Programm versucht im Sekundentakt online zu gehen

#1 Hallo,

Seit neuestem scheint mein Computer einen Untermieter zu haben.
Vor ein paar Tagen meldete mir meine Firewall (Norton2001), daß das
Programm "‰â" versucht online zugehen, was ich verbot.

Seitdem versucht es dieses Programm auch zuweilen unter anderen
kryptischen Namen (z.B.: ˜¼ƒê , oder Ð�Ëé) immer wieder. Und zwar
im Sekundentakt !


Im Log steht dann:

Datum: 23.12.02 Uhrzeit: 19:17:58
Regel "‰â TCP/UDP" blockierte (tigger-i1,3201). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (tigger-i1,3201)
Remote-Adresse, Dienst ist (62.14.204.228,3664)
Prozessname ist "N/A"

Zuweilen nur unterbrochen von:

Datum: 23.12.02 Uhrzeit: 19:18:02
Regel "‰â TCP/UDP" verbarg (255.255.255.255,bootp). Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (255.255.255.255,bootp)
Remote-Adresse, Dienst ist (0.0.0.0,bootpc)
Prozessname ist "N/A"

Falls jemand fragt, ich habe auf Viren und Trojaner geprüft. Mein Scanner
ist auf dem aktuellesten Stand. Im Internet habe ich nichts darüber gefunden.

Weiß vielleicht hier jemand was das ist und kann mir bitte helfen?

#2 Deine Log-Einträge sprechen von einer "ankommenden" Verbindung und der Prozessname ist "n/a" (not available), d.h. jemand versucht von außen auf einen geschlossenen Port auf deinem Rechner zuzugreifen (wenn ich das Log richtig deute...)
Deutet also nicht unbedingt auf einen "Untermieter" hin, auch wenn die Frequenz (Sekundentakt) doch merkwürdig ist.
Außerdem fragt sich, woher diese kryptischen Zeichenfolgen im Regelnamen kommen!?

Der zweite Log-Eintrag ist übrigens eine netzwerk-interne Kommunikation.

Welchen Scanner benutzt du?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Hallo Forge,

Mein Scanner ist Norton2001. Ich weiß, nicht der neueste, aber liebevoll auf
den neuesten Stand gehalten. Nach Trojanern habe ich zusätzlich mit
"Anti-Trojan" und "The Cleaner" gesucht. Meine startenden Programme
(Registy, Win.ini, Autostart-Ordner) mit A-Spy kontrolliert.

Was mich nur wundert ist, das meine Firewall mir beim ersten Mal mitteilte,
daß das Programm "‰â" versuche online zukommen. Falls jemand versucht
von außen einzudringen ,wie kann er mich dann innerhalb von Sekunden nachdem ich online bin finden, wenn ihm kein "Untermieter" verrät wo ich bin?

#4 Ist eindeutig ne eingehende Verbindung - also versucht jemadn auf Deinen Rechnern zuzugriefen. Wahrscheinlich ein Portscann.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Die von dir genannten Scanner eignen sich leider nicht so sehr zur Trojanersuche (auch wenn sie auf dem neuesten Stand sind...)

Versuch es lieber mit KAV (Kaspersky) oder Trojan-Hunter, wenn du sicher(er) gehen willst.

Dennoch glaube ich eher nicht, dass du einen Trojaner hast.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 Aber was ist es dann?
Folgende Situation:
- Ich starte meine Firewall
- Ich gehe online (DSL mit Rasppoe-Treiber)
- Keine 5 Sekunden später meldet sich meine Firewall im Sekundentakt

Wenn es ein Portscan ist, dann müßten alle Kunden meines ISP
betroffen sein. Da mehrere meiner Freunde ebenfalls bei dem selben
Provider sind, müßten sie das gleiche bemerken wie ich. Tun sie aber
nicht.
Es scheint nur mich zu betreffen, also stellt sich die Frage, wie
werde ich so schnell gefunden?

Und vor allem was ist " ‰â " für ein Programm und wo finde ich es?
Diese Art von Zeichenfolgen sind mir bis jetzt nur auf asiatischen
Internetseiten begegnet, wenn der entsprechende Schriftsatz nicht
installiert ist. Ich benutze nicht den MS-Inet-Explorer, sondern einen
kleinen Browser namens K-Meleon und der ist nicht Activ-X fähig.
Das scheint damit auch auszufallen.

#7 Also:

Ist die IP: 62.14.204.228 (von Deinem ersten Posting) immer die gleiche??
Dies IP ist von einem spanischen Provider, so aus der Umgebung von Madrid.

Möglicherweise hast Du eine Software installiert, die sich zu seinem Hersteller verbinden möchte?

Trojanerscanner probiert?

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 Die IP variiert. Das einziggleichbleibende (tolles Wort) ist die 62 am Anfang.

Nach Viren und Trojanern hab ich schon gescannt. Hab Ad-Aware laufen lassen
und trotz DSL auch vorsichtshalber mal nach Dialern gesucht. Schließlich kann man sich die Dinger ja auch so fangen.
Alles ohne Erfolg.

#9 Ich nehme an, du hast mit den von mir genannten Programmen nach Trojanern gescannt?

Falls du WinXP/2000/NT hast, installier dir mal "Active Ports" ( http://www.protect-me.com/freeware.html .) Das Tool zeigt dir an, welche Programme (Prozesse) an welchen Ports lauschen. Vielleicht findest du damit etwas verdächtiges.
Ein vergleichbares Prog für Win9x kenne ich leider nicht (naja, am besten wäre natürlich KerioFW, aber dann müsstest du Norton deinstalliern... )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Servus,
vielleicht laber ich jetzt ja Müll (Hinweise darauf dringend erbeten!), aber bei mir fing das an nach dem ich zum ersten mal mit dem Esel gearbeitet hatte (eMule). Nachdem alle Scans auf Trojs etc. erfolglos waren hatte ich für mich diese Erklärung: Ich war in einigen Serververzeichnissen der Eselgemeinschaft nun "drin" und die versuchten eben "reinzukommen". Nachdem ich den esel eine Weile in Ruhe ließ nahm die Erscheinung auch zunehmend ab (negatives Wachstum?).

Ganz daneben?

Mobile
**********************************************************
__________
Thunder is good, thunder is impressive, but it is the lightning that does the work!

#11 Daneben? Ganz im Gegenteil !

Ich hatte vor Ewigkeiten auch mal den Esel probiert.
Inzwischen habe ich herausgefunden, welche Ports abgefragt
werden und siehe da: Es sind EDonkey-Ports.
Nur weniger werden die Anfragen nicht. Noch nicht.
Aber anscheinend besteht da ja Hoffnung.

Vielen Dank an alle für eure Hilfe.

Kein Dank geht an die Norton-Firewall für ihre besch***ene
Warnmeldung. :-)