hallo zusammen!
ich habe mal versucht, einem schädlingsfund weiter auf den grund zu gehen, wozu mir aber doch etwas wissen fehlt. vielleicht mag jemand von euch etwas übersetzungshilfe leisten:
ich habe hier einen rechner (windows *%&§@!!* xp 
bei dem adaware einen data miner (cookie) der firma mediaplex meldete. im editor sieht das so aus:
svid
29185228428
1024
1655980032
30012108
924985504
29609451
nun würde gern mal ich leute fragen, die sich mit so etwas auskennen: lässt sich erkennen, was das ding genau getrieben hat?
zweitens habe ich nach der löschung des spions mit meinem halbwissen mal netstat -a eingegeben und für mich doch zu kryptische angaben erhalten:
tcp s-kz07wx4xp0si:epmap s-kz07wx4xp0si:0 abhören
tcp s-kz07wx4xp0si:microsoft -ds s-kz07wx4xp0si:0 abhören
dann eine liste von einträgen wie zeile 1 nur statt „epmap“ an den ports
1025-8, 3001-3, 5000
danach noch
udp s-kz07wx4xp0si:microsoft -ds *:*
gleiches mit endung :isakmp und je 2 mal :ntp und :1900 (anstelle von „microsoft -ds“)
dafür könnte ich mal eine übersetzung gebrauchen: was sagt mir eine solche zeile konkret und welche dieser angaben lässt auf gefährliche aktivitäten schließen?
kurze aufklärung wäre doch sehr nett
greetings
bernd
Hallo bernd,
zweitens habe ich nach der löschung des spions mit
meinem halbwissen mal netstat -a eingegeben und für mich doch
zu kryptische angaben erhalten:
Das Ganze sieht so aus:
Proto Lokale Adresse Remoteadresse Status
tcp s-kz07wx4xp0si:epmap s-kz07wx4xp0si:0 abhören
tcp s-kz07wx4xp0si:microsoft-ds s-kz07wx4xp0si:0 abhören
Die erste Spalte „Proto“ gibt das Internet-Protokoll an welches zur Übertragung der Daten verwendet wird: Hier findest du normalerweise TCP und UDP.
Unter „Lokale Adresse“ findest du deine Adresse und nach dem „.“ ist die Portnummer angegeben. Bei einigen Diensten ist da auch ein Name anstatt der Nummer zu finden.
Unter „Remoteadresse“ ist angegeben zu welchem Rechner diese Verbindung aufgebaut wurde, sofern sie verwendet wird.
„s-kz07wx4xp0si“ ist der Computername, welchen du deinem Computer gegeben hast, da bist du selber schuld, oder dein Admin.
Unter „Status“ steht meist „ABHÖREN“ oder „HERGESTELT“ im Prinzip sollte es da noch „AUFBAUEN“ und „TRENNEN“ geben.
„ABHÖREN“ bedeutet, dass das Programm, welches diesen Port bedient, bereit ist und und darauf wartet, dass irgendjemand etwas von ihm will.
MfG Peter(TOO)
moin peter,
besten dank für die erklärung, so habe ich mir das ansatzweise auch ausgemalt. dem entnehme ich, dass bei diesen aktionen anscheinend nicht unübliches/bedenkliches zu sehen ist…(?)
eine dumme frage hätte ich noch:
Unter „Remoteadresse“ ist angegeben zu welchem Rechner diese
Verbindung aufgebaut wurde, sofern sie verwendet wird.
wo lokale und remoteadresse nahezu identisch sind- bedeutet das, dass der rechner auf aktionen von sich selbst wartet? *etwasverwirrtbin*
„s-kz07wx4xp0si“ ist der Computername, welchen du deinem
Computer gegeben hast, da bist du selber schuld, oder dein
Admin.
hmm- kann mich zwar nicht erinnern, ihn so genannt zu haben, aber sei’s drum 
„ABHÖREN“ bedeutet, dass das Programm, welches diesen Port
bedient, bereit ist und und darauf wartet, dass irgendjemand
etwas von ihm will.
…und das ist erstmal business as usual, nehme ich an.
beste grüße
bernd
Hallo Bernd,
Habe mir Deine Frage zwar ganz durchgelesen, verstehe aber auch nicht gerade viel davon.
Das Einzige, was mir auf Anhieb dazu einfällt, ist, dass:
mediaplex.com/
…auch Teile von eBay, insbes. Auktionsbilder hostet. Dass Mediaplex möglicherweise auch statistische Daten sammelt, aus den Klicks auf Links in eBay-Newsletters, könnte zudem noch möglich sein.
Auf „dieser Ebene“ der Technik sind die da ziemlich in sich „verklüngelt“.
HTH (für’s Hintergrund-Verständnis zumindest)
CU DannyFox64
Hallo bernd,
wo lokale und remoteadresse nahezu identisch sind- bedeutet
das, dass der rechner auf aktionen von sich selbst wartet?
*etwasverwirrtbin*
So in etwa )
Dies sind vor allem Broadcast-Dienste, also Dienste welche als Ziel IP 0.0.0.0 verwenden und somit alle Computer im Netzwerk ansprechen. Dabei kann dein Computer sowohl Empfänger als auch Sender eine solchen Meldung sein.
Jetzt wird es technisch:
Jeder PC im Netzwerk hat eine eigene IP-Adresse und du musst die IP verwenden, wenn du einen bestimmten Computer "ansprechen willst.
Allerdings kann man im Ethernet eine Datenpaket nur an eine MAC-Adresse versenden (MAC = Media Access Controll, die MAC ist 48 Bit lang und ist in deiner Netzwerkkarte abgelegt. Eigentlich sollte weltweit jede MAC nur einmal vergeben sein).
Was nun fragte sich der Hase?
ARP (Address Resolution Protocoll) ist die Lösung.
ARP sendet die Frage: „wer hat die IP w.x.y.z ?“ an Alle und der Computer mit der entsprechenden IP meldet sich dann mit seine MAC. Nun können alle Computer die „mitgehört“ haben eine Tabelle mit der Zuordnung der IP- zur MAC-Adresse anlegen.
„s-kz07wx4xp0si“ ist der Computername, welchen du deinem
Computer gegeben hast, da bist du selber schuld, oder dein
Admin.
hmm- kann mich zwar nicht erinnern, ihn so genannt zu haben,
aber sei’s drum
Die hat dann wohl XP bei der Installation so vergeben.
Unter „Systemsteuerung“->„System“->TAB „Computername“ kannst diesen Ansehen und ändern.
MfG Peter(TOO)
1 „Gefällt mir“
moin peter,
besten dank für die anfängerfreundliche erklärung- da blick ich gleich etwas besser durch
greetings
bernd