Kernel, àdnÔàdnÔ und ÐÑ•ÔÐÑ•Ô wollten Verbindung zum www aufbauen

Hi,
Norton Personal Firewall hat mir gemeldet, daß folgende Komponenten/Anwendungen versucht haben, eine Verbindung zum Internet herzustellen:
1. ÐÑ•ÔÐÑ•Ô TCP/UDP
2. àdnÔàdnÔ TCP/UDP
3. Kernkomponente des Windows-Kernel TCP/UDP

Unter der kernel kann ich mir ja noch etwas vorstellen, aber was kann das andere sein. Und überhaupt, was haben mein Kernel und die anderen Teile im Internet zu suchen. (Nackte Frutten können es nicht sein, davon hab ich auf der HD genug ) Weiß jemand, wie ich die anderen Komponenten identifizieren kann, denn Files mit diesen Namen gibt es definitiv nichtauf meiner HD. Oder kann es sein, das die Firewall einfach nur spinnt??? Bin für jeden Tip dankbar.


Ach ja, fast hätte ich es vergessen: Laut NAV 2000 mit aktuellen Defs habe ich keine Viren oder Pferdchen auf der HD, auch eine manuelle Überprüfung der Registry an den einschlägigen Stellen (Run Services...) hat nichts kein ungewöhnliches Ergebnis gebracht.

So long
papst

Software is like sex, it's best for free!



[Dieser Beitrag wurde von papst am 07. September 2000 editiert.]

Hey
Papst

Das sagt mir doch was !!!!
Schau mal unter Suche Dateien/Ordner und Tip mal *.exe ein mal sehen ob du eine Datei mit
ÐÑ•ÔÐÑ•Ô zu Gesicht bekommst Ich habe hier solche Dinger auf einer Diskette ruhen neun Stück an der Zahl weiß nicht was die machen und wurden auch nicht von einen Vieren Scanner erkannt

mfg
Sky
<IMG SRC="http://smilecwm.tripod.com/megaman/X4XSHOT.gif" border=0>

Hi Skylainer,
hab nochmal intensiv nach Files mit Namen àdnÔàdnÔ und ÐÑ•ÔÐÑ•Ô gesucht. Nichts zu finden. Auf meiner HD findet sich kein File, dessen Name in irgendeiner Form "unlesbar" ist. Poste mal bitte die Größe und den Namen der einzelnen Files, vielleicht hilft das ja weiter. Sofern sich die Files allerdings an andere Dateien anhängen, bringt das zwar auchnichts, aber es ist immerhin einen Versuch wert.

CU
papst

also ich denke die Firewall konnte nicht richtig identifizieren, welches Programm nun eine connection aufbaut, und dann kam eben das dabei raus ... es würde allerdings weiterhelfen, wenn du sagen könntest, welche Ports benutzt wurden - dann ist eine Identifikation eventuell möglich - ansonsten gibts da m.E. keine Möglichkeit -&gt; wenn diese Meldung öfters erscheint, solltest du mal ne andere Firewall installieren, eventuell kann diese dann genauere Details vorbringen ...

@Chrisu
Ich gehe mal davon aus, das der Wert, den Norton Personal Firewall nachder IP anzeigt (z.B. 212.89.23.64, 27374); also in diesem Fall 27374 der Port ist. Wenn ich mich nicht irre ist der von mir im Beispiel gewählte Wert der Standartport für Sub7. Weiterhin müßte meine IP in der Zeile "Lokale Adresse" stehen und nicht in der Zeile "Remote-Adresse".

Sollte der Wert nach der IP wirklich den Port bezeichnen, haben die fraglichen Komponenten einen Port benutzt, der entweder von der Firewall nicht richtig ermittelt werden konnte oder aber grundsätzlich mit einer Buchstabenkombination gekennzeichnet ist. Hier nun die Angaben der Firewall:

1.Kernel386.exe:
Abgehendes UDP-Paket
Lokale Adresse, Dienst ist (213.20.53.7,nbname)
Remote-Adresse, Dienst ist (193.121.163.20,mtp)

2. àdnÔàdnÔ:
Abgehende TCP-Verbindung
Remote-Adresse, Dienst ist (195.93.0.180,aol-4)

