"Autor" |
Hackerangriff |
|
geschrieben am: 09.06.2002 um 14:27 Uhr
|
|
Kann mir jemand sagen, was es bedeutet, wenn in MSDOS
bei netstat -n
ich die Meldung bekomme:
Zustand:
Established
Time_wait
SYN_DAT
????
Und vor allem, wie ich SYN_DAT den Saft entziehe?
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 09.06.2002 um 22:06 Uhr
|
|
Established....Eine Verbindung zu nem anderen Rechner besteht.
Time_wait.....In der Verbindung werden keine Daten mehr gesendet.
..................Wird aber noch gehalten, falls noch was kommt.
..................Diese Zeit bis zum ganz Ausschalten kann man auch einstellen.
SYN_DAT......????
..................Könnte mir vorstellen, dass ne Verbindung gerade aufgebaut wird.
R. Geändert am 09.06.2002 um 22:08 Uhr von MondesNacht Geändert am 09.06.2002 um 22:08 Uhr von MondesNacht Geändert am 09.06.2002 um 22:09 Uhr von MondesNacht |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 09.06.2002 um 22:30 Uhr
|
|
[i]über SYN_DAT habe ich nur das gefunden:
Specifies the input file name tag. The default is syn_dat, but it can be modified to any value in the filename convention file. A full name convention can be specified as well.
hab's übersetzen lassen :(weiß nicht ob's sinngemäß ist)
Spezifiziert den Eingangsdateinameumbau. Die Rückstellung ist syn_dat , aber sie kann zu jedem möglichem Wert in der Dateinameversammlungakte geändert werden. Eine Versammlung des vollen Namens kann außerdem spezifiziert werden. |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 09.06.2002 um 23:10 Uhr
|
|
Übrigens: "netstat -a" (anstatt "netstat -n") gibt die ip-adressen als hostnamen aufgelöst, soweit möglich. dann steht da z.B. "chatfun.de" anstatt "212.227.192.24". dann sollte hoffentlich klarer sein, wohin die verbindungen gehen.
Die Beschreibung für SYN_DAT, die alina gefunden hat, ist wohl Teil einer Programmiersprache, also also wohl nicht wirklich für dein Problem zu gebrauchen. Geändert am 09.06.2002 um 23:13 Uhr von MondesNacht |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 10.06.2002 um 08:07 Uhr
|
|
[i] ups,naja dachte könnte hilfreich sein |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 10.06.2002 um 08:36 Uhr
|
|
huhuhu zabia
Süsse ist ja richtig Stress hier
ax habe den anderen Beitrag gelesen wenn du die Ip des servers hast dann Finde raus wehm er gehärt Otelo,Arcor,Telekom usw das geht mit NeoTrace ganz Gut und bekommst auch gleich den Standort den Servers und wenn du Glück hast under Geosat ist über Deutschland Sogar schöne Fotos des Standortes mit Strasse usw.
Daher besorge es dir mal und was der Sicherheit entspricht its die Norton Firewall nicht die besste würde dir ne raten diese Firewalls iimmer zusammen laufen zu lassen 1 ESafe Desktop Firewall (Im Menu eintellung für Hacker Words, 2 Norton Firewall (Maximale Sicherheit), 3 ZoneAlarm (Maximale Sicherheit ist etwas nervend der Meldungen wegen),
4 BlackIce (Maximale Sicherheit), 5 MacAffe Firewall oder wie das Ding heist (Maximale Sicherheit) und folgende ports über wachen 21 FTP,3360 Mysql in Jedem Win ist der offen.
Das war es erstmal was ich dazu sagen kann.
Mfg Doggy
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 10.06.2002 um 20:39 Uhr
|
|
Nicht SYN_DAT sondern SYN_SENT!
Sorry, aber ich bin solche Datenklaus nicht gewöhnt.
Ich fahre WinNT, da will Norton 1000.- $ für die SIcherheit!
Ich hab was gefunden in der Registry.
In Classes Root gibts einen Eintrag, der mit $$$ beginnt. AUto_file steht auch dabei. Dann kommt man in viele Ordner, bis zum Schluß command.
