-=30+=- Clan Germany - Forum
Computer Forum des -=30+=- Clans => Software => Programme => Thema gestartet von: -=30+=- MesserPaule am Dezember 20, 2006, 17:56:36 Nachmittag
-
moin
meine sygate personal firewall meldet immer wieder folgendes :
1 :
NDIS User mode I / O Driver ( Indisuio.sys ) hat ein Broadcast - Paket vom Remote rechner [0.0.0.0]
empfangen . Möchten sie diesem Programm den Zugriff auf das netzwerk erlauben ?
Dateiversion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Dateibeschreibung : NDIS User mode I/O Driver (ndisuio.sys)
Dateipfad : C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Verbindungsursprung : Remote initialisiert
Protokoll : UDP
Lokale Adresse : 255.255.255.255
Lokaler Port : 67 (BOOTPS - Dynamic Host Configuration Protocol [DHCP] Server)
Remote-Name :
Remote-Adresse : 0.0.0.0
Remote-Port : 68
Ethernet-Paket-Details:
Ethernet II (Packet Length: 342)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-17-31-8d-a2-2a
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0xa539 (Correct)
Source: 0.0.0.0
Destination: 255.255.255.255
User Datagram Protocol
Source port: 68
Destination port: 67
Length: 8
Checksum: 0x7a58 (Correct)
Bootstrap Protocol
Boot Request
Option 53: DHCP Message Type = DHCP Discover
Option 116: Unknown Option (1 Bytes)
Option 61: Client identifier
Hardware type: Ethernet
Client hardware address: 00-17-31-8d-a2-2a
Option 50: Requested IP Address = 169.254.71.2
Option 12: Host Name = wave03
Option 60: Vendor Class ID = MSFT 5.0
Option 55: Parameter Request List:
1 = Subnet Mask
15 = Domain Name
3 = Router
6 = Domain Name Server
44 = Unknown
46 = Unknown
47 = Unknown
31 = Unknown
33 = Unknown
249 = Unknown
43 = Unknown
Binäres Abbild des Pakets:
0000: FF FF FF FF FF FF 00 17 : 31 8D A2 2A 08 00 45 00 | ........1..*..E.
0010: 01 48 00 01 00 00 80 11 : 39 A5 00 00 00 00 FF FF | .H......9.......
0020: FF FF 00 44 00 43 01 34 : 58 7A 01 01 06 00 F3 F7 | ...D.C.4Xz......
0030: 03 37 04 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | .7..............
0040: 00 00 00 00 00 00 00 17 : 31 8D A2 2A 00 00 00 00 | ........1..*....
0050: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0060: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0070: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0080: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0090: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00A0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00B0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00C0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00D0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00E0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00F0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0100: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0110: 00 00 00 00 00 00 63 82 : 53 63 35 01 01 74 01 01 | ......c.Sc5..t..
0120: 3D 07 01 00 17 31 8D A2 : 2A 32 04 A9 FE 47 55 0C | =....1..*2...GU.
0130: 06 77 61 76 65 30 33 3C : 08 4D 53 46 54 20 35 2E | .wave03<.MSFT 5.
0140: 30 37 0B 01 0F 03 06 2C : 2E 2F 1F 21 F9 2B FF 00 | 07.....,./.!.+..
0150: 00 00 00 00 00 00 : | ...... o
-------------------------------------------------------------------
-------------------------------------------------------------------
2 :
Generic Host Process for Win 32 Servies (svchost.exe) versucht eine verbindung herzustellen .
time.windows.com [207.46.130.100] nutzt den Remote - port 123 [NTP- Network time protocol]
Möchten sie diesen Programm den Zugriff auf das Netzwerk erlauben ?
das überprüft doch die uhrzeit mit dem i-net oder ?
------------------------------------------------------------------
------------------------------------------------------------------
3 :
Generic Host Process for Win32 servies [svchost.exe] wird von einem Remote - Rechner kontaktiert (89.166.188.117) nutzt
den lokalen Port 135 [EPMAP - Location servies - Dynamically assign ports for RPC)
möchten sie diesen Program dem Zugriff auf das netzwerk erlauben ?
