Fin Scan... Wtf? outgoing
#1
geschrieben 26. Mai 2004 - 20:00
Was ist das für ein Prozess und was will er ?
Anzeige
#2
geschrieben 26. Mai 2004 - 20:05
lass ma: virenscanner, trojaner scanner, ad-aware drüberlaufen und geb vielleicht mal nen hijack log hier rein.
ciao
#3
geschrieben 26. Mai 2004 - 21:30
@tosto: Dito für dich. Massenhafte Fins sind entweder ein Sicherheitsproblem auf dem Rechner oder eine kaputte Sicherheitssoftware, die durch fehlerhafte Einstellung ein massenhaften Neusenden von FINs provoziert und sich dann sogar noch darüber beschwert.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
geschrieben 26. Mai 2004 - 21:33
May/26/2004 21:32:55 Spoof Attack fromd MAC(00-40-05-**-**-**) Detect,
Dieser Beitrag wurde von LoD14 bearbeitet: 26. Mai 2004 - 21:36
#5
geschrieben 27. Mai 2004 - 11:53
Zitat (Rika: 26.05.2004, 21:30)
tut mir leid, wenn ich nicht der über PC crack bin, der jedes windows fitzelchen aufs genaueste analysiert. ich benutze meinen PC und das wars. rauszufinden wie alles funktioniert... da hat man als schüler wenig zeit/motivation für. also ne genauere hilfe wäre ganz nett.
#6
geschrieben 27. Mai 2004 - 12:00
Es könnte natürlich auch sein, dass du da was missverstanden hast und FinScan nicht der name eines Prozesses ist sondern der Typ Angriff den dein F-Secure meldet, also entweder genauer beschreiben oder mal noch weitere Infos rauskramen.
#7
geschrieben 27. Mai 2004 - 12:13
hier mal n screenie
und meine hijack log
Logfile of HijackThis v1.97.7 Scan saved at 13:12:35, on 27.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE C:\Programme\Samurize\Client.exe C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\RAINHAAT\Eigene Dateien\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [Samurize] C:\Programme\Samurize\Client.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{13DA6D52-F323-4421-9063-D42A97EDCBDE}: NameServer = 217.237.151.225 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{13DA6D52-F323-4421-9063-D42A97EDCBDE}: NameServer = 217.237.151.225 194.25.2.129
#8
geschrieben 27. Mai 2004 - 12:20
Zitat (LoD14 @ 26.05.2004: 22:33)
...wenn wir bei dem thema komische firewallmeldungen sind... weis jemand was das hier ist?
May/26/2004 21:32:55 Spoof Attack fromd MAC(00-40-05-**-**-**) Detect,
Das ist ne Spoofing Attacke von der angegebenen MAC Adresse die deine Firewall bemerkt hat.
#9
geschrieben 27. Mai 2004 - 12:29
Durch dieses forum bin ich auf die HOW TO's & Guides von Rika und Edragon gestoßen. Dort findet man maßnahmen zum sichern des rechners.
@ e$0 Du solltest vielleicht mal einen blick drauf werfen. Vielleicht ist deine Firewall ja dann überflüssig. Schau einfach mal.
So, und jetzt reicht euch die Hände und vertragt euch wieder!
#10
geschrieben 27. Mai 2004 - 16:01
Erst recht wenn deine DTFs harmlose FINs, die sie wahrscheinlich selber durch ihre eigene Unfähigkeit provoziert hat, auch noch als Angriff meldet.
@LoD14,pSyCHo_SolDiEr: Im Internet gibt's keine MACs, die sind Ethernet-spezifisch. Also entweder ist das deine eigene MAC und die DTF bildet sich nur was ein oder es ist eine virtuell generierte MAC a la Windows, die dann entweder auf ein Netzwerkproblem oder nochmalig auf eine Einbildung seitens der DTF hinweist. In aller Regel ist es auch eben letzteres. Denk doch bitee mal nach was Spoofing ist. Spoofings der eigenen Adresse sind doch trivial und werden auch von ganz normalen TCP/IP-Stack problemlos unterbunden, Spoofings von externen Adressen kann man nicht erkennen, weshalb man externe Adressen generell als vertrauensunwürdig deklariert und eine Authentifzierung auf höheren Schichten einsetzt.
Dieser Beitrag wurde von Rika bearbeitet: 27. Mai 2004 - 16:03
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#11
geschrieben 27. Mai 2004 - 16:07
kann mir denn jemand sagen, wie ich das wegbekomme ?
#12
geschrieben 27. Mai 2004 - 16:18
Und seit wann bitte schön ist denn ein hostbasierenden Regel-Paketfilter denn DAU-tauglich? Sowas glauben nur das Marketingleute und deshalb leider auch die DAUs - dadurch wird es trotzdem nicht wahr.
Und DAUware von bester Qualität findest du auf http://www.dingens.org (kein Scherz!), mit besten Empfehlungen des CCC und auch von mir. Macht deine DTF noch überflüssiger als sie ohnehin schon ist.
Dieser Beitrag wurde von Rika bearbeitet: 27. Mai 2004 - 16:21
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#13
geschrieben 27. Mai 2004 - 20:49
#14
geschrieben 27. Mai 2004 - 21:02
Was da passiert ist, dass jemand der Gnutella am laufen hat testet ob dein Rechner nen Gnutella Client am laufen hat(sieht man am Port Lokaler Port: 6346), das ist also kein Angriff sondern nur ein Test ob dein Rechner nen Gnutella Client am laufen hat. Denn die Clients von anderen Rechnern suchen wahllos IPs durch und versuchen andere Gnutella Clients zu finden.
Verstanden?
#15
geschrieben 27. Mai 2004 - 21:42
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
- ← Miniaturansicht Und Grafikvorschau Geht Nicht Mehr
- Windows XP & Windows Media Center Edition
- Auslagerungsdatei →