Hi Plansch,

danke für das Kompliment, ja ich hänge zuviel vor diesen Kisten ;-)

Fanatismus stimmt auch, das ist auch eins meiner Laster ;-)

Am extremsten wird es erst dann, wenn man mit ethereal noch jeden Netzwerktraffic abfängt.. was die Paranoia perfekt macht.

Übrigens gibt es sicherlich auch böse Geister, die mit eingeschränkten User accounts zurechtkommen, soll heißen, auch ein eingeschränkter Benutzer ist kein Problem für jemanden, der weiß was er tut. Temp Ordner sind überall da.
Man bietet zwar weniger Angirffsfläche, aber der Unterschied verschwindet, abgesehen davon jemand der einen Kerneltreiber vor dem Windowsboot richtig platziert, dürfte wohl auch in der Lage sein alle möglichen Schranken zu überwinden, deshalb admin account oder restricted, das ist insbesondere für die standard Schädlinge sinnvoll, aber bei Profis bezweifle ich, daß das soviel hilft.

Für alle die es noch nicht wissen und dachten mit VMWare surft man sicher, weit gefehlt, VMWare ist eine Software auch die läßt sich vor den zukünftigen Schädlingen nicht schützen.
Irgendwo im Internet stehts geschrieben.

Hi!

Meine Zonealarm Firewall meldet auch am Anfang nach der Installation diese Meldungen: Die Fireall hat gesperrt Internet-Zugriff auf ihren Computer von (Net Bios-Sitzung) von 80.121.39.162 (TCP Port 3012),...
Oder auch 80.121.10.204, Port 15525


Diese Meldungen kommen am meistens nur am Anfang wen ich die Zonealarm Firewall z.B. Update und die Einstellungen wieder neu Vornehme.

Innerhalb eines halben Tages hatte ich über 1000 Zugriffsversuche verhindert und davon entsprachen 17. Warnungen 1. Grades.

Ist das normal???

Das ist nichts ungewöhnliches, meist werden auch filesharing ports von za wahrgenommen (port 4662)

Gefahr droht dann, wenn z.B. deine vsmon.exe abstürzt durch Buffer Overflow,
das ZA Icon durchgestrichen ist, das deutet auf einen erfolgreichen Angriff von außen hin (oder auch von innen). Habe ich mal erlebt, da meldete mir Tiny einen Angriff aus Rußland, plötzlich machte es peng und die vsmon.exe war gecrashed, aber da ich Tiny Firewall zusätzlich hatte konnte ich die Russen Attacke blocken und die IDS hat alles mitprotokolliert.

Manchmal hilft viel viel und nicht immer ist weniger mehr, bedenken sollte man das, es kommt immer auf die Situation an.

Es gibt natürlich auch subtile Angriffe vor allem auf ZoneAlarm konzentriert, wenn deine ZoneAlarm korrumpiert wurde bemerkst du das anhand der Tatsache, daß übliche Meldungen ausbleiben, denke immer daran der Feind hinterläßt immer Spuren. Kein noch so großartiger HighTec Hacker kann alles bedenken, er ist ein Mensch wie du und ich, diese Chance gilt es wahrzunehmen.

Selbst wenn er ein Rootkit wie Shadow Walker hätte, es gibt immer Methoden ein korruptes System zu analysieren. Nichts bleibt ohne Spuren.

@ systempro

Meinst du alles ernst, was du schreibst?

Glaubst du ein unperfektes Wesen wie der Mensch kann die perfekte Tarnung erzeugen? Das sollte deine Frage beantworten, alles ist auffindbar, wenn man weiß wie.

Know how.

In dem Punkt will ich dir ja auch nichts (Auffindbarkeit). Das ist trivial und sollte sich wohl jedem erschließen.
Mir ging es eher um den Rest, den du bis zu meinem letzten Post verzapft hast.

ZUr info der MSchmitt ist wieder da, diesmal probet er an meinem alten Rechner, als wäre er überall, was für ein irandeutscher aral freak ist das bloß, der hockt wohl 24 Std am Tag am PC und probet durch das Internet.
Es gibt doch echt kaputte Leute.

Hallo,

der Paranoia Award 2006 geht an.....
Einfach mal die PFW runter und den Diensten dan Saft abdrehen.

Gruß

Schrulli

Zitat:

@ systempro

Meinst du alles ernst, was du schreibst?

Ja, hier hast du den Livemitschnitt eines Russenangriffs, der Zone Alarm abschießt und zwar die neue Version.



Also das nennst du paranoia?



Das ist der offizielle Beweis eines persistenten Rootkits, das tcpip.sys gehookt hat und es ist kein bekanntes und auch nicht durch sogenannte Rootkit Revealer zu entdecken und auch die überflüssigen Dienste (bin kein novice) habe schon 100 mal gesagt schalte ich generell alle ab.

@ systempro

Lass dich nicht immer soviel von Filmen beindrucken!
Du kannst auch noch 20 Screenshots bringen und dein Anliegen weiterhin anglizistisch angelehnt ausdrücken.
Das holt hier keinen hinterm Ofen vor!

Zitat:

Zitat von SystemPro

bin kein novice

Allein diese Aussage läßt schon viele Schlüsse zu.