[HaBo]

Teeks · 21.06.03, 14:09

Ich benutze Sygate PF und habe die meldung bekommen das sich emule.exe seit dem letzten aufruf geändert hat. Sieht für mich ziemlich nach einem Virus aus, habe die Datei aber online mit Kaspersky geprüft und keinen Virus angezeigt bekommen. Da ich außerdem Anwendungen nur von offiziellen Magazin-Seiten herunterlade und auch Antivir auf dem Rechner hab, wollte ich besser mal nachfragen bevor ich überreagier und formatier.

LOG

The executable has changed since the last time you used: C:\Programme\eMule\eMule.exe
File Version : 1f
File Description : eMule Plus
File Path : C:\Programme\eMule\eMule.exe
Process ID : 3A0 (Heximal) 928 (Decimal)

Connection origin : remote initiated
Protocol : TCP
Local Address : 80.131.237.15
Local Port : 4662
Remote Name :
Remote Address : 82.64.192.52
Remote Port : 3385

Ethernet packet details:
Ethernet II (Packet Length: 62)
Destination: 00-00-01-00-00-00
Source: 01-00-20-00-01-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 118
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xd7f0 (Correct)
Source: 82.64.192.52
Destination: 80.131.237.15
Transmission Control Protocol (TCP)
Source port: 3385
Destination port: 4662
Sequence number: 3321078160
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x4cac (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 00 01 00 00 00 01 00 : 20 00 01 00 08 00 45 00 | ........ .....E.
0010: 00 30 C3 E8 40 00 76 06 : F0 D7 52 40 C0 34 50 83 | .0..@.v...R@.4P.
0020: ED 0F 0D 39 12 36 C5 F3 : A1 90 00 00 00 00 70 02 | ...9.6........p.
0030: FF FF AC 4C 00 00 02 04 : 05 8C 01 01 04 02 | ...L..........

22.06.03, 13:18

Das koennte sogar der Versuch eines Verbindungsaufbaus sein, weil NUR SYN
und 4662 sieht ja ganz nach dem legitimen mulePort aus

tja..ich würde sagen: formatieren

HaBo Ads

Tec · 22.06.03, 13:40

Installier Emule einfach nochmal und vergleich dann die jetzige Exe-Datei mit der neu installierten. Gibts nen Unterschied dann besorg dir mal nen anderen AV.

22.06.03, 20:24

@Teeks

Also in Anbetracht der Tatsache, das die Remote-Adresse
eine IP von einem französsischen Provider ist,

Zitat:

inetnum: 82.64.0.0 - 82.67.255.255
netname: FR-PROXAD-20030403
descr: PROVIDER
descr: Proxad, Internet Service Provider in France
country: FR

würde ich auch erstmal "eMule" deinstallieren und dann
neuinstallieren. Wenn das nicht hilft, dann mußte wohl oder
übel "formatieren und alles neuinstallieren".

MfG Rushjo

creep · 22.06.03, 21:20

und was haben die franzosen damit zu tun?

_ich_ würde nicht formatieren.

sieben · 23.06.03, 18:41

Das ist kein Logeintrag sondern ein panikverbreitendes Desaster damit du gluecklich bist und allen deinen Freunden die selbe Sicherheit empfielst. Sinnvolle Informationen sind aus dem Chaos aber nicht zu ziehen.

Teeks · 23.06.03, 20:53

Hat sich erledigt.
Ist es denn ernsthaft zu viel verlangt eine Erläuterung zur Auswertung in die Hilfe seiner Programm einzubauen? - offenbar schon

sieben · 24.06.03, 14:25

Zitat:

Original von Teeks
Ist es denn ernsthaft zu viel verlangt eine Erläuterung zur Auswertung in die Hilfe seiner Programm einzubauen? - offenbar schon

Wozu? Wenn die Leute wenigstens merken das sie Software und Netze verwenden die sie nicht verstehen, deinstallieren ein paar den Muell vieleicht auch wieder.

Teeks · 24.06.03, 17:20

Weil einem dadurch von vorneherein jede chance genommen ist sie verstehen zu können.

Kennt jemand ein Programm welches mir übersichtlich alle Verbindungen anzeigt eine logfunktion besitzt und nicht durch irgendwelche lästigen warnhinweise nervt?

sieben · 25.06.03, 12:25

Zitat:

Original von Teeks
Weil einem dadurch von vorneherein jede chance genommen ist sie verstehen zu können.

Dazu brauchst du keine Software die nur Laerm macht damit du sie toll findest.

Zitat:

Kennt jemand ein Programm welches mir übersichtlich alle Verbindungen anzeigt eine logfunktion besitzt und nicht durch irgendwelche lästigen warnhinweise nervt?

netfilter.

