ungeschützter Datenverkehr

Dieses Thema im Forum "Sicherheit" wurde erstellt von John Beton, 22. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    BS: W2k

    Hi,

    Hab grad ein unerklärliches Ereignis der dritten Art gehabt:

    Mein Netscape 7.02 (Java aus, Javascript ein) unterhält sich mit ???? weiss nicht wem.

    Jedenfalls hat er in 2 Std. je 12 MB upgeloadet und downgeloadet. Aufgefallen ist mir das durch das permanente leuchten des Netzwerksymbols im Systray.

    Letzte Aktion, bevor mir das aufgefallen ist, war: einen Fax to Mail Anhang (also die angehängte TIF-Datei) zu öffnen. Provider: 1und1

    Mein ?Antivir? war ständig aktiv, ohne Virenwarnung.

    Danach hab ich eine ?Antivir? Virenprüfung durchgeführt, ebenfalls ohne Befund.

    Zur Sicherheit hab ich noch einen ?Symantec? Online-Virencheck gemacht; auch ohne Befund.

    Nach einem Neustart des Systems war wieder alles im "grünen Bereich" d.h. im "Ruhezustand" nur noch sehr geringer Datenaustausch zwischen meiner Kiste und dem I-Net.

    Ja was war da los ?????

    Danke

    JB
     
  2. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Sorry - da war mir wohl der Oberlehrer durchgegangen - die wissen auch alles und fragen trotzdem.:aua:
     
  3. Gast

    Gast Guest

    Du solltest schreiben, was du meinst und nicht andere raten lassen. Im Übrigen: Wenn du das meintest und daher wusstest, was die Datei bzw. der Dienst tut, wieso fragst du dann?
     
  4. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Na das meinte ich doch- wenn es noch das OHRIGINOAL ist.
     
  5. Gast

    Gast Guest

    Na da meldet sich der Richtige...
    Wenn es noch die Originaldatei ist, dann
    Anmeldedienst / Netlogon / PolicyAgent
    http://www.reger24.de/prozesse/LSASS.EXE.php
     
  6. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Noch was vergessen, war mir bis gerade unbekannt:

    admin klemmt sich auf einen anderen Troj - Netstop-A, wenn das so ist, denn noch den Eintrag:
    igfxtray.exe entfernen.

    :cool:
     
  7. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Labersack und Feuerstein - ihr redet wieder über Dinge - nee nee.

    Was ist den eigentlich die LSASS.EXE ??? - Hä?


    Es könnte sein, dass dieser kleine Part zum Troj PAdminA jehört:

    ein Backdoor ungefähr seit Anfang August 2003. Wir hatten in diesem Forumsteil schon mal die Frage.

    Hau mal den Eintrag:HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindows_LowLevel_Security_Core
    in der rechten Seite der registry raus. Anschließend:
    C:\<Windows>\Repair\lsass.exe
    Dann dürfte sich das Problem erledigen.

    Ich würde mich wundern, wenn's nicht so wäre.
     
  8. Gast

    Gast Guest

    Und ICQ arbeitet auf localhost, ja?
    Sag mal rascal...ich seh hier ein halbes Dutzend teilweise längst erledigter Threads, in denen du gerade gepostet hast. Bist du darauf aus, aufzufallen oder was?
     
  9. rascal

    rascal Byte

    Registriert seit:
    7. Juli 2002
    Beiträge:
    51
    vielleicht hilft es dir ja, wenn ich dir sage, dass icq diesen port 1029 für kommunikation benutzt...
     
  10. Gast

    Gast Guest

    Und auch DAS ist falsch. Dein TCPView-Log ist doch völlig eindeutig. Weder wird der Traffic VON noch ÜBER Netscape realisiert.
    Das Loopback übrigens hat seine Ursache im Personal Security Manager des Browsers.
     
  11. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    ... und was soll das verständlich ausgedrückt heisen ? dass dein Browser, per zum Beispiel DLL-Injection, von einem Trojaner missbraucht wird und deine Firewall auf diese Art getunnelt wird.. (schließlich war kürzlich der "Desktop-Firewall-Day")...!

    Grüße
    Wolfgang
     
  12. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    sorry, sorry sorry, falls es da Missverständnisse gab.

    Aber so hab ich das nicht gesagt!!!

    Ich wollte nur damit sagen, dass der Datenverkehr über den Netscape läuft. Aber nicht, dass er vom Netscape verursacht wird.

    siehe ca 10 Beiträge weiter oben.

    Grüsse

    JB
     
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    das hast du gesagt dass dein Netscape den Datenverkehr erzeugt...
    Zitat:
    "Mein Netscape 7.02 (Java aus, Javascript ein) unterhält sich mit ???? weiss nicht wem."

    Laut TcpView ist es aber nicht der Browser..

    12 MB in zwei Stunden ist etwas viel um es mit dem Internet-Grundrauschen zu erklären.. meine die verdammten Filesharer erzeugen eine Menge Hintergrundrauschen durch ständige Portanfragen. Keine Ahnung was da auf deinem Rechner aktiv ist.

