um gottes willen sei mal nicht so voreilig...da sind u.a. wichtige systhemanwendungen dabei die unbedingt erforderlich sind
den taskplaner und das systray darfst du auf keinen fall entfernen...

[ 05. Januar 2003, 15:59: Beitrag editiert von: MySTeRiA ]

</font><blockquote>Zitat:</font><hr /> Explorer
Mpftray
Mpfagent
Iwatch
Mcvsrte
Swtrayv4
Mcagent
Swtray
Stimon
Point32
Systray

Weiß vielleicht irgend jemand, was das alles für'n Zeugs ist? </font>[/QUOTE]Mpfagent gehört zu Mcafee Firewall
Iwatch mehrere Möglichkeiten, Internet content filtering?
mcvsrte McAfee automatic updates background task

alle anderen findest du zB bei StartUp List

@Mysteria Welchen Taskplaner meinst du denn?

Gruß Tiber

Also besonders zuverlässig scheint Hackerwatch jedenfalls nicht zu sein.
Damit ich überhaupt getestet werden kann muss ich erstmal Proxomitron abschalten, aber das muss ich bei den anderen Testseiten auch.

Aber wenigstens sind die anderen Seiten (Gibson & Co.) in der Lage meine IP richtig zu bestimmen. Zitat Hackerwatch:

"Traffic coming from this server is at the IP address 168.215.82.49, and is directed at your IP address which has been determined to be 168.215.82.119."

kein Kommentar dazu

Update: Der Test ist fertig und hat folgendes erkannt

Open and Unsecure!
139 (Net BIOS)

@ Ullih

Vergewissere dich mal ob die bei dir überhaupt die richtige IP testen. Deine eigene findest du, wenn du unter start-ausführen winipcfg eingibst. Musst normalerweise noch den richtigen Netzwerkadapter (ISDN- oder Netzwerkkarte) auswählen. Wenn bei Hackerwatch eine andere IP steht, testen die nicht deinen PC, sondern einen anderen - einen ihrer eigenen wie es scheint

[ 05. Januar 2003, 16:33: Beitrag editiert von: energizer2k ]

*Start Up liste in die Bookmarks packt*
Die Liste gefällt mir [img]smile.gif[/img]

@ Tiber ... ich meinte den Windows Taskplaner

</font><blockquote>Zitat:</font><hr />Original erstellt von energizer2k:
Wenn bei Hackerwatch eine andere IP steht, testen die nicht deinen PC, sondern einen anderen - einen ihrer eigenen wie es scheint </font>[/QUOTE]*LOL*
Gut möglich, denen trau' ich mittlerweile alles zu!

Aber was Ihr denn dazu, das wieder alles als "Stealth" und nicht als "Closed" angezeigt wurde, obwohl die FW aus war?

Ulli

Wenn die einen anderen PC testen ist das daran nichts ungewöhnliches... hat ja dann nichts mit deiner FW zu tun.

@ Mysteria deine Warnung war natürlich angebracht; man sollte keine Prozesse beenden oder Autostartapplikationen entfernen, von denen man nicht weiß, wofür sie sind.
Ich hatte mich nur gewundert, weil AFAIK kein Taskplaner dabei war.
Den Windows-Taskplaner (Scheduling agent) mstask.exe kann man aber stilllegen oder entfernen, solange man keine Tasks wie defrag, scandisk oder zb wöchentliche Virusscans definiert hat. [img]smile.gif[/img]

Außer explorer durfte Ullih ausnahmsweise wirklich alle genannten Prozesse abschießen.

Gruß Tiber

Hallo

In win98 kann man den Port 139 (netbios) nur auf brutale Art schließen, indem man die Datei vnbt.386 in C:\windows\system einfach umbenennt. Dieser Eingriff schaltet netbios ganz ab. Eine andere Möglichkeit gibt es bei win98 nicht. Selbst die meisten Firewalls zeigen den Port 139 als geöffnet an, wenn man seine IP-Adresse scannt. Nur einige schleißen ihn zuverlässig, welche weiss ich nicht.

manman

[ 05. Januar 2003, 20:03: Beitrag editiert von: manman ]

Dieser dein Rat ist nicht korrekt, dennoch wiederholst du ihn immer und immer wieder. Das ist irreführend für Leute, die dir glauben und schlecht für de Ruf des Boards. Dein Ruf fällt nämlich auf die anderen zurück.

manman, wieso behauptest Du immer wieder diesen Unsinn, obwohl wir Dir schon x-mal gesagt haben, dass es nicht stimmt?!!!

