kernll.386 greift aufs Internnet zu

mankra · 27.02.2001, 10:58

Hi
hab gerade von Norton Firewall die Meldung bekommen, das der Windowskernl KRNL386.exe per udp aufs Internet
zugreift, bzw. was wegschickt.
Mit einmaligen blockieren ging nichts, mußte es dauerhaft unterbinden.
Was will Windows da???
hab nun die Firewall schon ca. ein halbes Jahr laufen, ist aber das 1. mal.
OS ist Win98se
thx

Andre@s · 27.02.2001, 13:48

Hast du schon einen Trojaner-Check laufen lassen? Klingt eingentlich nicht normal.

valo · 27.02.2001, 14:05

das is definitiv nicht normal....lass mla mit aktuellen virensignaturen den virenscanner drüberlaufen, wenn der nix findet, verwend einen anderen und check nochmal

Oli · 27.02.2001, 14:28

Hast Du das automatische suchen nach Windows-Updates aktiviert?

(meines Wissens ein Acitve-X-Control, welches man laden kann, wenn man das Windows-Update via Internet einmal startet).

Obwohl, ich glaubs nicht ganz, daß dies der Verursacher ist, am besten wie obige Tipps Trojaner Check laufen lassen.

Ciao Oliver

mankra · 27.02.2001, 15:01

Zitat:

Oli hat geschrieben:
Hast Du das automatische suchen nach Windows-Updates aktiviert?

(meines Wissens ein Acitve-X-Control, welches man laden kann, wenn man das Windows-Update via Internet einmal startet).
Ciao Oliver

habs nicht selber aktiviert. Wo kann man da nachsehen?

thx für die anderen Tips, bin gerade dabei mal die sache zu checken.

Was ist übrigens ein abgehendes UDP Paket???
Es ging an 24.71.39.127 am Port 2769

Ein Tracing ergab: Irgendwo in Calgary verliert sich der Standord und die Domain ist:
Domain Name: HOME.COM
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
Name Server: NS2.HOME.NET
Name Server: NS1.HOME.NET
Updated Date: 21-dec-2000

Sagt das jemanden etwas

Neo · 27.02.2001, 16:31

Ich schätze einmal du wirst mit dem NAV nach Ungeziefer in deinem Rechner scannen.

Wenn du mit dem nichts findest (vielleicht ebenfalls verseucht? gibt's alles!) würd ich mal versuchen mit anderen die Platte zu durchsuchen.

Links zu Demo- Free- Test- und Liteversionen findest du auf
http://www.heise.de/ct/antivirus

Die Trace Infos würde ich nicht ernst nehmen, können eventuell nur Ablenkung sein.
home.com sieht ja nicht gerade nach Hackersite aus...

Werimaster · 27.02.2001, 17:04

Geh mal auf die Symantec Seite und mach einen Web check deiner FEstplatte mit der aktuellsten Viren signatur, musst aber von deinen Firewall zulassen

mankra · 27.02.2001, 17:08

Nun hab ich einen div. Test durchgeführt:
NAV nichts.
AntiVir hat bei Getright 4.3c in der Datei TSUninstaller.exe einen TR.TsadBot.Unins Bootvirus gefunden.
Ich hatte früher schon unerklärliche Bootsektorzugriffe.
Siehe meinen Thread: http://www.wcm.at/vb2/showthread.php...ght=bootsektor

Die sind aber weg, seit ich vor ca. 6 Wochen den Compi komplett neu aufgesetzt hab und neue Images mit Ghost anglegte.

Bis jetzt hatte ich noch keinen solchen Zugriff.

TrojanCheck fand keine Trojaner, alles bestens.

Antitrojan fand in der Registerie und beim Portscann auch nichts.
Beim Laufwerkscann dann folgendes:
Anti-Trojan Version 5.00.263
Trojaner-Suche Start der Suche: 27.02.01 15:55:32 - Ende der Suche: 27.02.01 15:55:32

Laufwerk Scan:

Anzahl gescannter Dateien: 0
Anzahl gefundene Trojaner-Dateien: 0

Trojaner gefunden: AOL Password Stealer
Trojaner gefunden: FTrojan Grave Server
Trojaner gefunden: AOL Password Stealer
Trojaner gefunden: FTrojan Grave Server
Trojaner gefunden: FTrojan Grave Server

Glückwunsch! Es wurden keine Trojans in Ihrem System entdeckt.

Die Registry Suche sucht nach bekannten Registrierungsschluesseln von Trojanern und entfernt diese dann.

