Malware ("Win32.XiaJian.bk") gefunden: Wo kommt der Mist her?
Im Unterforum Hardware, Betriebssysteme, Programmiersprachen - Beschreibung: Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht.
Elektronik- und Elektroforum Forum Index >>
Hardware, Betriebssysteme, Programmiersprachen
Hardware, Betriebssysteme, Programmiersprachen : Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht. |
| Autor |
|
Malware ("Win32.XiaJian.bk") gefunden: Wo kommt der Mist her? |
|
|
|
|
BID = 631648
bastler16
Schreibmaschine
Beiträge: 2140
Wohnort: Frankreich
|
|
Hallo zusammen,
kurz vorweg: Ich stehe aktuell (wg. Studium und diverser anderer Sachen, gehört nicht hier her) extrem "unter Dampf" und suche nur ein paar Infos von den Profis hier, bitte keine Grundsatzdiskussion. Nehmt mir diesen "Hinweis" bitte nicht übel. 
----
Ich hab vorhin Spybot geupdatet und bei der Gelegenheit mal laufen lassen.
Folgendes Tierchen wurde gefunden:
Zitat :
| --- Search result list ---
Win32.XiaJian.bk: [SBI $2DE917CD] Daten (Datei, nothing done)
C:\Dokumente und Einstellungen\[zensiert]\Lokale Einstellungen\Temp\etherXXXXa00660
Properties.size=1701459
Properties.md5=1E77C8831100FE691EC43A23FF652C30
Properties.filedate=1244193452
Properties.filedatetext=2009-06-05 11:17:32
|
  
Was mich interessiert: Was ist das genau? Gibt es eine Möglichkeit rauszufinden woher das kommt und was es tut? Wie gefährlich?
Normalerweise würde ich einfach alle Onlinepasswörter ändern und das System nochmal genauer (Hyjack usw) unter die Lupe nehmen, aber dafür fehlt mir einfach die Zeit und die Nerven.
Ich hab die Datei vor dem Beseitigen mit Spybot im Editor geöffnet, ein paar HTTP-Header+Logs (*) zu einem youtube-video und eine Menge Zeichensalat (das Video?), geht zwar keinen was an aber nicht wirklich geheim (der Klartext!, den Rest "verstehe" ich ja nicht...). Leider hat Spybot die Datei sofort gelöscht, hab keine Kopie davon.
(*) Ich meine etwa sowas:
GET watch?v=....
Host: youtube.com
Cookies: ...
(usw... Fachchinesisch)
Google gibt nichts her, außer dass das Ding wohl ein "trojan" (Trojaner) ist und es am 13. Mai 2009 in die Erkennungsliste aufgenommen wurde. Der PC zeigt(e) keinerlei Symptome (wäre mir aufgefallen), keine dubiosen Prozesse (ich mache regelmäßig ProcessExplorer und Taskmanager an und geh die Liste durch), ZoneAlarm ist aktiv und die Erlaubnisliste ist sauber (wird auch regelmäßig kontrolliert), TeaTimer und Avir hat niemals was gemeldet.
Das letzte verdächtige Programm was ich installiert hab ist "aoa audio extractor", Zeitpunkt könnte ungefähr(!) zu dem Datum im Log passen. Allerdings lade ich solche Sachen von chip.de oder anderen Seiten mit eigentlich guter Viecherkennung runter und prüfe vor der Installation nochmal mit Avir (ja, nicht gegen Malware).
Hab schlussendlich keine Ahnung wo das herkommen könnte, wüsste es aber natürlich gern.
Ich bekenne mich ja schuldig Spybot nicht regelmäßig genug zu updaten (warum geht das denn nicht automatisch???  ), der TeaTimer läuft aber immer, ich nutze nur den aktuellen FF, Java, Flash und Co. werden gefiltert (mit Ausnahmen z.b. youtube) und ich klicke nicht sonstewo.
Wie gesagt, ich habe verdammt wenig Zeit und Hinweise wie "man muss aufpassen" und "hättest du mal" bringen mich nicht weiter. Bitte nicht falsch verstehen!!!
Bonsoir...
[ Diese Nachricht wurde geändert von: bastler16 am 3 Sep 2009 18:57 ] |
|
BID = 631651
DonComi
Inventar
Beiträge: 8605
Wohnort: Amerika
|
|
Hallo Bastler:
"GET watch?v=.... "
GET was?