    Grüße
    Wolfgang
     
  14. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    loalhost=ich selbst.
    War mir schon klar.

    Aber der Datenverkehr findet eben doch nach Extern statt, wenn ich mir die Übertragungsvolumina anschaue, im Protokoll der DFÜ-Verbindung

    Im Übrigen:
    warum sollte der Netscape auf einmal ein Loopback fahren . Ich benutze diese Version (7.02) seit ca. 1 Jahr.

    :confused:

    JB
     
  15. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    localhost ist dein eigener Rechner und dein Netscape fährt lediglich ein LoopBack ("Schleife, Rückkopplung") von einem Port des "Localhost" zu einem anderen Port deines Rechners. Also kein telefonieren nach extern.

    Grüße
    Wolfgang
     
  16. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    Hi Steele,

    warum "cool down"? ... bin doch völlig entspannt weil Niemand mehr telefoniert. :)
    Bei der Suche nach localhost find ich natürlich X Suchergebnisse.
    Vielleicht kannst Du mir noch die richtige Schnüffelrichtung sagen.

    Danke

    JB
     
  17. Gast

    Gast Guest

    DAS nennst du telefonieren? Hachjottchen. Cool down, Junge, Und schlag mal nach, was localhost bedeutet ;)
     
  18. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    Hi,

    ich denk mal "Ad-Aware" hat das erkannt.
    Hat ein "Tracking-Cookie" gefunden.
    Das komische ist nur, dass ich im Netscape eingestellt habe, dass die Verfallszeit der Cookies auf die aktuelle Sitzung beschränkt ist.
    :confused:
    Ich wollt jetzt nur nicht gleich posten, sondern mal ein paar Tage beobachten, ob's wieder telefoniert.

    Grüsse

    JB
     
  19. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    Hi,

    er telefoniert wieder !!
    So schaut das dann im TCPView aus:
    (sorry, ich krieg das hier mit der tabellarischen Formatierung nicht gebacken)

    Process Proto LocalAdress RemoteAdress State
    LEXPPS.EXE:504 TCP athlon:1025 athlon:0 LISTENING
    LSASS.EXE:236 UDP p50804e57.dipO.t-.. x.x
    LSASS.EXE:236 UDP p50804e57.dipO.t-.. x.x
    LSASS.EXE: 236 UDP athlon: isakmp X. X
    LSASS.EXE:236 UDP athlon: 4500 x.x
    mstask.exe: 740 TCP athlon: 1026 athlon: 0 LISTENING
    Netscp.exe: 1296 TCP athlon:1029 athlon: 0 LISTENING
    Netscp.exe: 1296 TCP athlon: 1028 athlon: 0 LISTENING
    N etscp.exe: 1296 TCP athlon: 1028 localhost:1029 ESTABLISHED
    Netscp.exe: 1296 TCP athlon: 1029 localhost:1028 ESTABLISHED
    Netscp.exe: 1296 TCP athlon: 51 80 athlon: 0 LISTENING
    SNMP.EXE:792 UDP athlon: snmp X. X
    svchost.exe: 420 TCP athlon: epmap athlon: 0 LISTENING
    svchost.exe: 580 UDP p50804e57.dipO.t-.. x.x
    svchost.exe: 580 UDP athlon: router x.x
    System: 8 TCP athlon: microsoft-ds athlon: 0 LISTENING
    System: 8 TCP athlon: 1027 athlon: 0 LISTENING
    System: 8 TCP p508Q4e57.dipO.t-.. athlon: 0 LISTENING
    System: 8 TCP athlon: netbios-ssn athlon: 0 LISTENING
    System: 8 UDP athlon: microsoft-ds x.x
    System: 8 UDP p50804e57.dipO.t-.. x.x
    System: 8 UDP p50804e57.dipO.t-.. x.x
    System: 8 UDP athlon: netbios-ns x.x
    System: 8 UDP athlon: netbios-dgm X. X

    Was kann man nun daraus lesen ???

    Danke

    JB
     
  20. John Beton

    John Beton Kbyte

    Registriert seit:
    29. August 2003
    Beiträge:
    238
    Hi dieschi,

    hab nirgendwo gesagt, dass Netscape der Verursacher ist, sondern nur, dass ich mit diesem Browser arbeite.
    Deshalb auch mein "Rüffel" an Nevok :D

    Hab mir den TCPView jetzt mal geladen, aber man (ich) muss sich da wohl erstmal orientieren, was das Proggi einem mitteilt.

    Problem ist nur: Seit dem einmaligem Ereigniss des unerklärlichen Datenflusses, ist der Datendurchsatz wieder absolut im grünen Bereich.

    Einen Fehler finden, der zum Zeitpunkt der Suche nicht auftritt......na denn viel Spass.!!!


    Danke und Grüsse

    JB
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen