Meine Firewall meldet mir häufig einen Internetzugriffsversuch der RUNDLL32.EXE. Bin auf diesem Gebiet nicht gerade der Profi. Was ist das für eine Anwendung? Kann ich Sie dauerhaft in meiner Firewall „freischalten“ oder birgt sie Gefahren?
Meine Firewall meldet mir häufig einen Internetzugriffsversuch
der RUNDLL32.EXE. Bin auf diesem Gebiet nicht gerade der
Profi. Was ist das für eine Anwendung? Kann ich Sie dauerhaft
in meiner Firewall „freischalten“ oder birgt sie Gefahren?
Normalerweise sollte rundll32.exe keine Verbindung zum Internet aufnehmen.
Welche Kommunikation meldet die Firewall genau (welche Ports, welche IP-Adressen)?
Verwendest Du einen aktuellen Virenscanner?
Findest Du im Windows-Verzeichnis eine Datei run32.exe? In diesem Fall hast Du Dir den SirCam-Virus eingefangen.
http://vil.nai.com/vil/content/v_99141.htm
CU
Markus
Hallo Markus,
folgendes konnte ich aus meinem Norton Internet Sec. herausholen. Kannst du damit was anfangen?
Datum: 26.03.02 Uhrzeit: 18:00:00
Für dieses Mal hat der Benutzer Folgendes gewählt: Kommunikation „Zulassen“. Details:
Abgehende TCP-Verbindung
Remote-Adresse, Dienst ist (209.27.251.231,http(80))
Prozessname ist „C:\WINDOWS\RUNDLL32.EXE“
Norton Virenschutz und IntSec sind auf dem aktuellsten Stand.
Eine RUN32.Exe habe ich nicht auf meinem Rechner *freu*.
Bereits im voraus vielen Dank für deine Unterstützung.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
folgendes konnte ich aus meinem Norton Internet Sec.
herausholen. Kannst du damit was anfangen?
Datum: 26.03.02 Uhrzeit: 18:00:00
Für dieses Mal hat der Benutzer Folgendes gewählt:
Kommunikation „Zulassen“. Details:
Abgehende TCP-Verbindung
Remote-Adresse, Dienst ist (209.27.251.231,http(80))
Prozessname ist „C:\WINDOWS\RUNDLL32.EXE“
Ja. Die Sache ist eindeutig: Die Ip-Adresse verweist auf
http://upgrade.newdotnet.net
Du hast das (ziemlich nutzlose und lästige) Tool New.net installiert - bzw. es wurde installiert mit Programmen wie Bearshare oder Go!Zilla.
Unter der obigen URL findest Du die Anleitung, wie Du das Tool entfernst.
Norton Virenschutz und IntSec sind auf dem aktuellsten Stand.
Leider bringt der Virenscanner hier keinen Schutz. Die Hersteller dürfen die Erkennung solch zweifelhafter Tools nicht integrieren.
CU
Markus
Vielen Dank für deine Hilfe.
Darf ich dich noch was fragen? Also, du konntest anhand der IP die Quelle zuordnen. Wie geht das? Gibt es da eine Internetseite für? Mein Norton IntSec meldet mir häufig einen illegalen Zugriffsversuch (Trojaner Backdoor/SubSeven) IP 217.3.161.209:3724. Nun möchte ich wissen, wer das immer versucht. Denn das geschieht an mehreren Tagen, fast schon regelmäßig.
Hi Dylan!
Es gibt verschiedene Seiten, um diese Informationen zu erhalten.
Ich benutze u.a. folgende:
http://www.samspade.org/ (unter whois die IP eintragen)
http://metaspinner-media.de/mdsme/mdsme-docs/metawho…
http://www.uwhois.com/
Gruß
Beowolf
Darf ich dich noch was fragen? Also, du konntest anhand der IP
die Quelle zuordnen. Wie geht das?
Ich habe lediglich geschaut, ob es zu der IP einen registrierten Domainnamen gibt:
tracert 209.27.251.231
Eigentlich ist tracert natürlich für einen anderen Zweck gedacht, soll hier aber nicht interessieren.
Der glückliche Zufall war hier, dass ein Webserver unter dieser IP-Adresse betrieben wird, der den Hinweis auf New.net gibt.
Mein Norton IntSec meldet mir häufig einen
illegalen Zugriffsversuch (Trojaner Backdoor/SubSeven) IP
217.3.161.209:3724. Nun möchte ich wissen, wer das immer
versucht. Denn das geschieht an mehreren Tagen, fast schon
regelmäßig.
Solche Meldungen solltest Du ignorieren. Mit an Sicherheit grenzender Wahrscheinlichkeit wirst Du herausbekommen, dass es sich um den Wählpool eines Providers handelt. Da die Adressen bei der Einwahl dynamisch vergeben werden, lassen sie für den Außenstehenden keinen Rückschluss auf eine Person zu. Dies wäre den Ermittlungsbehörden vorbehalten. Ein solcher Portscan, wie Du ihn beobachtet hast, ist in Deutschland allerdings nicht strafbar.
CU
Markus