Ist die Datei MPREXE.EXE (WinME\System) eine Systemdatei oder kann es ein trojaner sein?
Meine log Datei von Norton Internet Security 2001
Date: 28.10.2000 Time: 21:18:46
Rule „Default Outbound NetBIOS“ permitted (212.216.50.255,nbname). Details:
Outbound UDP packet
Local address,service is (powerpc,nbname)
Remote address,service is (212.216.50.255,nbname)
Process name is „MPREXE.EXE“
Bekomme dann kurz nachdem ich online gegangen bin die Meldung
Date: 28.10.2000 Time: 20:54:46
Rule „Default Block Backdoor/SubSeven Trojan“ blocked (powerpc,27374). Details:
Inbound TCP connection
Local address,service is (powerpc,27374)
Remote address,service is (195.223.241.36,4957)
Process name is „N/A“
Bekomme dann kurz nachdem ich online gegangen bin die Meldung
Kommt diese Meldung jedesmal, wenn Du online gehst?
Date: 28.10.2000 Time: 20:54:46
Rule „Default Block Backdoor/SubSeven Trojan“ blocked
(powerpc,27374). Details:
Inbound TCP connection
Local address,service is (powerpc,27374)
Remote address,service is (195.223.241.36,4957)
Process name is „N/A“
Zu Port 4957 konnte ich nirgendwo was konkretes finden, vielleicht findest Du mehr als ich auf http://www.trojaner-info.de/.
Ich vermute, daß Dein PC auf einen offenen Port gescannt wurde und daher Deine FW Alarm geschlagen hat. Genauere Infos zum Logfile-Eintrag sollten in der Hilfedatei stehen.
Die andere Möglichkeit ist natürlich, daß Du bereits den Trojaner auf Deinem PC hast und die FW den oben genannten Port schließt.
Date: 28.10.2000 Time: 20:54:46
Rule „Default Block Backdoor/SubSeven Trojan“ blocked
(powerpc,27374). Details:
Inbound TCP connection
Local address,service is (powerpc,27374)
Remote address,service is (195.223.241.36,4957)
Process name is „N/A“
Zu Port 4957 konnte ich nirgendwo was konkretes finden,
vielleicht findest Du mehr als ich auf http://www.trojaner-info.de/.
Der Source Port hat keine spezifische Bedeutung. Er wird im Bereich 1024-65535 von der Maschine des Absenders frei gewählt (meist einfach aufsteigend).
Charakteristisch für den angeforderten Dienst (hier SubSeven) ist lediglich der Destination Port, also 27374.
Ich vermute, daß Dein PC auf einen offenen Port gescannt wurde
und daher Deine FW Alarm geschlagen hat. Genauere Infos zum
Logfile-Eintrag sollten in der Hilfedatei stehen.
Ja, genau. Solche Meldungen werden in der Regel von Portscans erzeugt. Der Angreifer läßt einfach einen Raum von IP-Adressen scannen. Interessant wäre allerdings, ob die Remote-IP (195.223.241.36) aus demselben Subnetz stammt wie Deine eigene, als Du online warst. Häufig ist es nämlich so, daß die Spielkinder einfach mal die Adressen scannen, welche ihrer eigenen ähnlich sind. Angreifer und potentielles Opfer sind somit häufig beim selben Provider zu finden.
Eine Verbindung, welche Daten zwischen Deinem Rechner und dem ANgreifer überträgt, kommt erst zustande, wenn auch Outbound Traffic zur IP des Angreifers angezeigt wird. Dann allerdings hast Du ein ernstzunehmendes Problem, denn es befindet sich irgendein Programm auf Deinem Rechner, welches auf eine Anfrage antwortet oder selbst die Initiative ergreift, um eine Verbindung aufzubauen.