|
Plagegeister aller Art und deren Bekämpfung: Intrusion.Win.MSSQL.worm.HelkernWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.08.2007, 11:14 | #1 |
| Intrusion.Win.MSSQL.worm.Helkern Hallo! Mein Kaspersky wirft immer diese Meldung aus: 07.08.2007 12:07:05 Intrusion.Win.MSSQL.worm.Helkern 72.54.118.146 UDP 1434 Was ist das? Und an was liegt das? Bitte um Support! Das nervt nämlich^^ Ist glaub ich kein Virus! Also Kaspersky meldet immer nur: Angriff auf IP adresse von Intrusion.Win.MSSQL.worm.Helkern oder so irgendwas wenn es nochmal kommt mach ich ein screen mfG nOiZy |
07.08.2007, 11:26 | #2 |
Gesperrt | Intrusion.Win.MSSQL.worm.Helkern Das ist ein Exploit, das versucht wird bei dir zu installieren.
__________________Es nutzt die "Buffer-Overlow-Vulnerability" von nicht gepatchten Windows-Systemen... |
07.08.2007, 13:21 | #3 | |
| Intrusion.Win.MSSQL.worm.HelkernZitat:
|
10.08.2007, 10:26 | #4 |
| Intrusion.Win.MSSQL.worm.Helkern Hallo an alle. Helkern nervt wirklich ein wenig. Interessant finde ich es wenn man einmal kurz eine Whois Abfrage startet zu der IP-Adresse. z.B. 72.54.118.146 dann kommt das raus IPv4-adress: 72.54.118.146 whois.nic.mil [0] Undefined error: 0 OrgName: CBEYOND COMMUNICATIONS, LLC OrgID: CBEY Address: 320 Interstate North Parkway Address: Suite 300 City: Atlanta StateProv: GA PostalCode: 30339 Country: US ReferralServer: rwhois://rwhois.cbeyond.net:4321/ NetRange: 72.54.0.0 - 72.54.255.255 CIDR: 72.54.0.0/16 NetName: CBEY NetHandle: NET-72-54-0-0-1 Parent: NET-72-0-0-0-0 NetType: Direct Allocation NameServer: INFINITY.CBEYOND.NET NameServer: BEYOND.CBEYOND.NET Comment: For prompt attention, please send all abuse (spam, DOS, Comment: etc) correspondence to our Abuse handle...(abuse@cbeyond.net) -Cbeyond Comment: rwhois.cbeyond.net:4321 RegDate: 2005-08-03 Updated: 2006-07-31 OrgAbuseHandle: ABUSE294-ARIN OrgAbuseName: Cbeyond-Abuse OrgAbusePhone: +1-678-424-2400 OrgAbuseEmail: abuse*cbeyond.net OrgTechHandle: AI93-ARIN OrgTechName: Admin IP OrgTechPhone: +1-678-424-2400 OrgTechEmail: ip-admin*cbeyond.net Oder der "nette" Versuch vor 10 min. Abfrage nach IP-Adresse zu Name: 218.232.95.60 Zum Namen gehörende IP-Adresse : 218.232.95.60 Antwort des Whois-Servers whois.apnic.net: % [whois.apnic.net node-2] % Whois data copyright terms ******** inetnum: 218.232.0.0 - 218.233.255.255 netname: HANANET descr: Hanaro Telecom Co. descr: Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku country: KR admin-c: IS37-AP tech-c: SH243-AP remarks: *********************************************** remarks: KRNIC of NIDA is the National Internet Registry remarks: in Korea under APNIC. If you would like to remarks: find assignment information in detail remarks: please refer to the NIDA Whois DB remarks: *********************************************** remarks: *********************************************** mnt-by: MNT-KRNIC-AP mnt-lower: MNT-KRNIC-AP changed: hostmaster*apnic.net 20011122 status: ALLOCATED PORTABLE changed: hm-changed*apnic.net 20041007 source: APNIC person: Inyup Sung address: Hanaro Telecom Co. address: Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku