[e$0]

Seid ein paar Tagen blockt meine Firewall (F-Secure) nach jedem Hochfahren oder einfach so zwischendrin einen Prozess namens "FinScan". Hab mal rumgegoogelt, aber nichts gefunden. Der Firewall nach ist der Prozess outgoing, also wird von mir gesendet.

Was ist das für ein Prozess und was will er ?

[tosto]

kill ihn halt mal. ich kenn den nett hört isch aber verdächtig an.
lass ma: virenscanner, trojaner scanner, ad-aware drüberlaufen und geb vielleicht mal nen hijack log hier rein.

ciao

[Rika]

@e$0: Du installierst dir einen Paketfilter und weißt nicht mal wie TCP/IP funktioniert? Was soll der Unsinn?
@tosto: Dito für dich. Massenhafte Fins sind entweder ein Sicherheitsproblem auf dem Rechner oder eine kaputte Sicherheitssoftware, die durch fehlerhafte Einstellung ein massenhaften Neusenden von FINs provoziert und sich dann sogar noch darüber beschwert.

[LoD14]

...wenn wir bei dem thema komische firewallmeldungen sind... weis jemand was das hier ist?

May/26/2004 21:32:55 Spoof Attack fromd MAC(00-40-05-**-**-**) Detect,

Dieser Beitrag wurde von LoD14 bearbeitet: 26. Mai 2004 - 21:36

[e$0]

Zitat (Rika: 26.05.2004, 21:30)

@e$0: Du installierst dir einen Paketfilter und weißt nicht mal wie TCP/IP funktioniert? Was soll der Unsinn?

tut mir leid, wenn ich nicht der über PC crack bin, der jedes windows fitzelchen aufs genaueste analysiert. ich benutze meinen PC und das wars. rauszufinden wie alles funktioniert... da hat man als schüler wenig zeit/motivation für. also ne genauere hilfe wäre ganz nett.

[MDK]

Also ein Fin Scan ist ja was ganz anderes als ein Prozess der Fin Scan heißt. Daher guck doch mal in deinen Taskmanager was da so alles läuft und versuche rauszufinden welches Programm das ist. Kannst du evtl in F_Secure nachsehen, wie der komplette Pfad zu dem Prozess FinScan lautet.

Es könnte natürlich auch sein, dass du da was missverstanden hast und FinScan nicht der name eines Prozesses ist sondern der Typ Angriff den dein F-Secure meldet, also entweder genauer beschreiben oder mal noch weitere Infos rauskramen.

[e$0]

mh... also wenn ich den rechner starte sind die zugriffe ausgehend, sonst eingehend...

hier mal n screenie

und meine hijack log

Logfile of HijackThis v1.97.7
Scan saved at 13:12:35, on 27.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\Samurize\Client.exe
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\RAINHAAT\Eigene Dateien\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Samurize] C:\Programme\Samurize\Client.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{13DA6D52-F323-4421-9063-D42A97EDCBDE}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{13DA6D52-F323-4421-9063-D42A97EDCBDE}: NameServer = 217.237.151.225 194.25.2.129

[pSyCHo_SolDiEr]

Zitat (LoD14 @ 26.05.2004: 22:33)

 
...wenn wir bei dem thema komische firewallmeldungen sind... weis jemand was das hier ist?

May/26/2004 21:32:55 Spoof Attack fromd MAC(00-40-05-**-**-**) Detect,

Das ist ne Spoofing Attacke von der angegebenen MAC Adresse die deine Firewall bemerkt hat.

[Unattended]

hmmm... ehrlich gesagt habe ich auch keine ahnung von TCP/IP und ich habe auch keine zeit mich wirklich damit zu befassen.

Durch dieses forum bin ich auf die HOW TO's & Guides von Rika und Edragon gestoßen. Dort findet man maßnahmen zum sichern des rechners.

@ e$0 Du solltest vielleicht mal einen blick drauf werfen. Vielleicht ist deine Firewall ja dann überflüssig. Schau einfach mal.

So, und jetzt reicht euch die Hände und vertragt euch wieder!

[Rika]

@e$0: Eben wenn du keine Ahnung hast, warum installierst du dir dann eine Software, die genau diese Ahnung erfordert, damit sie überhaupt richtig funktionieren kann?
Erst recht wenn deine DTFs harmlose FINs, die sie wahrscheinlich selber durch ihre eigene Unfähigkeit provoziert hat, auch noch als Angriff meldet.

@LoD14,pSyCHo_SolDiEr: Im Internet gibt's keine MACs, die sind Ethernet-spezifisch. Also entweder ist das deine eigene MAC und die DTF bildet sich nur was ein oder es ist eine virtuell generierte MAC a la Windows, die dann entweder auf ein Netzwerkproblem oder nochmalig auf eine Einbildung seitens der DTF hinweist. In aller Regel ist es auch eben letzteres. Denk doch bitee mal nach was Spoofing ist. Spoofings der eigenen Adresse sind doch trivial und werden auch von ganz normalen TCP/IP-Stack problemlos unterbunden, Spoofings von externen Adressen kann man nicht erkennen, weshalb man externe Adressen generell als vertrauensunwürdig deklariert und eine Authentifzierung auf höheren Schichten einsetzt.

Dieser Beitrag wurde von Rika bearbeitet: 27. Mai 2004 - 16:03

[e$0]

rika, sry aber es gibt auch normale user. ich hab noch nirgends DAUware saugen können. und ich glaube nicht dass f-secure vom user einen "skill" im umgang mit dem pc erwartet.
kann mir denn jemand sagen, wie ich das wegbekomme ?

[Rika]

Ja. Start, Systemsteuerung, Software, F-Secure..., Deinstallieren
Und seit wann bitte schön ist denn ein hostbasierenden Regel-Paketfilter denn DAU-tauglich? Sowas glauben nur das Marketingleute und deshalb leider auch die DAUs - dadurch wird es trotzdem nicht wahr.

Und DAUware von bester Qualität findest du auf http://www.dingens.org (kein Scherz!), mit besten Empfehlungen des CCC und auch von mir. Macht deine DTF noch überflüssiger als sie ohnehin schon ist.

Dieser Beitrag wurde von Rika bearbeitet: 27. Mai 2004 - 16:21

[LoD14]

rika, könnte der spoof davon kommen, das jemand in mein wlan wollte?

[MDK]

Also da haben wir doch was wir sehen wollten, auf dem Screenie von F-Secure ist alles zu sehen.

Was da passiert ist, dass jemand der Gnutella am laufen hat testet ob dein Rechner nen Gnutella Client am laufen hat(sieht man am Port Lokaler Port: 6346), das ist also kein Angriff sondern nur ein Test ob dein Rechner nen Gnutella Client am laufen hat. Denn die Clients von anderen Rechnern suchen wahllos IPs durch und versuchen andere Gnutella Clients zu finden.

Verstanden?

[Rika]

@LoD14: Hm, kann gut sein. Wenn das die MAC deiner WLAN-Karte ist...