Teeks · 26.06.03, 00:32

Zitat:

Original von YoDa

Zitat:

Kennt jemand ein Programm welches mir übersichtlich alle Verbindungen anzeigt eine logfunktion besitzt und nicht durch irgendwelche lästigen warnhinweise nervt?

netfilter.

@yoda
Irgendwie hab ich ein Problem mit dem compilieren unter windows

Ich will mit dir weder über den unsinn von linux, noch über PFs diskutieren, aber aus dem post konnte man glaube ich schon entnehmen das es sich um windows handelt.

sieben · 26.06.03, 13:46

Zitat:

Original von Teeks

Zitat:

Original von YoDa

Zitat:

Kennt jemand ein Programm welches mir übersichtlich alle Verbindungen anzeigt eine logfunktion besitzt und nicht durch irgendwelche lästigen warnhinweise nervt?

netfilter.

@yoda
Irgendwie hab ich ein Problem mit dem compilieren unter windows

Ich will mit dir weder über den unsinn von linux, noch über PFs diskutieren, aber aus dem post konnte man glaube ich schon entnehmen das es sich um windows handelt.

Auf dem schuetzenswerten Rechner die Firewall zu installieren widerspricht schon dem Prinzip einer Firewall.

Sieh es mal so. Im zweifelsfalle kostet ein alter 486er der wunderbar als Bastion-Host fungieren kann genauso viel wie so eine Mistsoftware die nichts tut ausser uebergreifend verwirrung zu stiften. Und der lernfaktor ist auch noch drin. :-)

"vieleicht portierts ja jemand nach cygwin"
YoDa

Teeks · 26.06.03, 19:34

Ich würd mir zwar nie eine PF kaufen, hab aber tatsächlich noch einen 486er rumstehen. Ist ein Compaq Presario 520 (unverändert). Hab allerdings bisher keine Distri auf dem ding zum laufen gebracht. Da du dich aber anscheinend besser mit unix aukennst kannst du mir vielleicht eine nennen . Wenn du mir eine Distri nennen könntestst, die ICH auf dem teil zum laufen bringen könnte, währ ich dir sehr verbunden. Bisher hab ich keine gefunden mit der hardware in dem ding zurechtkam, und außerdem hat das teil nur 4MB ram, was die auswahl auch nochmal einschränkt.

MfG Teeks

sieben · 27.06.03, 15:59

Bitte verwende die Suchfunktion dieses Forums. Welche Distributionen fuer low-level-computer taugen wurde schon mehrfach besprochen.

27.06.03, 21:02

jaja Teeks.

Jeden "noob" hier im Board kritisieren und immer schön auf die arrogante tour und es nicht mal
hinbekommen "logs" zu anaysieren oder den versuch zu unternehmen mal ein System auf deinem
scheiss compaq zu installieren, geschweige denn mal google zu fragen, denn das haben schon andere
probiert.

@creep
das mit dem formatieren war auch nur ein "scherz"

sorry weil offtopic.

Empfehlung

21.06.03, 14:09	#1 (permalink)
Teeks Registriert seit: 04.06.03 Likes: 0	Verdächtiger Logeintrag Ich benutze Sygate PF und habe die meldung bekommen das sich emule.exe seit dem letzten aufruf geändert hat. Sieht für mich ziemlich nach einem Virus aus, habe die Datei aber online mit Kaspersky geprüft und keinen Virus angezeigt bekommen. Da ich außerdem Anwendungen nur von offiziellen Magazin-Seiten herunterlade und auch Antivir auf dem Rechner hab, wollte ich besser mal nachfragen bevor ich überreagier und formatier. LOG The executable has changed since the last time you used: C:\Programme\eMule\eMule.exe File Version : 1f File Description : eMule Plus File Path : C:\Programme\eMule\eMule.exe Process ID : 3A0 (Heximal) 928 (Decimal) Connection origin : remote initiated Protocol : TCP Local Address : 80.131.237.15 Local Port : 4662 Remote Name : Remote Address : 82.64.192.52 Remote Port : 3385 Ethernet packet details: Ethernet II (Packet Length: 62) Destination: 00-00-01-00-00-00 Source: 01-00-20-00-01-00 Type: IP (0x0800) Internet Protocol Version: 4 Header Length: 20 bytes Flags: .1.. = Don't fragment: Set ..0. = More fragments: Not set Fragment offset:0 Time to live: 118 Protocol: 0x6 (TCP - Transmission Control Protocol) Header checksum: 0xd7f0 (Correct) Source: 82.64.192.52 Destination: 80.131.237.15 Transmission Control Protocol (TCP) Source port: 3385 Destination port: 4662 Sequence number: 3321078160 Acknowledgment number: 0 Header length: 28 Flags: 0... .... = Congestion Window Reduce (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set ...0 .... = Acknowledgment: Not set .... 0... = Push: Not set .... .0.. = Reset: Not set .... ..1. = Syn: Set .... ...0 = Fin: Not set Checksum: 0x4cac (Correct) Data (0 Bytes) Binary dump of the packet: 0000: 00 00 01 00 00 00 01 00 : 20 00 01 00 08 00 45 00 \| ........ .....E. 0010: 00 30 C3 E8 40 00 76 06 : F0 D7 52 40 C0 34 50 83 \| .0..@.v...R@.4P. 0020: ED 0F 0D 39 12 36 C5 F3 : A1 90 00 00 00 00 70 02 \| ...9.6........p. 0030: FF FF AC 4C 00 00 02 04 : 05 8C 01 01 04 02 \| ...L..........

