Remote System -- andauernde Meldung

#0
14.08.2006, 11:15
Member
Avatar killerbees19

Beiträge: 28
#1 Ich habe nun seit einigen Wochen Norton Internet Security 2006 installiert.
Leider bekomme ich nun immer, wenn ich meinem PC mit meinem DSL-Modem verbinde eine Meldung mit: "Ein Remote-System versucht auf ihr System zuzugreifen! IP: 127.0.0 Port xxxx".

Wie bekomme ich das wieder weg, denn ich denke nicht, dass es ein Schädling ist.

Bitte um Hilfe.


MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Seitenanfang Seitenende
14.08.2006, 12:19
Moderator
Avatar joschi

Beiträge: 6466
#2 Ich denke nicht, dass es sich hier um ein Remote-System handelt, da ein solches niemals auf 127.0.0.1 zugreifen könnte.
Am besten, Du machst wenn möglich einen Screenshot von ein paar Meldungen oder postest diese in Worten exakt, mit allen Angaben, die Norton ausspuckt.

Wichtig rauszufinden ist, welche lokale Anwendung hinter der Meldung steckt.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.08.2006, 14:24
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#3 Derzeit spuckt Norton leider gar nichts aus, da ich die Einstellung verändert habe: "Warnung bei Zugriff auf ungenutzte Ports"

Ich habe jedoch in der Protokolldatei nachgesehen:

Zitat

Für dieses Mal hat der Benutzer Folgendes gewählt: Kommunikation "Blockieren"
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (localhost,1044)
Remote-Adresse, Dienst ist (SONY2004(10.0.0.1),1044)
Prozessname ist ""

Zitat

Der Benutzer hat eine Regel erstellt für Kommunikation "Zulassen"
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (255.255.255.255,1037)
Remote-Adresse, Dienst ist (SONY2004(10.0.0.1),1036)
Prozessname ist ""

Zitat

Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren"
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (localhost,1037)
Remote-Adresse, Dienst ist (SONY2004(10.0.0.1),1037)
Prozessname ist ""
MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Dieser Beitrag wurde am 14.08.2006 um 14:28 Uhr von killerbees19 editiert.
Seitenanfang Seitenende
14.08.2006, 15:47
Moderator
Avatar joschi

Beiträge: 6466
#4

Zitat

Derzeit spuckt Norton leider gar nichts aus, da ich die Einstellung verändert habe: "Warnung bei Zugriff auf ungenutzte Ports"
Nun gut, wenn Dir das so genügt, kann man es dabei belassen.
Wenn Du deine Firewall richtig eingestellen willst, dann müsstest Du dem etwas genauer nachgehen.
Dafür wäre evtl. ein Hijackthis-Log noch ganz nützlich. Was ist dieses Sony2004 (Rechnername) ? Oder läuft irgendwelche Software v. Sony !?[/i]
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.08.2006, 16:19
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#5 Sony2004 ist der Rechnername, korrekt.
Software und Dienste von Sony sollten keine laufen, außer "Vaio Power Managment".

Fehlermeldung


Zitat

Logfile of HijackThis v1.97.7
Scan saved at 16:18:11, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule\schedule.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HDD Health\hddhealth.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Workrave\lib\Workrave.exe
C:\100 Spiele\x-shot\X-Shot 2002.exe
C:\Programme\FaJo\Timetool\TimeTool.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\NetMeter\NetMeter.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Programme\SmartFTP Client 2.0\SmartFTP.exe
C:\WINDOWS\Explorer.EXE
D:\Persönliche Dateien\Another\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at; *.jet2web.net; http://speedtouch.lan; http://10.0.0.138;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acronis Schedule] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule\schedule.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: Workrave.lnk = C:\Programme\Workrave\lib\Workrave.exe
O4 - Startup: X-Shot.lnk = C:\100 Spiele\x-shot\X-Shot 2002.exe
O4 - Startup: Zeiterfassung.lnk = C:\Programme\FaJo\Timetool\TimeTool.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: WhoisAssistant (HKLM)
O9 - Extra 'Tools' menuitem: &WhoisAssistant starten (HKLM)
O9 - Extra button: Run WinHTTrack (HKLM)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)
O9 - Extra button: Express Cleanup (HKLM)
O9 - Extra 'Tools' menuitem: Express Cleanup (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de
Zum Browsen verwende ich aber eigentlich fast nur den Opera.

MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Dieser Beitrag wurde am 14.08.2006 um 19:48 Uhr von killerbees19 editiert.
Seitenanfang Seitenende
15.08.2006, 11:07
Member

Beiträge: 50
#6 10.0.0.1 ist eine private Netzwerkadresse, könnte es sein das das die Adresse deines PCs ist (lässt sich mit ipconfig prüfen).

Auf jedenfall scheint das so ne Art loopback zu sein, die von irgendeiner Anwendung kommt, ist imho nichts schlimmes soweit.

Ich tippe mal das die IP 10.0.0.1 auch von deinem Rechner kommt, evtl. hast du nen Bluetooth-Dienst am laufen oder ne andere Schnittstelle welche per default eine IP zugewiesen bekommen hat, aber das kann man erst sagen wenn du ipconfig ausgeführt hast.
Seitenanfang Seitenende
15.08.2006, 11:35
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#7 10.0.0.1 ist meine IP, also von Rechner. Vom DSL-Modem aus gesehen.
Was ist dieses "ipconfig"? Wie führe ich das aus?

Ich habe obendrein noch eine kleine Liste mit dem Warnmeldungen von Heute:

Zitat

Programmwarnmeldung
Mittleres Risiko
Ein Remote-System versucht auf Ihren Computer zuzugreifen.

Details
15.08.2006 11:18
255.255.255.255 : 67
UDP (Eingehend)
Standard


......................
Programmwarnmeldung
Mittleres Risiko
Ein Remote-System versucht auf Ihren Computer zuzugreifen.

Details
15.08.2006 11:18
Automatisch zugewiesene IP vom Internetanbieter : 3222
127.0.0.1 : 3222
UDP (Eingehend)

......................
Programmwarnmeldung
Mittleres Risiko
Ein Remote-System versucht auf Ihren Computer zuzugreifen.

Details
15.08.2006 11:18
Automatisch zugewiesene IP vom Internetanbieter : 3226
127.0.0.1 : 3226
UDP (Eingehend)

......................
Programmwarnmeldung
Mittleres Risiko
Ein Remote-System versucht auf Ihren Computer zuzugreifen.

Details
15.08.2006 11:20
Automatisch zugewiesene IP vom Internetanbieter : 3248
127.0.0.1 : 3248
UDP (Eingehend)

......................
Programmwarnmeldung
Mittleres Risiko
Ein Remote-System versucht auf Ihren Computer zuzugreifen.

Details
15.08.2006 11:20
Automatisch zugewiesene IP vom Internetanbieter : 3252
127.0.0.1 : 3252
UDP (Eingehend)
MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Seitenanfang Seitenende
15.08.2006, 12:34
Member

Beiträge: 50
#8 Zu deinem ersten Problem: Das was Norton meldet ist tatsächlich der sogenannte Loopback, eine interne Kommunikation über den TCP/IP Stack (um es mal simpel auszudrücken). Norton produziert hier also einen Fehlalarm, welchen du abschalten oder ignorieren solltest.

ipconfig musst du über díe DOS-BOX eingeben (Start-->Ausführen-->cmd eingeben +ENTER-->in der schwarzen DOS-BOX dann ipconfig eingeben, das zeigt dir dann alle Netzwerkschnittstelen plus IP nummer)

Zu deinem zweiten Problem: Die Meldung ist zu allgemein, wenn Norton nicht in der lage ist bessere Meldungen zu produzieren, würde ichs runterschmeissen, da es nichts taugt.
Seitenanfang Seitenende
15.08.2006, 13:58
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#9 Wieso ist die Meldung zu allgemein?
Ist doch eigentlich gut ersichtlich, oder?

Danke jedenfalls für die Hilfe.
Weißt du vielleicht noch wie ich die Meldung unterdrücken kann, oder jemand anderer?


MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Seitenanfang Seitenende
15.08.2006, 14:14
Member

Beiträge: 50
#10 Man sieht weder Remote- noch Lokale Adresse...
Seitenanfang Seitenende
15.08.2006, 14:27
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#11 Hast du dir das Bild oben angesehen? Da sieht man es! Und den Text habe ich ein wenig gekürzt: Meine IP entfernt und den Text. Ich will ja nicht jedem meine IP sagen...