Das könnte man sich ja mal ansehen  .
Außerdem würde ich mal den Datensalat mit einem Hexeditor anschauen (nicht alles, Stichprobenartig).
Zudem würde ich mal in der History nachschauen, ob du diesen Link mal aufgerufen hast.
Ich würde weiterhin mal ein paar Stunden den Netzwerkverkher mitschneiden und danach mithilfe von Filtern analysieren. Weiterhin würde ich mal mit netstat gucken, was dort für Prozesse auf welchen Sockets lauschen, vielleicht ist was Auffälliges dabei (ein Trojaner der auf Anfragen von Außen wartet).
Es kann aber auch sein, dass er sich in einen laufenden Prozess kopiert hat, in diesem Fall neustarten und das Problem sollte behoben sein.
Auch mal überprüfen, ob Autostarteinträge eingerichtet wurden, die ominöse Programme starten (msconfig und regedit).
Ansonsten würde ich mir nicht allzuviel Sorgen machen.
_________________
|
|
BID = 631668
bastler16
Schreibmaschine
Beiträge: 2140
Wohnort: Frankreich
|
Moin Don,
Erstmal Danke.
Das Video ist irgendein Musikvideo, gut möglich, dass ich das mal angeklickt hab. Link hab ich nicht mehr, s.u., History hebt mein FF nicht auf (gewollt).
Zitat :
|
Außerdem würde ich mal den Datensalat mit einem Hexeditor anschauen (nicht alles, Stichprobenartig). |
Spybot hat die Datei automatisch nach Ende des Suchlaufes gelöscht! Scheinbar nutzen die einen Datenschredder, die Demo von Ontrack findet nix... Wenn du mit Hexeditor auf ausführbare Datei hinaus willst, würde mich wundern. Soviel Klartext am Anfang einer exe hätte ich noch nicht gesehen. Die Datei hat übrigens keine Endung, wie im Log angegeben.
Zitat :
| | Ich würde weiterhin mal ein paar Stunden den Netzwerkverkher mitschneiden und danach mithilfe von Filtern analysieren. |
Mitschneiden kein Problem (Wireshark ), für eine Analyse bin ich zu doof.  Viel mehr als GET-Anfragen isolieren und ein paar HTTP-Codes erkennen kann ich nicht.
Zitat :
| | Weiterhin würde ich mal mit netstat gucken, was dort für Prozesse auf welchen Sockets lauschen, vielleicht ist was Auffälliges dabei (ein Trojaner der auf Anfragen von Außen wartet). |
Da merke ich auch mal wieder, dass ich nur Laie bin.
Hier mal das Ergebnis von netstat mit den passenden Parametern für Details, vielleicht fällt dir ja etwas auf. yyyy ist ein Platzhalter für den PC-Name. Die Verbindung zu 62.146.66.190 (Klick=reverse-DNS) ist vom Antivirus, passt auch zur "Aussage" von ProcessExplorer.
| Code : |
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status PID
TCP yyyy:microsoft-ds yyyy:0 ABH™REN 4
[System]
TCP yyyy:netbios-ssn yyyy:0 ABH™REN 4
[System]
TCP yyyy:1871 62.146.66.190:http SYN_GESENDET 2176
[update.exe]
TCP yyyy:4847 localhost:4848 HERGESTELLT 3700
[firefox.exe]
TCP yyyy:4848 localhost:4847 HERGESTELLT 3700
[firefox.exe]
TCP yyyy:4849 localhost:4850 HERGESTELLT 3700
[firefox.exe]
TCP yyyy:4850 localhost:4849 HERGESTELLT 3700
[firefox.exe]
UDP yyyy:isakmp *:* 820
[lsass.exe]
UDP yyyy:2842 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:microsoft-ds *:* 4
[System]
UDP yyyy:1133 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:2843 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:1149 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:1041 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:2089 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:2088 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:1150 *:* 1264
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP yyyy:4500 *:* 820
[lsass.exe]
UDP yyyy:1900 *:* 1328
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP yyyy:netbios-ns *:* 4
[System]
UDP yyyy:1900 *:* 1328
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP yyyy:netbios-dgm *:* 4
[System]
|
|
Außer Firefox, Avir-Updater und "Generic Host Process for Win32 Services" (sys32\svchost.exe, geht irgendwie nicht ohne  ) ist im ZoneAlarm (geht immer noch...) alles gesperrt.
