Zone Alarm Log

[pyrsson]

 

 

Hej.

 

Fick idag in följande från Zone Alarm:

 

"ZoneAlarm blocked a port scan attempting to communicate with port 12345. The intent of the scan was trying to determine if a Trojan horse is located on your machine or if you are using the Trend Micro anti-virus scanning software. Rest assured, ZoneAlarm has determined that there are no applications listening on 12345 of your computer."

 

Jag kör med AVG med dagliga uppdateringar samt kompletterar med

Trend Micro House Call enligt rkommendationer från Antivirus-sidan.

 

Vad menas? Kan nå'n ta sig in via ZA eller Trend Micro?

Riskerar jag ett intrång när jag scannar med House Call?

 

Tack på förhand!

 

 

[Stefan Eklinder]

 

 

Jag tolkar loggen som att ZoneAlarm har blockerat porten, som blivit utsatt för portscanning. Portscanningen utfördes för att ta reda på om din dator innehöll en trojansk häst.

 

Om du haft trojanen så hade du varit mer illa ute.

 

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[pyrsson]

Tack för svaret det var vad jag själv trodde men,

Varför näms Trend Micro?

Kan jag bara bränna på som förut utan risk?

 

Mvh

 

[Stefan Eklinder]

 

Är du det minsta osäker, så kan du testa din dators säkerhet här:

 

http://www.pcflank.com/

 

I ditt fall har ZA gjort sitt jobb och blockerat porten, så jag tror inte du behöver vara bekymrad.

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[pyrsson]

Stealthed" (by a firewall) -Means that your computer is invisible to others on the Internet and protected by a firewall or other similiar software;

"Closed" (non-stealthed) - means that this port is closed, but your computer is visible to others on the Internet that can be potentially dangerous;

"Open" - Means that this port is ready to establish (or has already established) a connection with remote address. It also means that your computer is vulnerable to attacks and could have been already hacked or infected by a trojan/backdoor;

 

Port: Status Service Description

962 stealthed n/a n/a

6339 stealthed n/a n/a

11430 stealthed n/a n/a

11756 stealthed n/a n/a

13746 stealthed n/a n/a

14546 stealthed n/a n/a

15572 stealthed n/a n/a

15947 stealthed n/a n/a

19071 stealthed n/a n/a

20769 stealthed n/a n/a

27708 stealthed n/a n/a

31940 stealthed n/a n/a

 

 

 

Recommendation:

 

All the ports we have scanned are Stealthed (by a firewall). So just continue following the fundamental security measures and regularly update your security software.

 

Detta var Advanced Port Scanner (20 random)

 

 

 

 

"Stealth Test"

Regularly update your anti-virus software.

 

 

The results of Stealth Test

 

 

We have sent following packets to TCP:1 port of your machine:

 

TCP ping packet

TCP NULL packet

TCP FIN packet

TCP XMAS packet

UDP packet

Here is the description of possible results on each sent packet:

"Stealthed" - Means that your system (firewall) has successfuly passed the test by not responding to the packet we have sent to it.

"Non-stealthed" - Means that your system (firewall) responded to the packet we have sent to it. What is more important, is that it also means that your computer is visible to others on the Internet that can be potentially dangerous.

 

Packet' type Status

TCP "ping" non-stealthed

TCP NULL non-stealthed

TCP FIN non-stealthed

TCP XMAS non-stealthed

UDP stealthed

 

 

 

Recommendation:

 

Install personal firewall software. PC Flank recommends Outpost Firewall Pro.

 

If you have already installed and are using a firewall, check if it is set to make all the ports of your computer invisible (stealthed). If it is, then get new firewall software and redo this test.

 

Är detta OK?

 

Är det ett försök att kränga "Outpost Firewall"?

 

Det är mycket men jag hoppas du har överseende med att jag

begriper inte ett skit

 

Mvh

 

 

 

 

[Stefan Eklinder]

 

Det här fick jag och jag har Sygate Firewall:

TCP "ping" stealthed

TCP NULL stealthed

TCP FIN stealthed

TCP XMAS stealthed

UDP stealthed

 

Är detta OK?

