Hi
hab gerade von Norton Firewall die Meldung bekommen, das der Windowskernl KRNL386.exe per udp aufs Internet
zugreift, bzw. was wegschickt.
Mit einmaligen blockieren ging nichts, mußte es dauerhaft unterbinden.
Was will Windows da???
hab nun die Firewall schon ca. ein halbes Jahr laufen, ist aber das 1. mal.
OS ist Win98se
thx

Hast du schon einen Trojaner-Check laufen lassen? Klingt eingentlich nicht normal.

das is definitiv nicht normal....lass mla mit aktuellen virensignaturen den virenscanner drüberlaufen, wenn der nix findet, verwend einen anderen und check nochmal

Hast Du das automatische suchen nach Windows-Updates aktiviert?

(meines Wissens ein Acitve-X-Control, welches man laden kann, wenn man das Windows-Update via Internet einmal startet).

Obwohl, ich glaubs nicht ganz, daß dies der Verursacher ist, am besten wie obige Tipps Trojaner Check laufen lassen.

Ciao Oliver

habs nicht selber aktiviert. Wo kann man da nachsehen?

thx für die anderen Tips, bin gerade dabei mal die sache zu checken.

Was ist übrigens ein abgehendes UDP Paket???
Es ging an 24.71.39.127 am Port 2769

Ein Tracing ergab: Irgendwo in Calgary verliert sich der Standord und die Domain ist:
Domain Name: HOME.COM
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
Name Server: NS2.HOME.NET
Name Server: NS1.HOME.NET
Updated Date: 21-dec-2000

Sagt das jemanden etwas

Riecht nach Ärger!
 

Ich schätze einmal du wirst mit dem NAV nach Ungeziefer in deinem Rechner scannen.

Wenn du mit dem nichts findest (vielleicht ebenfalls verseucht? gibt's alles!) würd ich mal versuchen mit anderen die Platte zu durchsuchen.

Links zu Demo- Free- Test- und Liteversionen findest du auf
http://www.heise.de/ct/antivirus

Die Trace Infos würde ich nicht ernst nehmen, können eventuell nur Ablenkung sein.
home.com sieht ja nicht gerade nach Hackersite aus...

Hilfe naht
 

Geh mal auf die Symantec Seite und mach einen Web check deiner FEstplatte mit der aktuellsten Viren signatur, musst aber von deinen Firewall zulassen :)

Nun hab ich einen div. Test durchgeführt:
NAV nichts.
AntiVir hat bei Getright 4.3c in der Datei TSUninstaller.exe einen TR.TsadBot.Unins Bootvirus gefunden.
Ich hatte früher schon unerklärliche Bootsektorzugriffe.
Siehe meinen Thread: http://www.wcm.at/vb2/showthread.php...ght=bootsektor

Die sind aber weg, seit ich vor ca. 6 Wochen den Compi komplett neu aufgesetzt hab und neue Images mit Ghost anglegte.

Bis jetzt hatte ich noch keinen solchen Zugriff.

TrojanCheck fand keine Trojaner, alles bestens.

Antitrojan fand in der Registerie und beim Portscann auch nichts.
Beim Laufwerkscann dann folgendes:
Anti-Trojan Version 5.00.263
Trojaner-Suche Start der Suche: 27.02.01 15:55:32 - Ende der Suche: 27.02.01 15:55:32

Laufwerk Scan:

Anzahl gescannter Dateien: 0
Anzahl gefundene Trojaner-Dateien: 0

Trojaner gefunden: AOL Password Stealer
Trojaner gefunden: FTrojan Grave Server
Trojaner gefunden: AOL Password Stealer
Trojaner gefunden: FTrojan Grave Server
Trojaner gefunden: FTrojan Grave Server

Glückwunsch! Es wurden keine Trojans in Ihrem System entdeckt.


Die Registry Suche sucht nach bekannten Registrierungsschluesseln von Trojanern und entfernt diese dann.


Laufwerk Scan:

Folgende Trojaner-Dateien wurden gefunden:

Trojaner gefunden: AOL Password Stealer
Pfad: f:\Eigene Webs\funprg\blondi-strip.zip->blondi-strip.exe

Trojaner gefunden: FTrojan Grave Server
Pfad: f:\Eigene Webs\funprg\elchtest.zip->elchtest.exe

Trojaner gefunden: AOL Password Stealer
Pfad: f:\Fun\FunnyProgs\blondi-strip.exe

Trojaner gefunden: FTrojan Grave Server
Pfad: f:\Fun\FunnyProgs\elchtest.exe

Trojaner gefunden: FTrojan Grave Server
Pfad: f:\Fun\Witze\Spielchen\progs\elchtest.exe

Der Laufwerks Scan sucht auf den verschiedenen Datenträgern Ihrer Wahl oder in einem bestimmtem Verzeichnis nach Trojanern.

Anti-Trojan 5 Suchreport erstellt am: 27.02.01 16:52:22 © Copyright by Anti-Trojan Network

Einerseits Sys ist OK, andererseits doch Trojaner???
Hab diese Dateien seit min. 1 Jahr und seit ewigkeiten nicht mehr ausgeführt. Wie könnten die also aktiv werden?

Die Datei KRNL386.exe wurde lt. Explorer seit mai 99 nicht verändert.

Security Check
 

Also ich zweifle an diesem Security Check.

Ich habe Norton Internet Security 2001 installiert.

Wenn ich also den Check wie beschrieben durchlaufen lasse und ihm sozusagen an der Firewall durchlasse hab ich lt. SecurityCheck ein Sicherheitsproblem.

Wenn ich die NIS Sicherheitswarnung jedoch beachte und dem simulierten Angreifer keinen Eintritt gewähre bricht der Test ab.

Irgendwie sinnlos das ganze.

Das ist doch der Sinn einer Firewall, das sie bekannte Gefahren abwehrt und verdächtige Elemente erst nach Bestätigung passieren lässt...

Natürlich kommt der Check durch, wenn ich OK sage.


Allerdings hilft das unserem mankra sowieso eher nicht weiter. Da der Check ja nur testet ob Gefahr auf Befall besteht.
Und offenbar liegt ja schon ein Befall vor...

Den Viren check
 

Sorry aber ich meinte auch den Viren check und nicht den Firewall check :)