Laufwerk Scan:

Folgende Trojaner-Dateien wurden gefunden:

Trojaner gefunden: AOL Password Stealer
Pfad: f:\Eigene Webs\funprg\blondi-strip.zip->blondi-strip.exe

Trojaner gefunden: FTrojan Grave Server
Pfad: f:\Eigene Webs\funprg\elchtest.zip->elchtest.exe

Trojaner gefunden: AOL Password Stealer
Pfad: f:\Fun\FunnyProgs\blondi-strip.exe

Trojaner gefunden: FTrojan Grave Server
Pfad: f:\Fun\FunnyProgs\elchtest.exe

Trojaner gefunden: FTrojan Grave Server
Pfad: f:\Fun\Witze\Spielchen\progs\elchtest.exe

Der Laufwerks Scan sucht auf den verschiedenen Datenträgern Ihrer Wahl oder in einem bestimmtem Verzeichnis nach Trojanern.

Anti-Trojan 5 Suchreport erstellt am: 27.02.01 16:52:22 © Copyright by Anti-Trojan Network

Einerseits Sys ist OK, andererseits doch Trojaner???
Hab diese Dateien seit min. 1 Jahr und seit ewigkeiten nicht mehr ausgeführt. Wie könnten die also aktiv werden?

Die Datei KRNL386.exe wurde lt. Explorer seit mai 99 nicht verändert.

Neo · 27.02.2001, 17:20

Also ich zweifle an diesem Security Check.

Ich habe Norton Internet Security 2001 installiert.

Wenn ich also den Check wie beschrieben durchlaufen lasse und ihm sozusagen an der Firewall durchlasse hab ich lt. SecurityCheck ein Sicherheitsproblem.

Wenn ich die NIS Sicherheitswarnung jedoch beachte und dem simulierten Angreifer keinen Eintritt gewähre bricht der Test ab.

Irgendwie sinnlos das ganze.

Das ist doch der Sinn einer Firewall, das sie bekannte Gefahren abwehrt und verdächtige Elemente erst nach Bestätigung passieren lässt...

Natürlich kommt der Check durch, wenn ich OK sage.

Allerdings hilft das unserem mankra sowieso eher nicht weiter. Da der Check ja nur testet ob Gefahr auf Befall besteht.
Und offenbar liegt ja schon ein Befall vor...

Werimaster · 27.02.2001, 18:13

Sorry aber ich meinte auch den Viren check und nicht den Firewall check

27.02.2001, 10:58	#1
mankra Schon länger dabei Registriert seit: 19.08.2000 Ort: Steiermark Alter: 51 Beiträge: 3.117 Mein Computer	Hi hab gerade von Norton Firewall die Meldung bekommen, das der Windowskernl KRNL386.exe per udp aufs Internet zugreift, bzw. was wegschickt. Mit einmaligen blockieren ging nichts, mußte es dauerhaft unterbinden. Was will Windows da??? hab nun die Firewall schon ca. ein halbes Jahr laufen, ist aber das 1. mal. OS ist Win98se thx ____________________________________ www.mankra.com Meine private Site

27.02.2001, 13:48	#2
Andre@s Elite Registriert seit: 05.09.2000 Alter: 58 Beiträge: 1.389	Hast du schon einen Trojaner-Check laufen lassen? Klingt eingentlich nicht normal. ____________________________________ lg. Wolfgang Irren ist menschlich - um die Lage wirklich ekelhaft zu machen, benötigt man schon einen Computer...

27.02.2001, 14:05	#3
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	das is definitiv nicht normal....lass mla mit aktuellen virensignaturen den virenscanner drüberlaufen, wenn der nix findet, verwend einen anderen und check nochmal ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

27.02.2001, 14:28	#4
Oli << Gayliebt >> Registriert seit: 27.06.2000 Ort: www.KRENGLBACH.at Alter: 60 Beiträge: 5.267 Mein Computer	Hast Du das automatische suchen nach Windows-Updates aktiviert? (meines Wissens ein Acitve-X-Control, welches man laden kann, wenn man das Windows-Update via Internet einmal startet). Obwohl, ich glaubs nicht ganz, daß dies der Verursacher ist, am besten wie obige Tipps Trojaner Check laufen lassen. Ciao Oliver ____________________________________ lg Oliver Andere News auf www.OLIKLA.com Unterwegs sein mit OLIKLA ON TOUR Diskutieren ohne Grenzen im DEBATTIERCLUB

27.02.2001, 16:31	#6
Neo Inventar Registriert seit: 12.12.1999 Beiträge: 3.662	Riecht nach Ärger! Ich schätze einmal du wirst mit dem NAV nach Ungeziefer in deinem Rechner scannen. Wenn du mit dem nichts findest (vielleicht ebenfalls verseucht? gibt's alles!) würd ich mal versuchen mit anderen die Platte zu durchsuchen. Links zu Demo- Free- Test- und Liteversionen findest du auf http://www.heise.de/ct/antivirus Die Trace Infos würde ich nicht ernst nehmen, können eventuell nur Ablenkung sein. home.com sieht ja nicht gerade nach Hackersite aus...

