Ich habe neben Anti-Trojan auch noch Norton AntiVirus und Norton Personal Firewall installiert.

Gestern habe ich von der Firewall innerhalb weniger Sekunden 6x einen Alarm gemeldet bekommen (Rule Default Block Backdoor/SubSeven Trojan blocked; Details: Inbound TCP connection). Ungefähr 6 Stunden später kommt wieder 4x hintereinander der gleiche Alarm. Heute vor einigen Minuten wieder.

Anti-Trojan hat bei einem kompletten Festplattenscan keine Trojaner gefunden.

Wodurch könnten diese Alarmmeldungen hervorgerufen worden sein?
Vielen Dank im voraus.

Sind einfach Pings. Mehr nicht. Les dir am besten die anderen Posts/Threads zur Norton Firewall an.

Dann wirst du sehen, was ich mein.

Vielleicht hilft Dir dies auch weiter:
http://www.rokop-security.de/main/ar...id=307#Angriff

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Hi sixx58 das sind nur harmlose portscans, du solltest die regeln indenen rojanernamen stehen löschen. Lies dir auch mal die Firewall FAQ durch.
Du findest sie hier : http://www.trojaner-info.de/firewall/index.shtml

(Rule Default Block Backdoor/SubSeven Trojan blocked; Details: Inbound TCP connection)

Inbound heisst, es hat jemand versucht mit einem Sub7-Client zu dir zu connecten. Wenn du aber nicht infiziert bist geht das aber natürlich nicht.
Wenn da Outbound stehen würde, dann bist du infiziert.

Meistens steckten da wie Lucky es schon sagte einfache pings oder aber Portscans über den Port von SubSeven zu solchen Meldungen.

</font><blockquote>Zitat:</font><hr />Original erstellt von Apache:
Inbound heisst, es hat jemand versucht mit einem Sub7-Client zu dir zu connecten. Wenn du aber nicht infiziert bist geht das aber natürlich nicht.
Wenn da Outbound stehen würde, dann bist du infiziert.</font>[/QUOTE]Nicht ganz richtig! Die "Firewall" zeigt wirklich nur einen Portscan an und zwar auf dem Port, den auch Subseven scannen würde. Aber wer da wirklich scannt, kann sie natürlich nicht erkennen....

Gorgo

@Gorgo

Stimmt schon, hab ganz vergessen, dass Norton nicht anzeigt ob es sich um Scans oder Verbindungsversuche handelt.

Wenn man jemanden scannt ob bei ihm Sub7 läuft dann sicher nicht nur einfach so. Meist will dann jemand auch connecten.

@ Gorgo und die anderen Profis:
Was würde denn jemand mit einem Ping/Portscan bei jemanden bezwecken können, wenn derjenige nun keine Firewall hat und auch die entsprechenden Ports nicht geschlossen hat?
-&gt; Hab keine Firewall und wie man Ports selber schließt weiß ich auch nicht
Da ich aber AVK habe brauch ich doch weiter nichts mehr zu tun oder?
Trojaner, die auf meinem PC landen könnten (was ja ohne weiteres wahrscheinlich nicht möglich ist) würden doch vom AV Programm entfernt werden.
Danke

Wenn du nen aktiven Server auf der HD hast und er entdeckt wird kann sich jemand mit dem Server connecten. ansonsten je nachdem welche ports offen sind und welcher dienst dahinter aktiv ist ( z.B. Netbios) kann sich jemand darübermit deinem pc verbinden und verschiedene dienste starten, deine Daten lesen, oder auch verändern.
Gruß Miraculix

Hi Miraculix,
erm....ich muss mich mal wieder als Greenhorn outen ....was ist Netbios
Dienste, die ich hab sind soweit ich weiß blos der msn messenger....lacht mich ruhig aus, wenn das kein dienst ist lol, hab halt keine ahnung
-&gt; netbios hört sich wie ein trojaner an
egal, danke trotzdem

[ 14. Januar 2003, 20:18: Beitrag editiert von: I_wanna_know ]

Netbios ist verwendet die ports 137-139. In einem Netzwerk wird die Verbindung zu anderen Computern über diese Ports hergestellt.
Gib mal in der MS Dos Eingabeaufforderung netstat -an ein dann werden dir alle Verbindungen deines PC angezeigt. Andere können auch über verschiedene Befehle rausfinden welche dienste bei dir freigegeben sind. Wie du diese Ports schliesst findest du hier für win9x

NetBIOS
ist ein älteres Netzwerkprotokoll das ursrpünglich von IBM entwickelt worden war und dann von Microsoft in den ersten Netzwerkprodukten eingesetzt wurde. protokolle sind notwendig damit informationen im netz bewegt werden, mittlerweile ist TCP/IP PROTOKOLL das standard,

jedes Protokoll benutzt bestimmte PORTS, die in rohzustand deines systems meistens alle offen sind, hacker stobern im netz nach diesen ports um zugang zu den rechnern zu erlangen

Danke Miraculix und cemosde, gute Erklärungen [img]smile.gif[/img]
Werde wahrscheinlich bald mal versuchen die Ports per Hand zu schließen, dann brauch ich auch keine Firewall.
Ciao

[ 14. Januar 2003, 20:48: Beitrag editiert von: I_wanna_know ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Miraculix1:
Andere können auch über verschiedene Befehle rausfinden welche dienste bei dir freigegeben sind. Wie du diese Ports schliesst findest du hier für win9x</font>[/QUOTE]Allerdings sollte erwähnt sein dass Windows Netzwerkfunktionen abgeschaltet werden wenn man Netbios deaktiviert.Eine Anmeldung an einer Domäne oder die Nutzzung von Resourcen der Workgroup ist völlig blockiert.
Von daher ist es nicht immer sinvoll Netbios zu deaktivieren, vielmehr sollte man in solchen Fällen auf Nat/VPN und auf Clients mit Basis Windows 2000/XP (Wegen Kerberos) setzten.

Für private PC´s kann eine abschaltung durchaus sinnvoll sein wenn der PC als einsame Workstation laufen soll.