Dateiversion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Dateibeschreibung : Generic Host Process for Win32 Services (svchost.exe)
Dateipfad : C:\WINDOWS\system32\svchost.exe
Prozess-ID : 3B4 (Heximal) 948 (Dezimal)
Verbindungsursprung : Remote initialisiert
Protokoll : TCP
Lokale Adresse : 89.166.158.211
Lokaler Port : 135 (EPMAP - Location service - Dynamically assign ports for RPC)
Remote-Name :
Remote-Adresse : 89.166.188.117
Remote-Port : 3977
Ethernet-Paket-Details:
Ethernet II (Packet Length: 62)
Destination: 00-00-01-00-00-00
Source: 01-00-20-00-01-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 126
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xf045 (Correct)
Source: 89.166.188.117
Destination: 89.166.158.211
Transmission Control Protocol (TCP)
Source port: 3977
Destination port: 135
Sequence number: 645512747
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x64ca (Correct)
Data (0 Bytes)
Binäres Abbild des Pakets:
0000: 00 00 01 00 00 00 01 00 : 20 00 01 00 08 00 45 00 | ........ .....E.
0010: 00 30 A8 42 40 00 7E 06 : 45 F0 59 A6 BC 75 59 A6 | .0.B@.~.E.Y..uY.
0020: 9E D3 0F 89 00 87 26 79 : BE 2B 00 00 00 00 70 02 | ......&y.+....p.
0030: B5 A4 CA 64 00 00 02 04 : 05 80 01 01 04 02 | ...d..........
------------------------------------------------------------------------------
------------------------------------------------------------------------------
dann hab ich ständig anfragen von NDIS User mode i / 0 driver
wie schaut es aus kann ich diese *dienste * erlauben ?
-
Alles in Ordnung, Paule.
Das ist nur so genannte Internetstreife der deutschen Polizei, die grad mal deinen Rechner untersucht. Ist zwar noch illegal, aber z.B. in NRW werden grad die rechtlichen Voraussetzungen geschaffen...
Scherz beiseite, Tomy wird Dir sicher weiter helfen können :clown
-
Mensch zorg :( , der Paule hätte das sonst geglaubt ;D
Verderbst aber auch jeden Spass :D
-
so lustig ist das nicht.... ich habs im ersten moment auch gelaubt :-\.
Heute ist alles möglich.
-
als ob ich den Zorg jemal irgendwas glauben würde...
vorher würde die welt untergehen , oder Tyske würde skill bekommen ,
oder oder oder.....
-
Scherz beiseite, Tomy wird Dir sicher weiter helfen können :clown
Danke für die Blumen :)
Das ist nur so genannte Internetstreife der deutschen Polizei, die grad mal deinen Rechner untersucht. Ist zwar noch illegal, aber z.B. in NRW werden grad die rechtlichen Voraussetzungen geschaffen...
Aber auch wenn zOrg damit Scherze treibt, so abwägig ist diese Tatsache wirklich nicht da man definitiv in NRW gerade versucht ein entsprechendes Gesetz durchzusetzen welches das ausspionieren von Heim PCs erlauben und auch ermöglichen soll.
Natürlich wieder unter dem Deckmantel er Sicherheit und mit der Aussage "Wer nichts zu verschweigen oder zu verlieren hat, hat auch nichts zu befürchten".
Das ganze hat auch schon zOrg korrekt gepostet und ich bin vollkommen seiner Meinung das JEDER etwas zu verlieren oder zu verschweigen, nämlich seine PRIVATSPHÄRE !
Aber kommen wir mal zum eingentlichen Hilferuf :)
Zu 1.
Hier solltest du kontrollieren ob in Deinem LAN ein DHCP Server aktiv ist.
In 99,8 % der Fälle ist hier DHCP auf dem ROUTER aktiviert und versucht entsprechend die Anfrage des Rechners zu beantworten.
Wenn du also DHCP nutzt dann solltest du diese Anfrage annehmen da du wohl sonst keine gültige IP Adresse für die Netzwerkkarte bekommst.
Auch wenn du auf der Netzwerkkarte eine feste IP Adresse vergeben hast solltest du nachsehen ob an Deinem PC eine weitere Netzwerkkarte vorhanden ist (die meisten neueren Mainboard haben 2 Netzwerkkarten OnBoard). Am besten alles nachsehen was in Richtung Netzwerk geht (auch Modem usw.).
Ist dies der Fall, dann solltest du entweder dieser Netzwerkkarte ebenfalls eine feste IP Adresse zuordnen oder diese deaktivieren.
Bezüglich der IP Vergabe oder der Deaktivierung können wir ja skypen (werde heute Abend mal Skype anwerfen).