Dort verweist er auf die Notepad.exe und Zahl und %. Kann grad ne thin, weil ich die Registry kopiere.
Ich vermute, da hat er mir ein Kuckucksei gelegt.
Mein Rechner stellt nämlich neuerdings immer meine Festplatten frei. Nach jedem Start.
Momentan bin ich clean.
Ich vermute deshalb, weil ich meinen Provider verständigt hatte. Und der mithorchte. Wenn die Provider alle als letzte bestimmte Nummern benutzen, dann hat er wahrscheinlich gemerkt, daß es 13 geschlagen hat.
Nebenbei. Heut hab ich Anzeige erstattet, obwohl die armen Polizisten gar nicht wissen, was verbrochen wurde.
netstat -r gibt auch interessantes. Dann bekomm ich auch z.B. www.winfiles.com
netstat -s sagt mir, daß Daten im Hundertbytebereich downgeloadet wurden, und im Hunderttausenderbytebereich upgeloadet. Er meldet dann sogar wieviele Dateien, Versuche, und sonst noch alles mögliche.
Ich hab gerade Interessantes in der Registry gefunden. Controlsets, autofile.
Da soll sich die Kripo drum kümmern.
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 11.06.2002 um 01:01 Uhr
|
|
Das unter HKEY_Classes_Root sind die Einträge für die Dateiendung.
datei.$$$ wird jetzt immer mit Notepad, also dem Editor geöffnet. Und das %1 ist der Parameter. %1 bedeutet die aktuelle Datei. Also wird bei einem Klick auf datei.$$$ diese als Parameter an Notepad übergeben. |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 12.06.2002 um 03:30 Uhr
|
|
Das müsste es sein (kopiert):
W32/YAWsetup
Dieser Wurm erreicht als eine gefälschte Newsletterausgabe von www.trojaner-info.de und hat folgendes Aussehen:
Absender: [email protected]
Betreff: Trojaner-Info Newsletter 19.02.2002
Inhalt:
Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
1. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter [email protected] zur Verfügung. Viel Spaß mit YAW!
<Link
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert
<Link
************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.
************************************
Dateianhang: yawsetup.exe
Nachdem der Dateianhang ausgeführt wurde kopiert sich der Wurm unter einem zufällig gewählten Dateinamen nach in das Windows Verzeichnis. Damit der Wurm bei jedem Systemstart geladen wird erstellt er auch folgenden Eintrag in der Registry:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce]
"<Zufallsname>"=""C:WINDOWS<Zufallsname>""
Außerdem benennt der Wurm die Datei Notepad.exe welche im Windows Verzeichnis zu finden ist in Notedpad.exe um. Anschließend ersetzt es die Notepad.exe durch eine Kopie seiner selbst.
Der Wurm fängt nun an, die Festplatte nach Dateien mit folgenden Erweiterungen abzusuchen: *.htm; *.php; *.cgi; *.pl; *.shtm. Aus diesen Dateien entnimmt er Emailadressen.
Danach verschickt sich der Wurm an alle gefundenen Adressen und zusätzlich an alle Einträge im Microsoft Outlook Adressbuch.
Weiter Infos finden Sie direkt auf der Webseite von www.trojaner-info.de
Ende des Kopierten.
Fazit: Du müsstest das Ding noch auf dem System haben. Entferne ihm aber sei vorsichtig, da das System alle Exen momentan über den Trojaner startet, kannst du ihn nicht entfernen, ohne das vorher in der Registry zu ändern, sonst starten keine Exen mehr.
W. |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 12.06.2002 um 12:02 Uhr
|
|
Aber das was Zabia beschrieben hat, muss nicht zwangsweise dieser Virus sein.
Aber wie auch immer: Viel Erfolg beim Entviren. |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 15.06.2002 um 08:49 Uhr
|
|
Danke für Unterstützung.
Hab plattgemacht und neues Betriebssystem draufgemacht.
Bin noch beim Aktualisieren des Systems.
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 15.06.2002 um 12:03 Uhr
|
|
(zitat)Danke für Unterstützung.
Hab plattgemacht und neues Betriebssystem draufgemacht.