3. ÐÑ•ÔÐÑ•Ô
Abgehende TCP-Verbindung
Remote-Adresse, Dienst ist (64.12.105.243,aol-4)

Für die Komponenten 2 und 3 hätte ich aufgrund des Ports auch schon eine Idee: Ich habe auf meinem System die AOL-Zugangssoftware installiert und logge mich gelegentlich als Gast über die Flat eines Freundes ein, bin aber selbst kein registriertes AOL-Mitglied. Wäre doch möglich, daß die AOL-Software in unregelmäßigen Abständen Kontakt mit AOL aufnehmen will, um diesen Zustand zu melden.
Gegen diese Theorie spricht, das die Remot-Adresse, sofern sie die IP des Empfängers der Verbindung darstellt, bei beiden Verbindungen verschieden ist. Allerdings kann ich mir nicht plausibel erklären, weshalb mein Kernel eine Verbindung zum Internet aufbauen wollte. Hoffe, Du kannst mit den Angaben was anfangen.

So long
papst

Software is like sex, it's best for free!

Hey
papst
Die Diskette in das Laufwerk und was soll Ich dir sagen es ist ein Backdoor jetzt bimmelt mein Virenscanner
Ja so kann es einen gehen Vire:Backdoor.Subseven213
also ein Klone der vorher von meinen Virenscanner nicht erkannt wurde (vor einen halben Jahr)

mfg
Sky

Ps.:Ich Verwende AVP und Norton Antivirus 2000 als Virenscanner wobei der letztere keinen mucks von sich gegeben hat

zu 1.Kernel386.exe:
Dienst ist (213.20.53.7,nbname)
&gt; das ist lt. RFC 1060 der Port 137/UDP
Dienst ist (193.121.163.20,mtp)
&gt; mtp is Port 57/tcp

diese connection is so wie ich das sehe nicht weiter besorgniserregend, zumal sie ja von der FW abgefangen wurde (+ wenn die FW dies unterstützt, auch weiterhin abgefangen wird)

die anderen 2 connections sehen gefährlich aus, da 1. Skylainer dasselbe Problem hatte und sein AV-Progr. einen Trojaner entdeckt haben will (auffälligerweise nicht der AV von Norton, deine FW is ja auch von Norton), 2. ein einschlägiger Port für die Verbindung verwendet wurde.

Ich würde dir erstmal das vorschlagen, was auch schon skylainer empfohlen hat (aktuellen Scanner laufen lassen), an 2. Stelle würd ich sofort ne andere FW installieren (ich kann ZoneAlarm nur "wärmstens" empfehlen!) oder zumindest ein Update der Norton FW installieren.

Da sämtliche Verbindungen ohnehin geblockt wurden, ist bis dato ja offensichtlich noch nichts negatives geschehen

danke für Eure Antworten. Haltet Ihr meine Idee mit der AOL-Anwendung, die Kontakt zu Aol aufnimmt für völlig abwegig? Beim durchforsten des Ereignisprotokolls der Firewall habe ichfestgestellt, das die WAOL.exe denselben Port benutzt wie die beiden Anwendungen mit dem verschlüsselten Namen, also aol-4. Außerdem haben die unbekannten Komponenten, vorausgesetzt, meine Firerwall hat alle Verbindungsversuche dieser erkannt, erst drei mal versucht, eine Connection herzustellen. Verglichen mit dem Zeit, die ich im Netz verbringe, ist dies sehr wenig. Es ist also keinesfalls so, daß der Verbindungsversuch jedesmal stattfindet, wenn ich mich ins Internet eingewählt habe. Diese Unregelmäßigkeit halte ich für einen Trojaner sehr ineffektiv. Wenn ich ein System mit einem Trojaner angreifen will, habe ich aus mehreren Gründen ein großes Interesse daran, möglichst viele Gelegenheiten dazu zu haben. Ein Trojaner, der nur unregelmäßig und selten mit mir Kontakt aufnimmt, nützt mir dabei nicht viel. Weiterhin sind diese versuch erst aufgetreten, seit ich die AOL-Software installiert habe. Die erste Verbindung dieser Art hat kurz hach der ersten Einwahl über die AOL-Flat stattgefunden. Den Namen und den Port der Anwendung habe ich Euch bisher leider unterschlagen, weil den Eintrag im Protokoll schlicht und ergreifend übersehen habe. Er lautet: Abgehende TCP-Verbindung
Remote-Adresse, Dienst ist (ie3.proxy.aol.com,aol-4)
Prozessname ist "￾útÂ￾útÂ"
Danach haben, in einem Abstand von mehreren Tagen, dann die beiden anderen Verbindungsversuche stattgefunden. Über die Funktionsweise der Vorgängerversionen von Sub7 ist mir bekannt, daß er in der lage ist, nach der Einwahl ins www eine Meldung an eine vordefinierte E-Mail Adresse zu senden. Dazu muß der SUb7-Server jedoch gestartet werden, z.B. per Eintrag in die Registry. Dort ist,wie gesagt, kein Eintrag vorhanden. Eine Überprüfung der aktiven Anwendungen mit Jammer hat keine ungewöhnliche, ausgeführet Anwendung gezeigt. Hinzu kommt, das auf keiner der von mir besuchten Homepages von Virenscannern (AVP, Sophos, NAV) vor einem Sub7 2.13 gewarnt wird. Auchauf der Homepage von Sub7 selbst gibt es keine Version 2.13.
All dies sind Indizien, die gegen einen Trojaner auf meiner Platte sprechen.
Werde allerdings noch in einigen anderen Systemfile nach einem unbekannten Service suchen und das Ergebnis dann posten.