address: SEOUL address: 137-070 country: KR phone: +82-2-106 fax-no: +82-2-6266-6483 e-mail: info*hananet.net nic-hdl: IS37-AP mnt-by: MNT-KRNIC-AP changed: hostmaster*nic.or.kr 20010523 source: APNIC person: Seungchul Hwang address: Hanaro Telecom Co. address: Kukje Electornics Cneter Bldg., 1445-3 Seocho-Dong Seocho-Ku address: SEOUL address: 137-070 country: KR phone: +82-2-106 fax-no: +82-2-6266-6483 e-mail: info*hananet.net nic-hdl: SH243-AP mnt-by: MNT-KRNIC-AP changed: hostmaster*nic.or.kr 20010523 source: APNIC inetnum: 218.232.0.0 - 218.233.255.255 netname: HANANET-KR descr: Hanaro Telecom Inc. country: KR admin-c: IM12-KR tech-c: IM12-KR status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.krnic.net. changed: hostmaster*nic.or.kr source: KRNIC In einer dritten ist dann auch einmal Peking vertreten. PS: Vielleicht findet sich jemand, der das dann auch einmal einem Anfänger richtig erklären kann. Editiert habe ich die aktiven Links, ich hoffe das war richtig so? mfg severin Geändert von severin (10.08.2007 um 11:05 Uhr) |
10.08.2007, 11:04 | #5 | |
| Intrusion.Win.MSSQL.worm.Helkern Hallo, Zitat:
Obwohl eigentlich der Link von Rene-gad alles schon sagt,man müsste ihn halt mal lesen.... Deine AV-Pappschachtel hat dich eine Menge Geld gekostet.Damit du nie den Eindruck bekommst das die Pappschachtel ihr Geld nicht wert ist, meldet sie sich von Zeit zu Zeit... Obwohl du vermutlich in keinem Netzwerk bist,wird ein solches überwacht... Stelle nicht mir die Frage nach dem Sinn ,stelle ihn bei Kaspersky...... Nun poppt dein Kasper mit diesem angeblichen Angriff auf und will damit seine Wichtigkeit unter Beweis stellen.Wenn deine Kasperskylizens abgelaufen ist,sollst du ja dort wieder verlängern.... Schaltest du die Netzwerküberwachung aus ist auch Schluß mit dieser überflüssigen Meldung... Irrlicht |
10.08.2007, 11:08 | #6 |
/// Helfer-Team | Intrusion.Win.MSSQL.worm.Helkern Hi, Helkern ist ein Wurm, der nur auf Microsoft-MySQL-Server zielt. Der Fehler ist übrigens schon seit Jahren gepatcht, also selbst wenn Du so einen Server auf de System haben solltest (unwahrscheinlich), besteht kein Grund zur Sorge, da Du ja regelmäßig alle Sicherheitsupdates für deine Software installierst und da Kaspersky den Exploitversuch erkannt und blockiert hat. Daran, dass die Dinger im Internet immer noch unterwegs sind, kannst Du erkennen, dass veraltete und unsichere Systeme seit Jahren online sind. Diese Firewalls neigen dazu, aus jedem Ping ein Drama zu machen, sonst wüsstest Du ja nicht, wie gut es ist, sie auf dem Rechner zu haben. Empfehlung: Warnmeldungen ausschalten. Verhindern könntest Du die "Angriffe" nur, indem Du deinen Rechner vom Internet trennst, die gehören zum Internet nun mal dazu. Oder Du legst dir einen Router zu, dann bleiben sie bereits dort hängen. Gruß, Karl |
10.08.2007, 15:05 | #7 | |
Gesperrt | Intrusion.Win.MSSQL.worm.HelkernZitat:
|
10.08.2007, 18:25 | #8 |
| Intrusion.Win.MSSQL.worm.Helkern Dankeschön für die Erklärungen. mfg severin |
Themen zu Intrusion.Win.MSSQL.worm.Helkern |
adresse, angriff, griff, ip adresse, kaspersky, melde, meldet, meldung, nervt, support, virus |