Bin bei meinen letzten Sitzungen in einem Cafe angegriffen worden. Das Resultat war ein Absturz, vorher eine völlige Übernahme durch den Angreifer (Maus reagiert nicht, Verbindung kann nicht gekappt werden), bzw. Notaus durch mich.
Aus den Protokollen von Wireshark geht hervor, dass ich Malformed Packets mit Protokoll LLC erhalten habe von MAC Adressen Cisco_00:00:00, Xerox_00:00:00, Microcom_01:00:00 oder 00:00:00_00:00:00. Nutze Windows XP, SP2.

Als erstes habe ich meinen Intel Pro WLAN Treiber upgedatet, da es dort Vulnerabilities gibt.

Meine Fragen sind: Wer ist der Angreifer? Muss er im gleichen Cafe sitzen oder kann er mir von irgend einer IP Adresse die Packets senden? (Meine Abstürze waren in drei verschiedenen Cafes) Wie kann ich mich schützen? Hat jemand gleiche Erfahrungen? Kennt jemand die MAC Adressen? (Bei Google nicht zu finden.) Kann jemand mein Wireshark Protokoll (letzten 5 Packets) auswerten.

Vielen Dank für Hilfe und Informationen

Warum benuzt Du Software von Der Du keine Ahnung hast?

Zitat:

Kann jemand mein Wireshark Protokoll (letzten 5 Packets) auswerten

Wenn Du dazu selber nicht in der Lage bist und Protokolle fehlinterpretierst, siehe meinen ersten Satz.

Fangen wir mal vorne an.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Bata

vielen dank für die schnelle antwort. ich bin kein netzwerkspezialist und stosse schnell an grenzen. es bleibt die frage: werden die abstürze durch einen trojaner oder durch wardriving verursacht?

eine warnung ist hier zu lesen:
hp://www.heise.de/newsticker/meldung/76262

normalerweise sehe ich im netzwerk nur die MAC Adressen von Server, Router und die eigene, bzw. von anderen surfern im gleichen wlan netz.
das llc protokoll scheint auch nur von den servern oder routern verwendet zu werden. kann also z.b. ein hacker in russland oder china mir ein malformed packet vom protokoll llc mit einer fake MAC Adresse zu senden, in dem keine ip adresse und kein port zu sehen sind? mich interessiert nur die software-technische machbarkeit? oder sitzt der angreifer neben mir?

der tip mit HijackThis ist gut. werde beim nächsten absturz das system scannen und sichern, bevor ich mein image zurück spiele.

wireshark ist nur zu empfehlen: da ich an öffentlichen hotspots surfe, protokolliere ich den gesamten datenverkehr:
- flashget baut im hintergrund emule verbindungen auf, obwohl ich dies bei der installation nicht aktiviert habe. nutze jetzt den free download manager.
- microsoft office programme senden malformed packets auf port 2222 innerhalb eines netzes.
- nach der installation von azeurus (torrent) haben ich innerhalb von wenigen stunden 1000 verschiedene ip adressen auf meinen laptop zugegriffen. habe es sofort wieder entfernt.
- etwa die hälfte der ip adressen im protokoll sind ad server, verglichen mit hosts dateien von noadshost, mvps.org, someonewhocares.org, everythingisnt.com, hostsfile.mine.nu. habe meine hosts datei jetzt ersetzt.
- die malformed packets haben mich zum update des wlan treibers animiert und mich auf die schwachstelle aufmerksam gemacht.
- nur durch besuchen einer webseite wird ein virus installiert, der weiteren code von anderen ip adressen nach lädt. lade die webseite jetzt mit free download manager, dann passiert nichts.
- das protokoll erreicht in wenigen stunden schnell 100 mb, ein volumentarif von 2gb ist nicht zu empfehlen.
- beim downloaden von imagefap.com (85.17.40.9:99) habe ich viele packets mit exotischen protokollen festgestellt. ist mir nicht geheuer.
- der server baut manchmal eine netbios session auf. habe daher keinen drucker installiert.
- das surfverhalten wird von ivwbox.de ausgewertet.
sobald ich auffälligkeiten im protokoll erkenne, forsche ich im internet nach. komischerweise habe ich keine einträge mit den fake MAC Adressen gefunden.

Im CafeBerlin