CU
papst

------------------
Software is like sex, it's best for free!

[Dieser Beitrag wurde von papst am 10. September 2000 editiert.]

@Skylainer: Wenn ich Deine Postings richtig verstanden habe, hast Du schon seit einem halben Jahr Files, deren Namen identisch mit zumindest einem File ist, daß versucht hat, von meinem PC aus eine Internetverbindung herzustellen. Diese haben sich kürzlich (am 8. oder 9. September) nach einem Scan mit AVP als Sub7 2.13 herausgestellt. Soweit die Zusammenfassung Deiner Angaben.
Nach eingehender Überprüfung dieser habe sich allerdings einige Ungereimtheiten ergeben:
AVP hat am 8.September zwar ein neues Update herausgebracht, aber Sub7 Version 2.13 steht nicht auf der Liste der erkannten Viren. Weiterhin gibst Du an, die Files seit einem halben Jahr auf einer Diskette zu haben. Der Homepage von Sub7 ist aber zu entnehmen, daß Sub7 Version 2.1 am 2. Juni released wurde. Wie kannst Du also seit etwa 6 Monaten im Besitz eines Trojaners sein, dessen Vorgängerversion erst seit rund 3 Monaten erhältlich ist???? Selbst wenn die Angaben auf der Homepage von Sub7 ungenau ist und Version 2.13 am 2. Juni erschienen ist (und nicht wie dort angegeben Version 2.1), liegen der vermeintliche Veröffentlichungszeitpunkt von Version 2.13 und der Zeitpunkt, seit dem Du nach Deinen Angaben über die Files verfügst, meiner Meinung nach zu weit auseinander, als das man sich über diesen Zeitraum täuschen könnte. Selbst wenn ich verständlicher Weise nicht mehr auf den Tag genau weiß, seit wann ich bestimmte Files habe, so weiß ich doch, ob ich sie seit 6 oder 3 Monaten habe.

Vielleicht kannst Du mir dafür ja eine schlüssige Erklärung liefern!

CU
papst

------------------
Software is like sex, it's best for free!

Hey
papst

Die file haben das Datum 12.04.00 Uhrzeit 07.23
Aus dem Internet geladen am 24.04.00 Uhrzeit 20.46
das sagt doch alles, niks dran gefeilt bin froh das Ich die von der Platte habe

mfg
Sky

Ps.: Schau in deine Mail

[Dieser Beitrag wurde von Skylainer am 11. September 2000 editiert.]

Hi,

@papst: kleiner Privatdetektiv was? Falls es Dir nicht komisch vorkommt, dass ich in Unterhose noch um 0:25 vor'm Rechner sitze, hier mal eine kleine Info über SubSeven und seine Variationen.
The Cleaner ist meines Erachtens onehin eines der besten (da sehr klein und schnell) Tools zum Schutz gegen Trojaner (wöchentlich 2-3 Updates, die auch mit gecrackten Versionen problemlos online möglich sind).

