Programm versucht im Sekundentakt online zu gehen |
||
---|---|---|
#0
| ||
23.12.2002, 19:37
...neu hier
Beiträge: 5 |
||
|
||
23.12.2002, 20:03
Member
Beiträge: 813 |
#2
Deine Log-Einträge sprechen von einer "ankommenden" Verbindung und der Prozessname ist "n/a" (not available), d.h. jemand versucht von außen auf einen geschlossenen Port auf deinem Rechner zuzugreifen (wenn ich das Log richtig deute...)
Deutet also nicht unbedingt auf einen "Untermieter" hin, auch wenn die Frequenz (Sekundentakt) doch merkwürdig ist. Außerdem fragt sich, woher diese kryptischen Zeichenfolgen im Regelnamen kommen!? Der zweite Log-Eintrag ist übrigens eine netzwerk-interne Kommunikation. Welchen Scanner benutzt du? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
23.12.2002, 20:12
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo Forge,
Mein Scanner ist Norton2001. Ich weiß, nicht der neueste, aber liebevoll auf den neuesten Stand gehalten. Nach Trojanern habe ich zusätzlich mit "Anti-Trojan" und "The Cleaner" gesucht. Meine startenden Programme (Registy, Win.ini, Autostart-Ordner) mit A-Spy kontrolliert. Was mich nur wundert ist, das meine Firewall mir beim ersten Mal mitteilte, daß das Programm "‰â" versuche online zukommen. Falls jemand versucht von außen einzudringen ,wie kann er mich dann innerhalb von Sekunden nachdem ich online bin finden, wenn ihm kein "Untermieter" verrät wo ich bin? |
|
|
||
23.12.2002, 21:42
Ehrenmitglied
Beiträge: 2283 |
#4
Ist eindeutig ne eingehende Verbindung - also versucht jemadn auf Deinen Rechnern zuzugriefen. Wahrscheinlich ein Portscann.
R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
23.12.2002, 23:50
Member
Beiträge: 813 |
#5
Die von dir genannten Scanner eignen sich leider nicht so sehr zur Trojanersuche (auch wenn sie auf dem neuesten Stand sind...)
Versuch es lieber mit KAV (Kaspersky) oder Trojan-Hunter, wenn du sicher(er) gehen willst. Dennoch glaube ich eher nicht, dass du einen Trojaner hast. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
24.12.2002, 11:01
...neu hier
Themenstarter Beiträge: 5 |
#6
Aber was ist es dann?
Folgende Situation: - Ich starte meine Firewall - Ich gehe online (DSL mit Rasppoe-Treiber) - Keine 5 Sekunden später meldet sich meine Firewall im Sekundentakt Wenn es ein Portscan ist, dann müßten alle Kunden meines ISP betroffen sein. Da mehrere meiner Freunde ebenfalls bei dem selben Provider sind, müßten sie das gleiche bemerken wie ich. Tun sie aber nicht. Es scheint nur mich zu betreffen, also stellt sich die Frage, wie werde ich so schnell gefunden? Und vor allem was ist " ‰â " für ein Programm und wo finde ich es? Diese Art von Zeichenfolgen sind mir bis jetzt nur auf asiatischen Internetseiten begegnet, wenn der entsprechende Schriftsatz nicht installiert ist. Ich benutze nicht den MS-Inet-Explorer, sondern einen kleinen Browser namens K-Meleon und der ist nicht Activ-X fähig. Das scheint damit auch auszufallen. |
|
|
||
24.12.2002, 11:13
Ehrenmitglied
Beiträge: 2283 |
#7
Also:
Ist die IP: 62.14.204.228 (von Deinem ersten Posting) immer die gleiche?? Dies IP ist von einem spanischen Provider, so aus der Umgebung von Madrid. Möglicherweise hast Du eine Software installiert, die sich zu seinem Hersteller verbinden möchte? Trojanerscanner probiert? R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
25.12.2002, 10:54
...neu hier
Themenstarter Beiträge: 5 |
#8
Die IP variiert. Das einziggleichbleibende (tolles Wort) ist die 62 am Anfang.
Nach Viren und Trojanern hab ich schon gescannt. Hab Ad-Aware laufen lassen und trotz DSL auch vorsichtshalber mal nach Dialern gesucht. Schließlich kann man sich die Dinger ja auch so fangen. Alles ohne Erfolg. |
|
|
||
25.12.2002, 11:34
Member
Beiträge: 813 |
#9
Ich nehme an, du hast mit den von mir genannten Programmen nach Trojanern gescannt?
Falls du WinXP/2000/NT hast, installier dir mal "Active Ports" ( http://www.protect-me.com/freeware.html .) Das Tool zeigt dir an, welche Programme (Prozesse) an welchen Ports lauschen. Vielleicht findest du damit etwas verdächtiges. Ein vergleichbares Prog für Win9x kenne ich leider nicht (naja, am besten wäre natürlich KerioFW, aber dann müsstest du Norton deinstalliern... ) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
12.01.2003, 22:02
...neu hier
Beiträge: 1 |
#10
Servus,
vielleicht laber ich jetzt ja Müll (Hinweise darauf dringend erbeten!), aber bei mir fing das an nach dem ich zum ersten mal mit dem Esel gearbeitet hatte (eMule). Nachdem alle Scans auf Trojs etc. erfolglos waren hatte ich für mich diese Erklärung: Ich war in einigen Serververzeichnissen der Eselgemeinschaft nun "drin" und die versuchten eben "reinzukommen". Nachdem ich den esel eine Weile in Ruhe ließ nahm die Erscheinung auch zunehmend ab (negatives Wachstum?). Ganz daneben? Mobile ********************************************************** __________ Thunder is good, thunder is impressive, but it is the lightning that does the work! |
|
|
||
13.01.2003, 16:28
...neu hier
Themenstarter Beiträge: 5 |
#11
Daneben? Ganz im Gegenteil !
Ich hatte vor Ewigkeiten auch mal den Esel probiert. Inzwischen habe ich herausgefunden, welche Ports abgefragt werden und siehe da: Es sind EDonkey-Ports. Nur weniger werden die Anfragen nicht. Noch nicht. Aber anscheinend besteht da ja Hoffnung. Vielen Dank an alle für eure Hilfe. Kein Dank geht an die Norton-Firewall für ihre besch***ene Warnmeldung. :-) |
|
|
||
Seit neuestem scheint mein Computer einen Untermieter zu haben.
Vor ein paar Tagen meldete mir meine Firewall (Norton2001), daß das
Programm "‰â" versucht online zugehen, was ich verbot.
Seitdem versucht es dieses Programm auch zuweilen unter anderen
kryptischen Namen (z.B.: ˜¼ƒê , oder ÐËé) immer wieder. Und zwar
im Sekundentakt !
Im Log steht dann:
Datum: 23.12.02 Uhrzeit: 19:17:58
Regel "‰â TCP/UDP" blockierte (tigger-i1,3201). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (tigger-i1,3201)
Remote-Adresse, Dienst ist (62.14.204.228,3664)
Prozessname ist "N/A"
Zuweilen nur unterbrochen von:
Datum: 23.12.02 Uhrzeit: 19:18:02
Regel "‰â TCP/UDP" verbarg (255.255.255.255,bootp). Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (255.255.255.255,bootp)
Remote-Adresse, Dienst ist (0.0.0.0,bootpc)
Prozessname ist "N/A"
Falls jemand fragt, ich habe auf Viren und Trojaner geprüft. Mein Scanner
ist auf dem aktuellesten Stand. Im Internet habe ich nichts darüber gefunden.
Weiß vielleicht hier jemand was das ist und kann mir bitte helfen?