Bin noch beim Aktualisieren des Systems.
(/zitat)
huhuhu Zabi
lass den Kopf net hängen ich hab auch öfters jemanden der es schaft mal ne wall zu überlisten aber mann kann die Bugs beheben in dem man sich die logs ansieht und schwups ist der bug weg bzw Port oder anderes.
Mfg Doggy |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 15.06.2002 um 23:22 Uhr
|
|
Huhuu Doggy!
Anscheinend bin ich zu doof die Ports zu schliessen.
Aber ich hab was anderes drauf, da seh ich, wer ncoh dranhängt. |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 18.06.2002 um 10:38 Uhr
|
|
aus deiner steckdose du sackgesicht!!!!!!!!! |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 25.06.2002 um 00:24 Uhr
|
|
Tja_
kann mir wer sagen, was "ephemer" ist?
Und wie ich das stoppen kann?
Ich vermute, da laufen Programme im Hintergrund. Und die aktualisieren sich über
127.0.0.0
Ich hab Win2000. Aber er macht das sicher bei WinNt auch.
Ich blockierre services.exe über die Firewall. Die mführt das aber trotzdem aus. Ich blockiere die 2x, die führt das 2x aus.
Dafür hat die firewall immer 2 Ausnahmefehler. Und tut was sie will. Blockiert mich, wie sie will, und lässt den tun, was er will.
Weiß da jemand Rat?
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 25.06.2002 um 00:33 Uhr
|
|
. Geändert am 25.06.2002 um 00:34 Uhr von flyover |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 25.06.2002 um 07:40 Uhr
|
|
1. Services.exe gehört zu Windows. Es handelt sich um den Service Controller (steuert die Dienste). Der ist für alles mögliche zuständig ... Eine normale Firewall lässt natürlich Zugriffe der Services.exe über Localhost (also dein eigener Rechner) zu. Ganz natürlich greift diese Exe auf den Rechner zu ... dazu ist sie da.
2. 127.0.0.0 ist das Loopback-Netzwerk und gehört auch zu dir. Nennt sich auch Localhost. Gehört auch zu Win (und auch zu jedem anderen Betriebssystem mit TCP/IP).
3. Ephemer bedeutet: 1. kurzlebig, flüchtig, rasch vorübergehend, vergänglich 2. (biol.) nur einen Tag dauernd, eintägig. Irgendwas kurzes also.
Ein Virus/Trojaner mit diesem Namen ist mir nicht bekannt. Ist auch eigentlich nur ein Eigenschaftswort.
Also ... keine Paranoia bitte! Es ist nichts ungewöhnliches, gefährliches in deiner Beschreibung ... bis auf ie Frage, wie du auf das Wort "ephemer" gekommen bist.
W.
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 25.06.2002 um 19:19 Uhr
|
|
Die service.exe macht Datenverkehr, zeigt die Firewall an. Obwohl ich diese exe blockiert hatte.
Ich denke, z.B. wenn meine Emails abgefragt werden, dann arbeitet die.
Nun ist es ja so, daß McAfee zeigt, die ist blockiert. Trotzdem sendet die.
Ich bin verzweifelt auf der Suche, wie und warum und wann "der" unbekannte auf meinen Rechner zugreift. Sicher ist, er/sie tuts. Trotz neuinstallierter Firewall, die nur Ausnahmefehler zeigt.
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 25.06.2002 um 19:28 Uhr
|
|
Eigenartigerweise sagt mir die Systemsteuerung. daß ich Firewall und Virenscanner nur selten verwende, letztes Mal, vor 3 Tagen. Obwohl ichs permanent glaube laufen zu haben. Jedenfalls sagt mir die Taskleiste das. |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 08.09.2002 um 12:27 Uhr
|
|
Späte Antwort, aber ich hab den Beitrag gerade zufällig gefunden.
Wahrscheinlich ist das das Konfigurationstool, dass du selten benutzt.
Da sind doch bestimmt einige .exe-Dateien in dem Firewall-Verzeichnis vorhanden. Denke mir, dass Windows eine davon überwacht.
Sie wird sicherlich laufen |
|
|
|
|
Top
|