27.02.2001, 17:04	#7
Werimaster Hero Registriert seit: 27.11.2000 Beiträge: 814	Hilfe naht Geh mal auf die Symantec Seite und mach einen Web check deiner FEstplatte mit der aktuellsten Viren signatur, musst aber von deinen Firewall zulassen ____________________________________ mfg WeriMaster

27.02.2001, 17:08	#8
mankra Schon länger dabei Registriert seit: 19.08.2000 Ort: Steiermark Alter: 51 Beiträge: 3.117 Mein Computer	Nun hab ich einen div. Test durchgeführt: NAV nichts. AntiVir hat bei Getright 4.3c in der Datei TSUninstaller.exe einen TR.TsadBot.Unins Bootvirus gefunden. Ich hatte früher schon unerklärliche Bootsektorzugriffe. Siehe meinen Thread: http://www.wcm.at/vb2/showthread.php...ght=bootsektor Die sind aber weg, seit ich vor ca. 6 Wochen den Compi komplett neu aufgesetzt hab und neue Images mit Ghost anglegte. Bis jetzt hatte ich noch keinen solchen Zugriff. TrojanCheck fand keine Trojaner, alles bestens. Antitrojan fand in der Registerie und beim Portscann auch nichts. Beim Laufwerkscann dann folgendes: Anti-Trojan Version 5.00.263 Trojaner-Suche Start der Suche: 27.02.01 15:55:32 - Ende der Suche: 27.02.01 15:55:32 Laufwerk Scan: Anzahl gescannter Dateien: 0 Anzahl gefundene Trojaner-Dateien: 0 Trojaner gefunden: AOL Password Stealer Trojaner gefunden: FTrojan Grave Server Trojaner gefunden: AOL Password Stealer Trojaner gefunden: FTrojan Grave Server Trojaner gefunden: FTrojan Grave Server Glückwunsch! Es wurden keine Trojans in Ihrem System entdeckt. Die Registry Suche sucht nach bekannten Registrierungsschluesseln von Trojanern und entfernt diese dann. Laufwerk Scan: Folgende Trojaner-Dateien wurden gefunden: Trojaner gefunden: AOL Password Stealer Pfad: f:\Eigene Webs\funprg\blondi-strip.zip->blondi-strip.exe Trojaner gefunden: FTrojan Grave Server Pfad: f:\Eigene Webs\funprg\elchtest.zip->elchtest.exe Trojaner gefunden: AOL Password Stealer Pfad: f:\Fun\FunnyProgs\blondi-strip.exe Trojaner gefunden: FTrojan Grave Server Pfad: f:\Fun\FunnyProgs\elchtest.exe Trojaner gefunden: FTrojan Grave Server Pfad: f:\Fun\Witze\Spielchen\progs\elchtest.exe Der Laufwerks Scan sucht auf den verschiedenen Datenträgern Ihrer Wahl oder in einem bestimmtem Verzeichnis nach Trojanern. Anti-Trojan 5 Suchreport erstellt am: 27.02.01 16:52:22 © Copyright by Anti-Trojan Network Einerseits Sys ist OK, andererseits doch Trojaner??? Hab diese Dateien seit min. 1 Jahr und seit ewigkeiten nicht mehr ausgeführt. Wie könnten die also aktiv werden? Die Datei KRNL386.exe wurde lt. Explorer seit mai 99 nicht verändert. ____________________________________ www.mankra.com Meine private Site

27.02.2001, 17:20	#9
Neo Inventar Registriert seit: 12.12.1999 Beiträge: 3.662	Security Check Also ich zweifle an diesem Security Check. Ich habe Norton Internet Security 2001 installiert. Wenn ich also den Check wie beschrieben durchlaufen lasse und ihm sozusagen an der Firewall durchlasse hab ich lt. SecurityCheck ein Sicherheitsproblem. Wenn ich die NIS Sicherheitswarnung jedoch beachte und dem simulierten Angreifer keinen Eintritt gewähre bricht der Test ab. Irgendwie sinnlos das ganze. Das ist doch der Sinn einer Firewall, das sie bekannte Gefahren abwehrt und verdächtige Elemente erst nach Bestätigung passieren lässt... Natürlich kommt der Check durch, wenn ich OK sage. Allerdings hilft das unserem mankra sowieso eher nicht weiter. Da der Check ja nur testet ob Gefahr auf Befall besteht. Und offenbar liegt ja schon ein Befall vor...

27.02.2001, 18:13	#10
Werimaster Hero Registriert seit: 27.11.2000 Beiträge: 814	Den Viren check Sorry aber ich meinte auch den Viren check und nicht den Firewall check ____________________________________ mfg WeriMaster

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)