CU

@FerFemNemBem
Glaubst Du alles, was Dir jemand erzählt, den Du nicht kennst und dessen Vertrauenswürdigkeit Du nicht einschätzen kannst??? Wohl kaum. Bei allen konstruktiven Antworten wird hier im Board auch viel Scheiße verbreitet. (Damit will ich niemandem persönlich angreifen oder jemandem unterstellen, er würde bewußt falsche Angaben machen; insbesondere nicht Skylainer.) Ich denke mal es ist nichts ungewöhnliches, die erhaltenen Antworten auf ihren Wahrheitsgehalt, so weit dies möglich ist, zu überprüfen und nicht so naiv zu sein und alles ohne Überprüfung zu glauben. Gerade im Bereich Viren und Trojaner. Ich sage nur Hoax. Solltest Du das anders sehen, ist das Dein Problem. By the way ist es mir egal, wann Du halbnackt vor Deinem Rechner sitzt und was Du dabei so treibst.

@Skylainer
Es war nicht meine Absicht, Dir zu unterstellen, daß Du falsche Informationen verbreitest. Mein Posting sollte als Teil einer konstruktiven Diskussion verstanden werden, nicht als Unterstellung. Falls Du es anders aufgefasst hast, entschuldige ich mich dafür bei Dir. Ich habe lediglich versucht, Deine Infos auf Ihren Wahrheitgehalt hin zu überprüfen. Dabei haben sich, aufgrund einer Unvollständigkeit in meinen Informationsquellen, vermeintliche Ungereimtheiten in Deinen Ausführungen gezeigt. Diese sind jetzt allerdings durch den Inhalt Deiner Mail ausgeräumt.
Ich habe daraufhin AVP inklusive Update gesaugt und einen Scan durchgeführt. Das Ergebnis war zum Glück nagativ: AVP hat keinen Trojaner auf meiner Platte gefunden. Auch eine Suche nach den Files auf meiner HD ist erfolglos geblieben. Werde aber noch einige andere Tests durchführen, mal sehen, was das bringt. Sollten diese auch negativ ausfallen, wovon ich inzwischen ausgehe, bliebe immer noch die AOL-Theorie. Hälst Du die für völlig abwegig?

CU
papst

------------------
Software is like sex, it's best for free!

Hey
papst
Ist doch alles in Butter wir beide wissen es das es so ist und das reicht mir.

Wenn Ich mich über jeden mist aufregen würde hätte Ich schon einen Herzinfarkt das Leben ist schon Streß genug

Da komm mal in die Firma wo Ich Arbeite da hat sich eine Scheiße angestaut da ist das hier auf manchen Topics geradezu wie Urlaub

mfg
Sky

...schade, dass nur der erste Teil meiner Nachricht einen comment wert war...

egal

CU

[Dieser Beitrag wurde von FerFemNemBem am 12. September 2000 editiert.]

@FerFemNemBem
Der Wert des zweiten Teils Deiner Antwort wird sich gleich herausstellen. War heute Nachmittag unterwegs und daher nur kurz im Netz. Daher hab ich mir den Link bisher nicht anschauen können. Werde das jetzt nachholen und The Cleaner installieren. Vielleicht sieht der ja mehr als NAV und AVP.

CU
papst

------------------
Software is like sex, it's best for free!

Hey
Brauche mal Hilfe
Suche Progi MP3 to Exe
Habe hier eins das läst sich per du nicht Übereden mit mir zusammen zu Arbeiten
Also auf Deutsch nicht Umkupfern
Das ist und bleibt ein Demo version 2.6

mfg
Sky

@FerFemNemBem
Habe den Cleaner installiert und einen Scan durchgeführt. Wie erwartet hat er keinen Trojaner auf meiner HD gefunden. Scheint so, als würde irgendeine Anwendung, vielleicht AOL, vielleicht auch nicht, nach Hause telefonieren wollen. Jedenfalls ist The Cleaner eine Klasse Ergänzung zu meinem Virenscanner und der Firewall und wird weiterhin zum Einsatz kommen. Thanks

@Skylainer
Wenn ich Deine E-Mail Adresse hätte, könnte ich Dir einen Keymaker für MP3 to exe 2.6 schicken. Vielleicht kann ich auch noch irgendwie den Link herausbekommen.