Hier noch einmal ein Auszug aus der Protokolldatei, das vorher habe ich händisch abgeschrieben:

Zitat

Details:
Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren"
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (localhost,3252)
Remote-Adresse, Dienst ist (169.xxx.xxx.xxx,3252)
Prozessname ist ""
MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Seitenanfang Seitenende
15.08.2006, 14:40
Member

Beiträge: 50
#12

Zitat

killerbees19 postete
Hast du dir das Bild oben angesehen? Da sieht man es! Und den Text habe ich ein wenig gekürzt: Meine IP entfernt und den Text. Ich will ja nicht jedem meine IP sagen...
Nein, die Bilder sind nicht das was du da beschrieben hast, die Bilder zeigen ein Loopback auf deinem Rechner, das ist was anderes als das was du jetzt beschreibst... Und ehrlich gesagt, warum soll man nicht deine IP wissen? Die ändertr sich eh bei jeder erneuten Einwahl ins Netz, so what...

Zitat

Hier noch einmal ein Auszug aus der Protokolldatei, das vorher habe ich händisch abgeschrieben:

Zitat

Details:
Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren"
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (localhost,3252)
Remote-Adresse, Dienst ist (169.xxx.xxx.xxx,3252)
Prozessname ist ""
MfG Christian
Auch das sieht mir nach ganz normaler Kommunikation über den Windows TCP/IP stack aus - kann natürlich auch was anderes sein, aber was weiss ich was auf deinem Rechner an Software läuft. Da dich Norton so verunsichert und du anscheinend nicht interpretieren kanst was da wirklich passiert, rate ich dir dringend dazu einen Router zu kaufen und Norton zu deinstallieren, mit deinem jetzigen Wissen wirst du Norton definitiv falsch konfigurieren und somit unter Umständen riesige Löcher in dein System reissen die ohne Norton gar nicht vorhanden wären.
Seitenanfang Seitenende
15.08.2006, 14:48
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#13 Norton habe ich mir gerade erst neu gekauft. Hatte vorher die 2004-Version.
Die IP ändert sich schon jedes Mal, ist aber alle 30 Mal die gleiche habe ich gesehen.

Wieso sollte ich mir jetzt einen Router kaufen und Norton deinstallieren?
Bis jetzt hatte ich keine Probleme...

Nur langsam reicht es mir. Ich hatte nämlich mit Skype (Norton 2004 und Skype ältere Version) massive Probleme. Ebenfalls mit so einer ähnlichen Meldung.

[EDIT]
Habe gerade in den Einstellungen gemerkt, dass die Protokollierung auf "Standard" eingestellt war, habe sie jetzt auf "Ausführlich gestellt".


MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Seitenanfang Seitenende
15.08.2006, 14:58
Member

Beiträge: 50
#14

Zitat

killerbees19 postete
Nur langsam reicht es mir. Ich hatte nämlich mit Skype (Norton 2004 und Skype ältere Version) massive Probleme. Ebenfalls mit so einer ähnlichen Meldung.
Genau das meine ich: Norton produziert mehr Probleme als das es nützt. Einen Router brauchst du in der Regel nur einmalig zu konfigurieren (was leichter ist als so eine PFW einzustellen), und das war es. Ich empfehle eigentlich jederman der sich vor den üblichen verdächtigen schützen will einen Router, nur diejenigen die auch Wissen wollen was von ihrem PC rausgeht, denen empfehl ich TCPview, der zeigt alle Verbindungen schön an. Ne Softwarefirewall bracht man also nicht wirklich.
Seitenanfang Seitenende
15.08.2006, 15:07
Member

Themenstarter
Avatar killerbees19

Beiträge: 28
#15 Norton 2004 hatte eine nette Funktion: Man hat jede Verbindung gesehen. Die Funktion haben sie bei der 2006-Version einfach gekillt, gibt es nicht mehr!

Ich habe aber nun einmal (wie ein Großteil aller Leute) eine Software-Firewall. Ein Router wäre etwas übertrieben.

Ich habe mir jetzt auch noch "TCPView" runtergeladen. Wenn Norton die Funktion nicht mehr hat, muss man improvisieren.
Danke für den Tipp.

Nur wie bekomme ich jetzt die Meldung weg?



MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!
Seitenanfang Seitenende