder %systemroot%\System32\Vchost and then copies all of its program files into that folder.

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025