Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Frage zu Norton Antivirus Meldung

rawman / 10 Antworten / Baumansicht Nickles

Hallo.. Norton Antivirus 2003 bringt folgende Meldungen:





Sind diese Meldungen ernst zu nehmen? Habe meine PC mit verschiedenen Trojaner Scannern und mit Norton Antivirus gescannt aber ohne irgendeine Ergebnis. Ein Freund von mir sagte das eine Datei den ich ihm geschickt habe infiziert war. Obwohl bei mir Norton im Hintergrund immer läuft. Hoffe das eine Rat weiss.

Grüsse

bei Antwort benachrichtigen
-IRON- rawman „Frage zu Norton Antivirus Meldung“
Optionen

Ignoriere diesen Quatsch einfach. Insbesondere die zweite ist lachhaft. Deine PF will anhand des Zielports erkennen, ob die Anwendung am Quellport ein böser Trojaner-Client ist. Selbst wenns so wäre, könnte dir das egal sein, denn du hast ja sicher keinen Sub7-Server auf deinem PC installiert, der auf Port 27374 lauscht, oder?

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
rawman Nachtrag zu: „Frage zu Norton Antivirus Meldung“
Optionen

Hi IRON.. Natürlich habe ich kein SUB7 Server auf meinem PC instaliert. Könnte es aber nicht sein das ich ausversehen ein infizierte Datei auf meinem PC installiert habe? Ich finde das diese Möglichkeit gegeben ist. Und aus der 1. Meldung bin ich nicht schlau geworden. Warum greift eigentlich der kernel32.dll Datei auf den Internet?

bei Antwort benachrichtigen
-IRON- rawman „Hi IRON.. Natürlich habe ich kein SUB7 Server auf meinem PC instaliert. Könnte...“
Optionen

Das letzte zuerst:
Du kannst das von deiner PF natürlich blockieren lassen. Meist hat das keine Folgen. Warum es letztendlich passiert, kann verschiedene Gründe haben, aber da müsstest du dir schon die Details der Meldung ansehen oder besser ein anderes Programm verwenden, das generell aussagekräftiger ist, wie ActivePorts oder TCPView. Deine PF tut nicht das, was die Verpackung verspricht.
Zu Sub7: Klar kannst du dir sowas "versehentlich" installieren, aber dann würde die Meldung anders lauten. Es ginge nicht um eine ANKOMMENDE Verbindung ZU einem Port deines PCs sondern um eine Anwendung "bin_ganz_harmlos.exe" oder "bin_eine_wichtige_windowsdatei.exe" und deine FW würde dich fragen, ob diese Datei eine Verbindung NACH DRAUSSEN aufbauen darf. Da der Normalanwender mit solchen Fragen überfordert ist, entscheidet er im Zweifelsfall falsch.
BTW: Hättest du einen vernünftigen Virenscanner, würde dieser wahrscheinlich (nicht unbedingt) den Schädling melden, wenn du ihn herunterlädst oder installierst. Letztlich ist aber nur der Verzicht auf unseriöse Softwarequellen ein Schutz vor Trojanerservern.

Eine PF kann NICHT unterscheiden, welche Daten, die dein PC empfängt oder sendet, böse sind.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
GarfTermy rawman „Frage zu Norton Antivirus Meldung“
Optionen

"...Eine PF kann NICHT unterscheiden, welche Daten, die dein PC empfängt oder sendet, böse sind..."

andere lösungen haben neutrale meldungen - es gibt auf PF, die nicht mit vermutungen kommen... welche? zb der blackice defender (grins).

zum thema norton besteht allerdings einigkeit.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Tilo Nachdenklich rawman „Frage zu Norton Antivirus Meldung“
Optionen

Ist es nicht so, dass KERNEL32.DLL ständig aufs Internet zugreift wenn man surft. Meine Norton Firewall ist so konfiguriert, dass sie dafür nicht einmal Warnmeldungen protokolliert.

bei Antwort benachrichtigen
Teletom rawman „Frage zu Norton Antivirus Meldung“
Optionen

Die erste Meldung erscheint auf Grund des Application-Filters der Firewall:
Zulassen
Haken bei Immer diese Aktion verwenden
OK

Die zweite Meldung erscheint, weil die Firewall im Begriff ist, einen eingehenden Ziel-Port zu blockieren.