23.06.03, 18:41	#6 (permalink)
sieben Träger des silbernen Seepferdchens Registriert seit: 24.04.02 Likes: 9	Das ist kein Logeintrag sondern ein panikverbreitendes Desaster damit du gluecklich bist und allen deinen Freunden die selbe Sicherheit empfielst. Sinnvolle Informationen sind aus dem Chaos aber nicht zu ziehen. __________________ Diese Zeile ist reserviert für Clark Kent.

27.06.03, 15:59	#14 (permalink)
sieben Träger des silbernen Seepferdchens Registriert seit: 24.04.02 Likes: 9	Bitte verwende die Suchfunktion dieses Forums. Welche Distributionen fuer low-level-computer taugen wurde schon mehrfach besprochen. __________________ Diese Zeile ist reserviert für Clark Kent.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

22.06.03, 13:18	#2 (permalink)
Gulliver Guest Likes:	Das koennte sogar der Versuch eines Verbindungsaufbaus sein, weil NUR SYN und 4662 sieht ja ganz nach dem legitimen mulePort aus tja..ich würde sagen: formatieren

22.06.03, 13:40	#3 (permalink)
Tec Senior Member Registriert seit: 02.10.01 Likes: 0	Installier Emule einfach nochmal und vergleich dann die jetzige Exe-Datei mit der neu installierten. Gibts nen Unterschied dann besorg dir mal nen anderen AV.

22.06.03, 21:20	#5 (permalink)
creep Registriert seit: 06.12.01 Likes: 0	und was haben die franzosen damit zu tun? _ich_ würde nicht formatieren.

23.06.03, 20:53	#7 (permalink)
Teeks Themenstarter Registriert seit: 04.06.03 Likes: 0	Hat sich erledigt. Ist es denn ernsthaft zu viel verlangt eine Erläuterung zur Auswertung in die Hilfe seiner Programm einzubauen? - offenbar schon

24.06.03, 17:20	#9 (permalink)
Teeks Themenstarter Registriert seit: 04.06.03 Likes: 0	Weil einem dadurch von vorneherein jede chance genommen ist sie verstehen zu können. Kennt jemand ein Programm welches mir übersichtlich alle Verbindungen anzeigt eine logfunktion besitzt und nicht durch irgendwelche lästigen warnhinweise nervt?

26.06.03, 19:34	#13 (permalink)
Teeks Themenstarter Registriert seit: 04.06.03 Likes: 0	Ich würd mir zwar nie eine PF kaufen, hab aber tatsächlich noch einen 486er rumstehen. Ist ein Compaq Presario 520 (unverändert). Hab allerdings bisher keine Distri auf dem ding zum laufen gebracht. Da du dich aber anscheinend besser mit unix aukennst kannst du mir vielleicht eine nennen . Wenn du mir eine Distri nennen könntestst, die ICH auf dem teil zum laufen bringen könnte, währ ich dir sehr verbunden. Bisher hab ich keine gefunden mit der hardware in dem ding zurechtkam, und außerdem hat das teil nur 4MB ram, was die auswahl auch nochmal einschränkt. MfG Teeks

27.06.03, 21:02	#15 (permalink)
Gulliver Guest Likes:	jaja Teeks. Jeden "noob" hier im Board kritisieren und immer schön auf die arrogante tour und es nicht mal hinbekommen "logs" zu anaysieren oder den versuch zu unternehmen mal ein System auf deinem scheiss compaq zu installieren, geschweige denn mal google zu fragen, denn das haben schon andere probiert. @creep das mit dem formatieren war auch nur ein "scherz" sorry weil offtopic.


HaBo Ads HaBOT

[HaBo]

Verdächtiger Logeintrag