Hallo.. Norton Antivirus 2003 bringt folgende Meldungen:
Sind diese Meldungen ernst zu nehmen? Habe meine PC mit verschiedenen Trojaner Scannern und mit Norton Antivirus gescannt aber ohne irgendeine Ergebnis. Ein Freund von mir sagte das eine Datei den ich ihm geschickt habe infiziert war. Obwohl bei mir Norton im Hintergrund immer läuft. Hoffe das eine Rat weiss.
Grüsse
-IRON- rawman „Frage zu Norton Antivirus Meldung“
Ignoriere diesen Quatsch einfach. Insbesondere die zweite ist lachhaft. Deine PF will anhand des Zielports erkennen, ob die Anwendung am Quellport ein böser Trojaner-Client ist. Selbst wenns so wäre, könnte dir das egal sein, denn du hast ja sicher keinen Sub7-Server auf deinem PC installiert, der auf Port 27374 lauscht, oder?
rawman Nachtrag zu: „Frage zu Norton Antivirus Meldung“
Hi IRON.. Natürlich habe ich kein SUB7 Server auf meinem PC instaliert. Könnte es aber nicht sein das ich ausversehen ein infizierte Datei auf meinem PC installiert habe? Ich finde das diese Möglichkeit gegeben ist. Und aus der 1. Meldung bin ich nicht schlau geworden. Warum greift eigentlich der kernel32.dll Datei auf den Internet?
-IRON- rawman „Hi IRON.. Natürlich habe ich kein SUB7 Server auf meinem PC instaliert. Könnte...“
Das letzte zuerst:
Du kannst das von deiner PF natürlich blockieren lassen. Meist hat das keine Folgen. Warum es letztendlich passiert, kann verschiedene Gründe haben, aber da müsstest du dir schon die Details der Meldung ansehen oder besser ein anderes Programm verwenden, das generell aussagekräftiger ist, wie ActivePorts oder TCPView. Deine PF tut nicht das, was die Verpackung verspricht.
Zu Sub7: Klar kannst du dir sowas "versehentlich" installieren, aber dann würde die Meldung anders lauten. Es ginge nicht um eine ANKOMMENDE Verbindung ZU einem Port deines PCs sondern um eine Anwendung "bin_ganz_harmlos.exe" oder "bin_eine_wichtige_windowsdatei.exe" und deine FW würde dich fragen, ob diese Datei eine Verbindung NACH DRAUSSEN aufbauen darf. Da der Normalanwender mit solchen Fragen überfordert ist, entscheidet er im Zweifelsfall falsch.
BTW: Hättest du einen vernünftigen Virenscanner, würde dieser wahrscheinlich (nicht unbedingt) den Schädling melden, wenn du ihn herunterlädst oder installierst. Letztlich ist aber nur der Verzicht auf unseriöse Softwarequellen ein Schutz vor Trojanerservern.
Eine PF kann NICHT unterscheiden, welche Daten, die dein PC empfängt oder sendet, böse sind.
GarfTermy rawman „Frage zu Norton Antivirus Meldung“
"...Eine PF kann NICHT unterscheiden, welche Daten, die dein PC empfängt oder sendet, böse sind..."
andere lösungen haben neutrale meldungen - es gibt auf PF, die nicht mit vermutungen kommen... welche? zb der blackice defender (grins).
zum thema norton besteht allerdings einigkeit.
;-)
Tilo Nachdenklich rawman „Frage zu Norton Antivirus Meldung“
Ist es nicht so, dass KERNEL32.DLL ständig aufs Internet zugreift wenn man surft. Meine Norton Firewall ist so konfiguriert, dass sie dafür nicht einmal Warnmeldungen protokolliert.
Teletom rawman „Frage zu Norton Antivirus Meldung“
Die erste Meldung erscheint auf Grund des Application-Filters der Firewall:
Zulassen
Haken bei Immer diese Aktion verwenden
OK
Die zweite Meldung erscheint, weil die Firewall im Begriff ist, einen eingehenden Ziel-Port zu blockieren.
Wenn man eingehende Ziel-Ports (gezielt auf die eigene IP-Nummer) blockiert, erscheint bei einem denkbaren Portscan bei den blockierten Ports als Ergebnis "gefiltert". Bei ernstgemeinten Angriffen kann das "gefiltert"-Ergebnis zu weiteren Angriffen provozieren.
Besser ist immer das Ergebnis "kein Dienst feststellbar". Wenn sich kein Backdoor/Subseven - Server (-Dienst) läuft, ist natürlicherweise auch kein Port 27374 offen und es ist "kein Dienst feststellbar", wenn keine Port-Blockierung vorgenommen wird.
Empfehlung: Port freischalten, in dem die Firewall temporär abgeschaltet wird, und einen Portscan auf die eigenen Ip-Nummer (127.0.0.1) durchführen. Wenn nur notwendige Ports offen sind, ist alles OK, zum Beispiel wenn ein Webserver eingerichtet ist, muss Port 80 verfügbar sein. Ist ein nichtnotwendiger Port offen, musst Du den Trojaner entfernen. Firewall wieder einschalten und Port 27374 nicht blockieren.
Es ist gut, wenn man regelmäßige Portscans auf die eigene IP-Nummer plant (zum Beispiel mit dem Tool MNU http://www.micronline.com/download/index.html).
Gruß
Teletom
-IRON- rawman „Frage zu Norton Antivirus Meldung“
Teletom -IRON- „Besser ist immer das Ergebnis kein Dienst feststellbar . Noch besser ist es,...“
Äh, wenn kein Dienst läuft, kommt auch "kein Dienst feststellbar".
Du meinst doch nicht etwa wirklich, dass die "Gegenseite mindestens viermal dasselbe versucht", beispielsweise Port 80 bei allen PCs ohne Webserver zu erreichen?
-IRON- Teletom „Äh, wenn kein Dienst läuft, kommt auch kein Dienst feststellbar . Du meinst...“
Äh..ja eben, du Blitzmerker.
Heute im Usenet:
Wer nicht verstanden hat, wozu ICMP-Nachrichten dienen, der möge bitte davon absehen, sie einfach so zu filtern. [Heiko Schlenker in dcsf]
Teletom -IRON- „Äh..ja eben, du Blitzmerker. Heute im Usenet: Wer nicht verstanden hat, wozu...“
Selber Blitzmerker,
es merkt keiner, offensichtlich noch nicht einmal Du, was Du damit sagen willst.
Nickles.de kannst Du nicht ohne Weiteres mit Deinem Usenet vergleichen. Ist aber trotzdem erfreulich, wenn Du Dich mit ICMP beschäftigst. ICMP kann man prima mit Hilfe einer Firewall einstellen. Da muss man natürlich die ICMP-Funktionen kennen, das ist nicht einfach aber so schwer kann es doch auch wiederum nicht sein. Darüber hinaus gibt es bekanntlich vorkonfigurierte Firewalls.
Einfach nur installieren und das war es.
Gruß
Teletom