 

Jag får också olika resultat beroende på var jag testar min dator någonstans. Väldigt förvirrande. Ärligt talat vet jag inte om man ska ta testen med en nypa salt eller om det går att göra något åt dina resultat.

 

Är det ett försök att kränga "Outpost Firewall"?

 

Bra fråga, det vet man inte om det är därför testen ger så olika resultat.

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[virtuosen]

Sygate är vad jag erfar betydligt bättre än ZoneAlarm. Sygate alarmerar en inte i onödan, utan frågar snällt om det och det programmet skall få accessa internet, och det svarar man givetvis ja på, om man nu vill detta..

 

(Exempelvis att internet explorer skall få accessa internet när man klickar på e-forum-ikonen.. Då klickar man "ja, alltid", fast givetvis på engelska).

 

Frågar däremot programmet om "humhum.exe" skall få accessa internet, så blir svaret givetvis nej. Jättebra även för spyware, som exempelvis m$ media player vill accessa internet när man spelat en nerladdad fil.. Eller liknande.

 

Systemprogram för windows som "skall" accessa internet varnar den inte för, bara allt som är "ovanligt", inklusive diverse "vanliga" program som inte automagiskt bör få internetaccess......

 

[znej]

Info om trojanportar:

 

http://www.glocksoft.com/trojan_port.htm

 

Enligt listan så är port 12345 för följande trojaner:

 

Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill

 

Det är möjligt att informationen i ZoneAlarm syftar på fullversionen av Trend Micros antivirusprogram och det heter PC-Cillin. Det står ju inget om online i informationstexten.

 

Outpost är en mycket bra brandvägg men kanske inte så känd som t ex ZoneAlarm och Sygate

 

 

 

 

[pyrsson]

Zone Alarm har stoppat trojanscanningen. Så långt är jag med.

 

Men varför scannar den "Trend Micro anti-virus scanning software"?

Om jag kör en scan laddas ju en referensfil ner, innan jag kan köra programmet. Allt har varit OK. Trend Micro finns inte i ZA's "Programs"

Allt jag inte blockerat måste besvaras i en popup.

 

Kan en portscanning ta sig in i datorn medan jag kör ett program

som kollar virus och trojaner?

Det är egentligen det jag frågar om. ZA har ju tackat nej!

 

[inlägget ändrat 2005-02-22 11:43:47 av pyrsson]

[znej]

Om du är orolig så kör någon annan online gratis antiviruskontroll. Det finns ju även Symantec och Panda.

 

 

 

[Cecilia]

Kan en portscanning ta sig in i datorn medan jag kör ett program

som kollar virus och trojaner?

Nej.

"ZoneAlarm blocked a port scan attempting to communicate with port 12345. The intent of the scan was trying to determine if a Trojan horse is located on your machine or if you are using the Trend Micro anti-virus scanning software.

Ska nog tolkas som att portskanningen försökte se om du hade en trojansk häst eller Trend Micros antivirusprogram installerat på datorn.

Du måste nog skilja på Trend Micros antivirusprogram och en online-skanning hos dem. Det kan t ex vara så att det installerade antivirusprogrammet använder den porten för sina automatiska uppdateringar.

 

[pyrsson]

Hej Cecilia.

Jag har bara Trend Micros liggande bland Favoriter och vad jag vet ej installerad.

 

Därifrån kör jag en On-Line-Scanning, och får dessförinnan

ladda ner en fil innan scanningen kan börja. "Scan Now"

Storlek på disk 4,00 kB (4 096 byte)

Storlek 255 byte.

 

Documents and settings/Administratör/Favoriter.

 

Mvh!!

 

[Cecilia]

Precis, du har inte Trend Micros antivirusprogram installerat alltså inget problem. Det är något som man köper precis som Norton.

 

Online-skanningen laddar ner ett litet program (ActiveX) som kör inuti Internet Explorer och kommunicerar med Trend Micros webbplats på samma sätt som vanliga webbsidor, inget farligt.