Hallo,

ich bekomme immer Angriffe von der gleichen Stelle von Zone Alarm gemeldet und zwar von folgender IP. Kennt jemand diese Adresse zufällig?

Keiner meiner Virenscanner findet eine Malware, weder Nod32 noch Kaspersky, noch BitDefender, also das beste vom besten, ebensowenig Windows Defender,
noch Antispyware, es kann ja höchstens noch ein super geheimes rootkit sein..



aral.de??? Seltsam oder? Die Email Adresse des hosters ist blockiert, ich wollte ihn verwarnen, sollte man wohl den Behörden melden.

Bringt diese Internetbeschwerdestelle eigentlich was?

Hallo SystemPro,
den Port hat früher der Mydoom Wurm gerne benutzt/geöffnet.
Frage also :Hast du eine Email aus unbekannter Quelle vor kurzem geöffnet ?
Irrlicht

Hallo SystemPro,

scheint was ausländisches zu sein
Information related to '194.225.118.0 - 194.225.118.255'

inetnum: 194.225.118.0 - 194.225.118.255
netname: Kalij-Uni
descr: Khalij University of Boushehr
descr: Dous Str, Daneshjoo Str,
descr: P.O.C. 7516913798
descr: Boushehr-Iran
country: IR
admin-c: MS875-RIPE
tech-c: MS8775-RIPE
status: assigned pa "status:" definitions
mnt-by: IPM-MNT
source: RIPE # Filtered

person: Michael Schmitt
address: ARAL AG
address: Wittener Strasse 45
address: D-44789 Bochum
address: Germany
phone: +49 234 315 0
e-mail: M.Schmitt@aral.de
nic-hdl: MS875-RIPE
source: RIPE # Filtered

person: Mohammad Soleymani
address: Mehran alley, Azarmina St., 9th Koohestan St.,
address: Ekhtiarieh ave., Tehran,Iran
phone: +9821 2291812
fax-no: +9821 2298656
e-mail: mohammad@iranet.ir
nic-hdl: MS8775-RIPE
mnt-by: IPM-MNT
source: RIPE # Filtered

% Information related to '194.225.118.0/24AS31732'

route: 194.225.118.0/24
descr: Boushehr route over AM22
origin: AS31732
mnt-by: Parsun-MNT
source: RIPE # Filtered



chaosman

Iran oder Aral AG? Wahrscheinlich ist das der Lieferant für die Aral Tanke, woher soll denn der Sprit sonst kommen, als aus dem Iran, zweitgrößte Ölreserven der Welt, wenn ich mich recht erinnere..

Jedenfalls ist bei diesem Schmitt die Email geblockt.

Ich habe keine Mail geöffnet, kenne mich selbst eigentlich ziemlich gut aus,
also Anfängerfehler sind praktisch völlig auszuschließen.

Es kann sich nur um was außerordentlich spitzfindiges handeln, mein System zu kompromittieren, dazu bedarf es schon einiges. Bin sicherheitstechnisch gut bedient, wie z.B. mit: Zone Alarm 6.1,Tiny 2005, Nod32, GData, Process Guard, AppDefend beta, WinDefender Beta, um nur mal einige meiner tools zu benennen, das sind noch lange nicht alle, aber gehören schon zum besten, was es gibt.

Dieser 1080er Port ist bei mir gar nicht geöffnet, jedenfalls nicht zu sehen, daß er geöffnet ist,
aber komischerweise versuchen Angreifer immer diesen, seltener den http(port 80).

Zu dem Port 1080 fällt mir sonst auch nur noch ein, daß er als Socks Proxy benutzt wird und ich habe mal gehört er solle auch für den oldtimer Trojaner Sub7 2.2 gedient haben, vielleicht weiß ja noch jemand mehr darüber?!

Übrigens seit ich diesen Rechner hier habe (ca. 1 Jahr) , hat noch keine Windows installation sauber funktioniert, erst durch den abgesicherten Modus konnte ich nach der Windows Installation überhaupt auf den Rechner zugreifen, manchmal überspringt Win XP Pro bei der Neuinstallation diverse Prozeduren, z.B. wird die Installation der Netzwerkkonfiguration einfach übergangen.