Zitat :
|
Auch mal überprüfen, ob Autostarteinträge eingerichtet wurden, die ominöse Programme starten (msconfig und regedit). |
Hatte Autoruns (von Sysinternals, mittlerweile MS ) vor ein paar Tagen erst offen um irgendeinen Multimedia-Mist von Powercinema abzuschalten (war ständig am abstürzen), alles sauber. Allerdings bin ich bei den Prozessen/DLLs/... nicht so der Experte.
[edit]
Bin eben nochmal die ganze Liste durchgegangen. Das meiste Zeug kommt von MS, der Rest scheint mir harmlos (Druckertreiber, Avir, ...). Wenn da ein Mistkäfer ist muss er schon etwas versteckt sein.
[/edit]
Wenn man das Datum aus dem Spybot-Log nimmt hab ich den Mist ja schon 2 Monate auf dem System...
Zitat :
| | Ansonsten würde ich mir nicht allzuviel Sorgen machen. |
Ja, bei Trojaner werde ich immer erstmal nervös... Onlinebanking z.B. ist ja schon recht sensibel und man hört immer soviel. Naja, ist wohl etwas(?) paranoid. 
edit tippsel...
[ Diese Nachricht wurde geändert von: bastler16 am 3 Sep 2009 20:18 ]
[ Diese Nachricht wurde geändert von: bastler16 am 3 Sep 2009 20:23 ]
|
BID = 631698
DonComi
Inventar
Beiträge: 8605
Wohnort: Amerika
|
Hallo Bastler,
Ne, ist schon richtig, da sensibel zu sein.
Der ausführbare Programmkode muss bei weitem nicht in Form einer "Exedatei" vorliegen. Er muss nur in den Speicher gelangen und ausgeführt werden, dass kann er als eigenständiges Programm machen (auffällig, da er dann unter lauschenden Sockets und im Prozessmanager auffindbar ist) oder aber, indem er sich an Systemprozesse (auch DLLs) anhängt. Von Außen ist es nicht sofort erkennbar, dass schadhafter Kode ausgeführt wird, der Prozessname bleibt ja.
Edit: Aber Scanner können diese Prozesse überprüfen und rausfinden, ob was im Argen liegt.
Soo, er ist aber ein Trojaner und somit auf das Internet angewiesen. Was genau seine Aufgabe auf deinem Rechner ist weiß ich nicht.
Er muss aber von außen zugänglich gemacht werden, sonst bringt er "demjenigen da draußen" nichts. Der muss v.a. an deine oft wechselnde IP kommen und dafür sorgen, dass der Trj. bei jedem Neustart geladen wird.
Daher würde ich mal abwarten, schauen, ob in Zeiten, wo eigentlich kein Datenaufkommen stattfinden dürfte, welcher stattfindet (LED an der NIC beobachten bzw. am Switch oder Router) und bei Verdacht in diesen Zeiten mitschneiden und z.B. ARP-Anfragen des Routers herausfiltern, die oft in Pausen gesendet werden.
Es muss eine unbekannte IP sein, die dann Anfragen sendet, die dann mal versuchen, zurückzuverfolgen (tracert/traceroute) oder abfragen, wo sie gehostet ist, auch mal whois versuchen . Dann merkt man schnell, obs harmlos ist oder ob da was faul ist.
Edit2: aber auch das ist unwahrscheinlich. Selbst wenn man deine IP hätte, der Router würde Anfragen (die gehen ja an ihn) blocken, wenn du nicht explizit Ports freigegeben hast.
Ich wäre an deiner Stelle ganz ruhig .
Achja, komische Emails mit externen Bilder oder ähnlich nicht öffnen.
_________________
[ Diese Nachricht wurde geändert von: DonComi am 3 Sep 2009 22:04 ]
[ Diese Nachricht wurde geändert von: DonComi am 3 Sep 2009 22:06 ]
|
BID = 631723
clembra
Inventar
Beiträge: 5404
Wohnort: Weeze / Niederrhein
|  
Jaja, man kriegt wirklich alles im Internet 
Im Temp-Ordner wird man den Mist aber meist recht leicht wieder los. Einfach alle möglichen Prozesse beenden, vor allem Browser. svchost hauptsächlich ist für Netzwerkverkehr und kann nicht beendet werden. Wenn man das doch versucht hilft Win+R und dann "shutdown -a".Die Prozesse (wenn denn mehrere) rundll32 starten ausführbare DLLs, also meistens Dienste, daher auch die gleichnamige Liste in der Computerverwaltung durchgehen. Anschließend können die Dateien einfach entfernt werden.