Wenn man eingehende Ziel-Ports (gezielt auf die eigene IP-Nummer) blockiert, erscheint bei einem denkbaren Portscan bei den blockierten Ports als Ergebnis "gefiltert". Bei ernstgemeinten Angriffen kann das "gefiltert"-Ergebnis zu weiteren Angriffen provozieren.

Besser ist immer das Ergebnis "kein Dienst feststellbar". Wenn sich kein Backdoor/Subseven - Server (-Dienst) läuft, ist natürlicherweise auch kein Port 27374 offen und es ist "kein Dienst feststellbar", wenn keine Port-Blockierung vorgenommen wird.

Empfehlung: Port freischalten, in dem die Firewall temporär abgeschaltet wird, und einen Portscan auf die eigenen Ip-Nummer (127.0.0.1) durchführen. Wenn nur notwendige Ports offen sind, ist alles OK, zum Beispiel wenn ein Webserver eingerichtet ist, muss Port 80 verfügbar sein. Ist ein nichtnotwendiger Port offen, musst Du den Trojaner entfernen. Firewall wieder einschalten und Port 27374 nicht blockieren.

Es ist gut, wenn man regelmäßige Portscans auf die eigene IP-Nummer plant (zum Beispiel mit dem Tool MNU http://www.micronline.com/download/index.html).

Gruß
Teletom

bei Antwort benachrichtigen
-IRON- rawman „Frage zu Norton Antivirus Meldung“
Optionen
Besser ist immer das Ergebnis "kein Dienst feststellbar".

Noch besser ist es, wenn die Gegenseite FESTSTELLEN KANN, dass kein Dienst VERFÜGBAR ist.
Die PF "tut so", als wäre kein Dienst verfügbar, indem sie statt wie in den RFCs (z.B. 1122) vereinbart, die Anfrage zu rejecten, GAR NICHT reagiert. Folge dieses "Blindekuhspiels":
Der TCP-Stack der Gegenseite ist der Meinung, dass das Datenpaket verloren ging und versucht mindestens viermal dasselbe - natürlich ohne Erfolg...bis dann irgendwann mal ein timeout erfolgt. Das verursacht also viermal mehr Traffic als notwendig (für den PF-User) und bringt keinerlei Vorteil, denn wenn der letzte HOP vor dem Ziel das Datenpaket noch anstandslos weiterleitet, aber keine (abschlägige) Antwort vom Ziel kommt, steht fest, dass sowohl das Ziel erreichbar ist, also auch, dass ein hostbasierter Paketfilter dort werkelt.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom -IRON- „Besser ist immer das Ergebnis kein Dienst feststellbar . Noch besser ist es,...“
Optionen

Äh, wenn kein Dienst läuft, kommt auch "kein Dienst feststellbar".

Du meinst doch nicht etwa wirklich, dass die "Gegenseite mindestens viermal dasselbe versucht", beispielsweise Port 80 bei allen PCs ohne Webserver zu erreichen?

bei Antwort benachrichtigen
-IRON- Teletom „Äh, wenn kein Dienst läuft, kommt auch kein Dienst feststellbar . Du meinst...“
Optionen

Äh..ja eben, du Blitzmerker.

Heute im Usenet:

Wer nicht verstanden hat, wozu ICMP-Nachrichten dienen, der möge bitte davon absehen, sie einfach so zu filtern. [Heiko Schlenker in dcsf]

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom -IRON- „Äh..ja eben, du Blitzmerker. Heute im Usenet: Wer nicht verstanden hat, wozu...“
Optionen

Selber Blitzmerker,

es merkt keiner, offensichtlich noch nicht einmal Du, was Du damit sagen willst.

Nickles.de kannst Du nicht ohne Weiteres mit Deinem Usenet vergleichen. Ist aber trotzdem erfreulich, wenn Du Dich mit ICMP beschäftigst. ICMP kann man prima mit Hilfe einer Firewall einstellen. Da muss man natürlich die ICMP-Funktionen kennen, das ist nicht einfach aber so schwer kann es doch auch wiederum nicht sein. Darüber hinaus gibt es bekanntlich vorkonfigurierte Firewalls.
Einfach nur installieren und das war es.

Gruß
Teletom

bei Antwort benachrichtigen