Hier ist der Link. Einer der Keymaker/Cracks sollte funzen. http://astalavista.box.sk/cgi-bin/robot?srch=mp3+to+exe&submit=+search+&project=robot&gfx=robot


CU
papst
------------------
Software is like sex, it's best for free!

[Dieser Beitrag wurde von papst am 13. September 2000 editiert.]

Hi,

Hab mal'n bißchen mitgelesen,

@papst
Kann es sein, daß Du seit der Zeit auch ICQ2000 installiert hast?

Dann kuck mal unter --&gt;Preferences--&gt;Connections--&gt;Server

Dort steht login.icq.com Port: 5190

Dieser Port ist ein registrierter Port von America Online.

Meine FW hat den auch am Anfang abgefragt (mal als 5190, mal als aol...).
http://www.isi.edu/in-notes/iana/assignments/port-numbers


Fazit:
Ich hätte alle Deine Postings lesen sollen.
Die beiden IP's sind (nach prüfen mit tracert) beides Proxy-Server von America Online, die sicher mit der Installation von AOL in Dein System eingetragen wurden. Was sie natürlich genau über den Port aol-4 wollten, ist schleierhaft, da er auch nicht in o.g. Portliste auftaucht. Da steht nur was von aol-1 bis aol-3.

Vorschlag: 'ne Regel definieren, die das blockt und schauen, ob Dein System dadurch bockt (z.B. Authorisierungskram oder das Du rausfliegst etc.).

Es bewahrheitet sich immer wieder, zu Ende lesen ist besser.

Aber meine erste Theorie fand ich auch nicht schlecht, bis Du mit Deinen IP's kamst.

Ciao@all
BS


[Dieser Beitrag wurde von BioaSharky am 14. September 2000 editiert.]

@BioaSharky
Dake für Deine Antwort. In gewisser Weise stützt das ja meine Theorie.
Hatte vor zwei Minuten wieder einen Versuchten Zugriff auf das Internet. Diesmal hieß die Anwendung ￾švÂ￾švÂ. Ich gehe mal davon aus, das es die gleiche Anwendung war, die auch die drei Zugriffe zuvor versucht hat. Denn obwohl die Namen immer unterschiedlich sind, ist doch das System des Namens immer gleich; eine Zeichenfolge aus vier Zeichen, die einmal wiederholt wird. Ich Frage mich nur, weshalb meine Firewall nicht in der Lage ist, den richtigen Namen zu ermitteln. Inzwischen hab ich auch den Port von aol-4 herausgefunden: 11523. Die Remot-Adress war diesmal ie3.proxy.aol.com. So wie ich das sehe, will die Software von AOL Kontakt mit dem AOL-Server aufnehmen, um irgendwelche Infos zu übermitteln. Logisch wäre aus meiner Sicht, das die Software AOL mitteilen will, das ich sie benutze, ohne AOL-Mitglied zu sein. Oder hast Du (oder irgendjemand sonst) eine andere/bessere Erklärung für dieses Phänomen.

P.S: Habe natürlich sämtliche ungenutzten Ports blockiert, so daß eigentlich keine Anwendung aufs www zugreifen kann, ohne daß ich es erlaube. Für die bisherigen vier Versuche habe ich auch eine Regel definiert, die Zugriffe der Anwendung immer blockiert. Allerdings ändert die Anwendung ja vor jedem Versuch ihren Namen, so daß ich nur hoffen kann, daß die Firewall ihren Job gut erledigt. Durch das Blocken der unbekannten Anwendung sind keine Nachteile beim Surfen aufgetreten, weder wird mir der Zugang zum www verwährt, noch werde ich rausgeworfen. Also Alles so weit kein Problem. Es wäre nur toll, mit zumindest überwiegender Sicherheit zu wissen, welche Anwendung den Zugriff versucht. Denn obwohl meine Virenscanner nichts finden und das Verhanlten der Anwendung untypisch für einen Trojaner ist, macht man sich doch so seine Gedanken...
Wäre schön, noch einmal von Dir zu hören. Natürlich sind auch andere Meinungen willkommen.


So long
papst


------------------
Software is like sex, it's best for free!