@mysteria,

dein gepostetes ergebnis war doch nicht direkt nach dem neustart, mit allen unnötigen programmen[1] geschlossen und online, oder?
mach das bitte nochmal, so wie ich es beschrieben habe.

@ullih,
das von beschriebene verhalten ist in der tat merkwürdig. selbst win98 antwortet standardmäßig auf zugriffe auf geschlossene ports. entweder irgendein programm läuft noch, dass am TCP/IP-stack rumpfuscht, oder irgendein programm hat dir den TCP/IP-stack zerschosssen, oder es wird in der tat nicht dein rechner gescannt.
grc.com bekommt aber meistens die richtige ip-adresse des anfragenden heraus, weil sie nen trick anwenden: es wird kurz auf eine ssl-verbindung umgeleitet, die aus sicherheitsgründen bei den meisten browsern (ohne extra einstellungen) nicht über vorgeschaltete proxy-server läuft.

wenn netstat -an dir nichts nach dem neustart anzeigt, dann kannst du dir zu 95% sicher sein, dass auch kein dienst auf deinem rechner läuft. es gibt natürlich für trojaner die möglichkeit, die netstat-datei auszutauschen, so dass sie falsche ergebnisse liefert, oder den server erst bei bestimmten ereignissen zu starten. solche, etwas fortschrittlichere, trojaner sind mir unter windows aber unbekannt, sowas findet man eher unter unix/linux.

@manman,
das ist quatsch, wenn mich nicht alles täuscht, gibt es auch auf trojaner-info.de irgendwo ne anleitung um die netbios-ports zuzumachen, ohne an systemdateien rumzupfuschen.

[1] ich weiß, dass es für unerfahrene user nicht immer einfach ist zu erkennen, was nötig und was unnötig ist, aber eigentlich alles was im systray läuft ist schonmal unnötig (nicht der systray-prozess selbst)

[ 05. Januar 2003, 21:49: Beitrag editiert von: cruz ]

</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
...wenn mich nicht alles täuscht, gibt es auch auf trojaner-info.de irgendwo ne anleitung um die netbios-ports zuzumachen, ohne an systemdateien rumzupfuschen.</font>[/QUOTE]Latürnich, man nehme die oben rechts gelinkte Trojaner-FAQ!!!

Guten Morgen Miteinander [img]smile.gif[/img]

nein cruz ich glaube wir haben uns da missverstanden, also schau mal, das ist das Ergebnis wenn ich das ganze OFFLLINE mache:

Aktive Verbindungen

Proto Lokale Adresse Remote-Adresse Status
TCP 0.0.0.0:0 0.0.0.0:0 LISTENING
TCP 169.254.112.114:137 0.0.0.0:0 LISTENING
TCP 169.254.112.114:138 0.0.0.0:0 LISTENING
TCP 169.254.112.114:139 0.0.0.0:0 LISTENING
UDP 169.254.112.114:137 *:*
UDP 169.254.112.114:138 *:*

Und als ich dann netstat ONLINE gemacht habe, kamen halt die vorherigen Ergebnisse raus...Ich wollte halt dann nur wissen, was ich da für Online Verbindungen habe und wie ich anhand der IP´s rausbekommen kann wer oder was das überhaupt ist und unnötiges halt dann banne Und wenn es irgendwelche Horcher sind die sich wie auch immer an die Ports gezapft haben, das ich die dann cancel bzw. die Ports kille ...

Schöne Grüsse [img]smile.gif[/img]

@gruz
also wen ich PC(windows ME) neustarte dann"Start"-"Programe"-Zubegör" -"MS DOS Eingabeaufforderung"
gehe, dort erscheit C:\WINDOWS ,dann gebe ich "netstat -an"

bei mir erscheit:
C:\WINDOWS&gt;netstat -an
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status

C:\WINDOWS
mehr nichts.
Wen ich danach per DFÜ mich verbinde, ohne Browser, das Ergebnis ist gleich
Kann ich dann vom FW locker verzichten?
Ich bedanke mich voraus. Michael