Auch möglich, wenngleich nicht so "schön": Wenn die infizierten Dateien gelöscht werden können, dies einfach tun.Wenn die Dateien weg sind und die HDD gerade einen ruhigen Moment hat, einfach den Stromstecker aus dem Rechner ziehen, nicht herunterfahren. Die einfachen Mistviecher wird man so wieder los.
In deinem Fall mache ich mir weniger Sorgen um das System. Das Pferdchen wird wohl in einem Youtube-Video erkannt worden sein; ich tippe sogar auf einen falschen Alarm.
Noch ein Tipp: Wenn du beim Online-Banking noch sicherer sein möchtest, lege dir ein neues Firefox-Profil nur dafür an.
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 631890
bastler16
Schreibmaschine
Beiträge: 2140
Wohnort: Frankreich
|
Hallo und Danke ihr Experten, 
Zitat :
|
Daher würde ich mal abwarten, schauen, ob in Zeiten, wo eigentlich kein Datenaufkommen stattfinden dürfte, welcher stattfindet (LED an der NIC beobachten bzw. am Switch oder Router) und bei Verdacht in diesen Zeiten mitschneiden und z.B. ARP-Anfragen des Routers herausfiltern, die oft in Pausen gesendet werden.
Es muss eine unbekannte IP sein, die dann Anfragen sendet, die dann mal versuchen, zurückzuverfolgen (tracert/traceroute) oder abfragen, wo sie gehostet ist, auch mal whois versuchen . Dann merkt man schnell, obs harmlos ist oder ob da was faul ist.
Edit2: aber auch das ist unwahrscheinlich. Selbst wenn man deine IP hätte, der Router würde Anfragen (die gehen ja an ihn) blocken, wenn du nicht explizit Ports freigegeben hast. |
Nun ja, ich habe nicht ein Hundertstel so viel Ahnung wie ihr.
Eben lief Wireshark ca. 20 Min lang, Internet war an aber ich habe den PC nicht benutzt.
282 Frames wurden gefangen, diverse Protokolle: IGMP, LLC, DHCP, PPP LCP, TCP und DNS.   
PPP und LLC habe ich erstmal rausgeworfen, die scheinen mir nur für die eigentliche Verbindung nötig zu sein. Dito für IGMP, ich sehe da kein Feld für Daten. DHCP hat als Ziel 255.255.255.255, meines Wissen keine normale IP -->weg damit.
Bleiben noch TCP und DNS. Und da wird es interessanter: Neben einer DNS-Anfrage und etwas "TCP-Gerede" mit diversen Servern von Avira finden sich folgende Zeilen (eigene IP durch 0000 ersetzt):
| Code : |
No. Time Source Destination Protocoll Info
51 269.551054 213.186.33.16 0000000000000 TCP http > mpshrsv [RST] Seq=1 Win=0 Len=0
55 270.924180 213.186.33.16 0000000000000 TCP http > prat [RST] Seq=1 Win=0 Len=0
56 270.928559 0000000000000 86.64.145.141 DNS Standard query PTR 16.33.186.213.in-addr.arpa
57 270.966077 86.64.145.141 0000000000000 DNS Standard query response PTR 720plan.ovh.net |
|
Keine Ahnung was 720plan.ovh.net genau sein soll, mein Werbefilter blockt ovh.net jedenfalls. Laut aboutus.org eine Firma im Norden Frankreichs die irgendwas mit Klickzählern/Stats/Internet usw. zu tun haben. Irgendwie kann ich das nicht interpretieren, hat sich da nur ein Paket verlaufen oder ist das in euren Augen schon "verdächtig"?
Im Anhang mal ein Screnshot von Wireshark, ich habe von dieser Thematik einfach überhaupt keine Ahnung.
Etwas später ein weiterer komischer(?) Frame, über die IP finde ich nichts:
| Code : |
135 463.326271 77.198.54.207 0000000000 TCP 19645 > microsoft-ds [SYN] Seq=0 Win=60352 Len=0 MSS=1460 WS=2 |
|
Könnt ihr zu diesem ganzen Datensalat etwas sagen?