Zitat:

Zitat von SystemPro

Es kann sich nur um was außerordentlich spitzfindiges handeln, mein System zu kompromittieren, dazu bedarf es schon einiges.

*reusper* Du hast Dein SYSTEM mit Zonealarm "gesichert" ! Das fällt niemand wirklich schwer ... SORRY!

Gruß
Daniel..

Würde ich jetzt Outpost 3.5 nehmen, wäre es wohl auch nicht viel besser, obwohl, daß die beste Firewall am Markt ist.

Wenn das System im Innersten, sprich hardwaremäßig kompromittiert ist, hilft gar nichts, so weit kann auch ich denken.

@SystemPro

Zitat:

Würde ich jetzt Outpost 3.5 nehmen, wäre es wohl auch nicht viel besser, obwohl, daß die beste Firewall am Markt ist.

Es gibt noch Besseres und kostet kein Cent.

Zitat:

Wenn das System im Innersten, sprich hardwaremäßig kompromittiert ist, hilft gar nichts, so weit kann auch ich denken.

Sorry, ich kann diesen Satz nicht verstehen.

Zitat:

Wenn das System im Innersten, sprich hardwaremäßig kompromittiert ist, ...

Ja, ich vermute auch, dass sich das etwas im IDE-Controler festgesetzt hat. Vermutlich eine Win32.PEBKAC.SysCrash-Variante. Kann das jemand anderes bestätigen?

Zitat:

Vermutlich eine Win32.PEBKAC.SysCrash-Variante.

Ja, deutet alles darauf hin. Leider hat Sophos noch keine genaue Beschreibung dieser Variante rausgebracht. Es scheint auf jeden Fall festzustehen das es auch die oberen Ebenen der eigenen Festplatte befällt, wodurch er besonders schwer zu entfernen ist.


Grüße Wildone

Vermutlich eine Win32.PEBKAC.SysCrash-Variante.
Ja, am Besten austauschen



chaosman

@Renegade: Die Windows internen Ports sind alle dicht, die Turnübung mache ich bei jeder Winreinstallation.

@alle Spaßvögel: So geeky war ich noch nicht =>(PEBKAC = Problem Exists Between Keyboard and Chair) Aber gut zu wissen, allerdings ist das nonsense und führt am Thema vorbei.

Hallo SystemPro
Übrigens seit ich diesen Rechner hier habe (ca. 1 Jahr) , hat noch keine Windows installation sauber funktioniert, erst durch den abgesicherten Modus konnte ich nach der Windows Installation überhaupt auf den Rechner zugreifen, manchmal überspringt Win XP Pro bei der Neuinstallation diverse Prozeduren, z.B. wird die Installation der Netzwerkkonfiguration einfach übergangen.

Hast du dein Rechner schon mal formatiert in dieser Zeit?

wie z.B. mit: Zone Alarm 6.1,Tiny 2005, Nod32, GData, Process Guard, AppDefend beta, WinDefender Beta, um nur mal einige meiner tools zu benennen, das sind noch lange nicht alle, aber gehören schon zum besten, was es gibt.

Du scheinst dich gerne auf Betas und Tools zu verlassen zu verlassen, trotz sämtlichen Tools kan man dein Rechner infizieren. Es hängt eher von dein Surfverhalten als von den Tools ab.
chaosman

(und das Thema, finde ich, hätte schon mal in eine Tech-Ecke kopiert werden können, damit ich hier nicht reinfunken muss )

Versteh ich das richtig - die Festplatte selbst ist befallen?
Dieser IDE-Controller, dachte ich, ist eine "Karte", an der die Festplatte mit diesen Flachbandkabeln angeschlossen wird.

Allerdings lese ich gerade hier

Zitat:

Weil die eigentliche Steuerung auf den Festplatten sitzt ...

also doch ...

Zitat:

Zitat von cotton

Versteh ich das richtig - die Festplatte selbst ist befallen?

Wir hatten eine Win32.PEBKAC-Variante diagnostiziert. Wenn es jetzt nicht klingelt, füge bitte Deine Daten in folgendes Formular ein.

... naja, merkbefreiung ausgefüllt ...

ne, wenn man als Hardware Laie da kurz drüber liest, klingt das .... ä ja, egal.
-----------
aber - gibt es denn Möglichkeiten, das Hardware befallen wird?