Da aber die Datei "ndisuio.sys" auf den Pfad "C:\WINDOWS\system32\DRIVERS\" verweist ist ein Trojaner oder Wurm nicht zu befürchten, da diese Datei im korrekten Verzeichnis liegt.
Um absolut sicher zu gehen solltest du die Dateigröße kontrollieren, diese ist unter Windows XP 12928 Bytes groß.
Zu 2.
Das hast du schon korrekt selbst beantwortet, denn "time.windows.com" ist der Windows Zeit Server mit dem man die Uhrzeit entsprechend abgleichen kann.
Falls du dies nicht möchtest kannst du dies wie folgt deaktivieren:
- Doppelklick auf die Uhrzeit unten rechts.
- Das Registerkärtchen INTERNETZEIT anklicken.
- Den Haken bei AUTOMATISCH MIT EINEM INTERNETZEITSERVER SYNCHONISIEREN entfernen.
Der Sinn und Zweck über die Internetzeitsynchonisierung ist eigentlich das die Uhrzeit nicht nachgehen soll.
Da aber die angebotenen Zeitserver über KEINE Atomuhr verfügen und ebenfalls nachgehen kann man sich diese Sache auch sparen (oder man synchonisiert gleich mit einem Atomuhrzeitserver).
Ich für meinen Teil lasse den Haken raus, denn die paar Minuten kann die Uhr gerne mal vorgehen, zumal eh in der Nähe eine recht genaue Funkuhr an der Wand hängt ;)
Zu 3.
Nuja dies ist DEFINITIV ein Angriff !
Entweder ist schon etwas auf Deinem Rechner was sich nach Hause verbinden möchte, oder aber jemand versucht sich einzuschleusen !
AUF ALLE FÄLLE BLOCKEN UND DEIN SYSTEM MIT AKTUELLEN VIRENDEFINITION, SOWIE AUF TROJANER, WÜRMER, ADWARE und MALEWARE SCANEN LASSEN !
Auch per HIJACK THIS nachsehen was sich auf dem Rechner tummelt !
Die Adresse "89.166.188.117" sieht nach einer Provideradresse aus, welche im näheren Umkreis von Dir belegt wurde.
Sprich hier hat jemand von seinem Provider diese IP Adresse zugewiesen bekommen und versucht nun entweder in das System ein zu dringen, oder versendet selbst weiterhin diverse Trojaner, Würmer oder Mailware.
In beiden Fällen solltest du hier vorsichtig sein.
Hast du nach dem Systemcheck herausgefunden das Dein System sauber ist und diese Angriffe weiterhin vermehrt aufkommen, dann solltest du Dir die IP ADRESSE, die ZEIT sowie das DATUM aufschreiben und Anzeige erstatten.
Zwar kann auch ein PC Neuling am anderen Ende der Leitung mit einem entsprechenden versauten System sein, aber durch diese Anzeige bekommt er zumindest einmal mit das eventuell sein System nicht sauber ist oder eventuell sogar gehackt wurde.
Ich wette auch das sich dieser Angriff mit der IP "89.166.188.117" frühstens heute Abend oder aber später mit einer anderen IP Adresse, aber mit der gleichen IP Range ( 89.166.188.) melden wird.
Darauf solltest du ungebingt achten !
Falls du einen ROUTER hast, dann solltest du diesen ebenfalls überprüfen da dieser normalerweise diese Anfrage von außen blocken müsste.
P.S.: Ich werde mal auf die LAN ein nettes Filmchen vom CCC mit bringen, welcher sich über die PERSONAL FIREWALLS auslässt.
Ich denke danach werden einge anderst über die PFWs denken ;)
-
hab komplett gesacannt den rechner miot allen was es gibt .
nix gefunden . also ein angriff von *draussen*
ok ich bin ab ca 19.00 uhr im skype Tomy .
-
hab komplett gesacannt den rechner miot allen was es gibt .
nix gefunden . also ein angriff von *draussen*
Dann achte auf alle Fälle auf die Sachen die ich gepostet habe.
In dieser Hinsicht würde ich keinen Spass verstehen und das ganze zur Anzeige bringen.
ok ich bin ab ca 19.00 uhr im skype Tomy .
Kann bei mir heute etwas später werden, da ich meinen kleinen vom Sport abholen und den Weihnachtsbaum reinbringen muss.
Denke eher das es so 20:00 wird.