Wenn ihr das als unverdächtig einstuft stelle ich noch zwei Fragen zu den Beiträgen (erstmal das hier, sonst gibts durcheinander ) und belasse es dann wohl dabei, Zeit ist knapp.
|
BID = 631940
clembra
Inventar
Beiträge: 5404
Wohnort: Weeze / Niederrhein
|
Wenn als deine IP im Wireshark eine öffentliche IP anzeigt ist das PPP bund LLC ungefährlich, eventuell sogar für störungsfreien Betrieb erforderlich. DHCP wird ebenfalls zu 95% benötigt, da der PC meistens darüber die IP bezieht. Ohne Router fällt dir das bei der nächsten Internet Anwahl auf, mit in spätestens einigen Tagen. ICMP ist ein Steuerprotokoll über das Signale wie ICMP echo request/reply (bekannt als Ping), redirect (für das Routing) oder "Mach langsamer" gehen und birgt auch eigentlich keine Gefahren. Wenn du die ICMP-Codes getrennt erlauben/verbieten kannst kann ich dir eine Liste von wichtigen und unwichtigen Codes dafür zusammenstellen. Jetzt gucke ich nochmal auf deinen Beitrag und sehe, dass du IGMP geschrieben hast. Dasist für Multicast ein Steuerprotokoll, absolut unbrauchbar für dich.
TCP ist neben UDP ein Protokoll auf OSI-Schicht 4, DHCP, DNS, ... liegen irgendqo bei 5-7.
Auf TCP basiert so ziemlich alles, was noch nicht genannt wurde: HTTP, FTP, SMTP, POP3, IMAP um die gebräuchlichsten im Internet zu nennen.
DNS übernimmt die Namensauflösung, z.B. forum.electronicwerkstatt.de in 85.13.128.160
Wie gesagt, unter TCP fällt viel, das kann man am Port unterscheiden: 80=http=gut, 139 oder 445=Microsoft-Netzwerk=böse
Noch Fragen?  
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 631946
DonComi
Inventar
Beiträge: 8605
Wohnort: Amerika
|
Hallo,
Das ist ungefährlich, aus keinen der (isolierten) Daten und Headern kann man eine potentielle "Gefahr" ersehen.
255.255.255.255 ist eine Broadcastadresse, das hatte Clembra vergessen .
In Hostnamen aufgelöst ist 86.64.145.141 ns2.rslv.n9uf.net, irgendein DNS-Server. Harmlos.
Versuch einfach, alles Gefundene reparieren zu lassen und gut ist.
_________________
|
BID = 631993
clembra
Inventar
Beiträge: 5404
Wohnort: Weeze / Niederrhein
|
Hab gerade nur 3", da übersieht man mal was.
Hier noch ein gutes Rundum-sorglos-Paket bzgl. Internet-Security Klick
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 632200
Draht
Stammposter
Beiträge: 263
Wohnort: Falkensee / Spandau City
| 
clembra schrob:
Zitat :
| | Hier noch ein gutes Rundum-sorglos-Paket bzgl. Internet-Security |
Netter Link.
Ihr mit Euren Sorglos-Paketen...
Man ist mit Windows *NIEMALS* sorglos !
Wer das einmal selbst gesehn hat, der landet hier: http://www.ubuntu.com
 
_________________
Erst wenn die letzte Glühlampe für immer erloschen ist,
werden wir wirklich sehen, was uns verboten wurde.
Dieser Beitrag ist ein Spitzenprodukt des Kombinat VEB Wortmüllproduktion Falkensee
[ Diese Nachricht wurde geändert von: Draht am 6 Sep 2009 16:11 ]
|
BID = 632207
DonComi
Inventar
Beiträge: 8605
Wohnort: Amerika
|
Offtopic :
|
Linux zu empfehlen ist immer der beste Tipp, den man geben kann, aber das konkrete Problem lösen tut dieser Vorschlag nicht.
Es muss übrigens nicht unbedingt ubuntu sein, gibt noch andere gute Distros .
|
_________________
|
BID = 632208
clembra
Inventar
Beiträge: 5404
Wohnort: Weeze / Niederrhein
|
Und wer mit dem Computer lieber arbeiten will statt nur bunt zu klicken geht nach Debian. Ich kenne die Alternative und viele andere auch, aber man muss auch akzeptieren, dass es einige gibt, die lieber beim Klicki-Bug-Windows bleiben wollen. Und denen ist eben nicht mehr zu helfen 
PS: DonComi war schneller 
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 632257
bastler16
Schreibmaschine
Beiträge: 2140
Wohnort: Frankreich
|
Moin ,
danke für die guten Nachrichten, damit sollte das Thema Spionagetierchen erstmal abgehakt sein.
Zitat :
| | Wenn du die ICMP-Codes getrennt erlauben/verbieten kannst kann ich dir eine Liste von wichtigen und unwichtigen Codes dafür zusammenstellen. |
Lass mal gut sein, das geht in Zone Alarm vermutlich nicht. Da der immer noch läuft hab ich bis jetzt nix anderes installiert. Trotzdem Danke für das Angebot, vielleicht komme ich nochmal drauf zurück.
Aber natürlich
(Nehmt mir die Nummerierung nicht übel, macht die Sache einfach einfacher.)
Frage 1:
Zitat :
|
Das Pferdchen wird wohl in einem Youtube-Video erkannt worden sein
|
Das verstehe ich nicht... Enthalten YT-Videos neuerdings Malware?
Frage 2:
Zitat :
|
Noch ein Tipp: Wenn du beim Online-Banking noch sicherer sein möchtest, lege dir ein neues Firefox-Profil nur dafür an.
|
Warum ist das sicherer?
Frage 3:
Zitat :
| | Wie gesagt, unter TCP fällt viel, das kann man am Port unterscheiden: 80=http=gut, 139 oder 445=Microsoft-Netzwerk=böse |
Warum sind 139 und 445 böse, was machen die genau?
De façon générale, warum zeigt mir netstat (s.o.) eigentlich so einen Haufen Verbindungen/Verbindungsversuche an? Ich dachte immer 80 für HTTP und gut ist...
Frage 4:
Zitat :
| | In Hostnamen aufgelöst ist 86.64.145.141 ns2.rslv.n9uf.net, irgendein DNS-Server. Harmlos. |
Ja, die IP ist harmlos, das hatte ich geprüft. Aber warum sendet mein PC eine (reverse-)DNS-Abfrage wo ich das Internet gar nicht nutze?
Offtopic :
|
Zitat :
| | Hab gerade nur 3", da übersieht man mal was. |
Ein Monitor mit 3 Zoll oder verstehe ich da mal wieder etwas nicht? |
@Pinguin:
Zitat :
| | Ich kenne die Alternative und viele andere auch, aber man muss auch akzeptieren, dass es einige gibt, die lieber beim Klicki-Bug-Windows bleiben wollen. |
 
Ich habe einfach keine Zeit um mich mit Linux auseinanderzusetzen, außerdem habe ich nur einen PC und den brauche ich, da ist nix mit Basteln. 
Irgendwann kehre ich MS auch noch den Rücken, wenn ich Zeit habe.
Dazu passend von klick:
Zitat :
| | Und Bill Gates sprach: "Lass' uns doch mal einen grafischen Virus programmieren..." |
Auf der Seite sind einige gute Sprüche zu finden.
Erstmal Danke für die (wie immer) gute Beratung und einen guten Start in die neue Woche.
|
BID = 632269
clembra
Inventar
Beiträge: 5404
Wohnort: Weeze / Niederrhein
|
Gut, fangen wir mal oben an (dann isses einfacher )
Das mit den ICMP-Codes kannst du wohl auch vergessen, ich hatte mich, wie schon geschrieben, verlesen. IGMP wird ja nicht gebraucht.
Zitat :
bastler16 hat am 6 Sep 2009 19:08 geschrieben :
|
Das verstehe ich nicht... Enthalten YT-Videos neuerdings Malware?
|
Kann sein, dass der Virenprüfer bei YT, der hoffentlich vorhanden ist, noch nicht aktuell war, als das Video hochgeladen uwrde. Es kann aber auch sein, dass es nur eine Zeichenfolge im FLV war, die zufälligerweise mit der Virensignatur deines Scanners übereinstimmt.
Zitat :
bastler16 hat am 6 Sep 2009 19:08 geschrieben :
|
Warum ist das sicherer?
|
Das getrennte Profil hat (im allgemeinen) auch einen getrennten Cache. Erweiterungen, die man sich bequem im normalen Profil einrichtet und evtl. Sicherheitslücken habe, sind da nicht mit drin. Selbiges gilt auch für andere Komfortmerkmale wie Passwort speichern.
Zitat :
bastler16 hat am 6 Sep 2009 19:08 geschrieben :
|
Warum sind 139 und 445 böse, was machen die genau?
De façon générale, warum zeigt mir netstat (s.o.) eigentlich so einen Haufen Verbindungen/Verbindungsversuche an? Ich dachte immer 80 für HTTP und gut ist...
|
139 ist die Hauptverbindung für Netbios, also Windows-Freigaben. Darüber läuft auch die Druckerfreigabe, Nachrichtendienst und der ganze andere Quatsch von M$. 445 ist für die Authorisierung, wird eigentlich nur in großen Netzwerken mit Domänencontroller gebraucht, und enthält noch mehr Sicherheitslücken.
Warum es so viele Verbindungen in lokalen Netzwerken nach Port 80 gibt kann ich auch nicht sagen. Evtl. sucht Windows da einen Webserver, damit direkt der Internet Explorer geöffnet werden kann "Guck mal, ne Website. Toll oder?"
Zitat :
bastler16 hat am 6 Sep 2009 19:08 geschrieben :
|
Aber warum sendet mein PC eine (reverse-)DNS-Abfrage wo ich das Internet gar nicht nutze?
|
Füge beim netstat das nächste Mal die Option -o mit hinzu. Dann wird auch die ID des Prozesses angzeigt, der die Verbindung geöffnet hat bzw. auf dem Port lauscht. Den passenden Prozess dazu kann man im Taskmanager (Spalte PID einblenden) sehen oder im Process Explorer von Sysinternals.com (und anderen Tools)
Offtopic :
|
Zitat :
bastler16 hat am 6 Sep 2009 19:08 geschrieben :
|
Ein Monitor mit 3 Zoll oder verstehe ich da mal wieder etwas nicht? |
Jup, Mainboard oder CPU ist abgeraucht, da muss erstmal was Neues her. Bis dahin habe ich nur einen lahmen Ersatz-PC oder, wie in diesem Fall, mein HTC Touch Pro, und das hat leider nur 2,8" bei VGA-Auflösung
|
Bzgl. Linux: Da nimmt man dich schon "in Schutz" und kriegt trotzdem einen auf'n Deckel. Immerhin haben wir ein Maskotchen, kann man von der blöden Fahne nicht sagen.
Und der Umstieg Windows->Linux ist ziemlich leicht, sofern man nicht mit z.B. Gentoo anfängt, Debian oder (noch leichter/bunter) Ubuntu eignen sich da ziemlich gut. Ein Problem ist meistens der Umstieg von den bekannten Programmen auf die Open-Source Alternativen. Aber selbst das ist in Zeiten von Firefox, OpenOffice, oder Gimp kein größeres Problem
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 632294
bastler16
Schreibmaschine
Beiträge: 2140
Wohnort: Frankreich
|
Zitat :
|
Bzgl. Linux: Da nimmt man dich schon "in Schutz" und kriegt trotzdem einen auf'n Deckel. Immerhin haben wir ein Maskotchen, kann man von der blöden Fahne nicht sagen.
|
Au au au, das ist ein Missverständnis!!! Mein Kommentar mit dem " "-Smilie war nicht ernst gemeint, du hast wohl den " " nicht gesehen (2,8''...).
Ich weiss schon das Linux besser ist und benutze trotzdem noch XP, da lasse ich mich auch gerne kritisieren.
[ Diese Nachricht wurde geändert von: bastler16 am 6 Sep 2009 20:31 ]
|
|
Zum Ersatzteileshop
Bezeichnungen von Produkten, Abbildungen und Logos , die in diesem Forum oder im Shop verwendet werden, sind Eigentum des entsprechenden Herstellers oder Besitzers. Diese dienen lediglich zur Identifikation!
Impressum
Datenschutz
Copyright © Baldur Brock Fernsehtechnik und Versand Ersatzteile in Heilbronn Deutschland
gerechnet auf die letzten 30 Tage haben wir 13 Beiträge im Durchschnitt pro Tag heute wurden bisher 1 Beiträge verfasst
© x sparkkelsputz Besucher : 181736900 Heute : 2737 Gestern : 9205 Online : 810 27.7.2024 10:32
4 Besucher in den letzten 60 Sekunden alle 15.00 Sekunden ein neuer Besucher ---- logout ----viewtopic ---- logout ----
|
xcvb
ycvb
0.576029777527
|
