---

Hej NG

Jeg er lige skiftet fra keiro til sysgate firewall. Jeg har lagt mærke til
at det er et program, der ligner noget officielt windows, der prøver at
sende modtage ting fra nettet.

Sysgate skriver følgende:

Application: "NDIS User mode I/O Driver"
Path: "C:\WINDOWS\System32\DRIVERS\ndisuio.sys"

Er der nogen der ved hvad programmet gør om det er harmløst og i givet fald
om jeg bare skal lade det sende pakker til gud og hver mand?

MVH
Thomas Jansson

---

Thomas 's insignificant opinion was stated in:
b6vk0d$pr5$1@news.cybercity.dk

> Hej NG
>
> Jeg er lige skiftet fra keiro til sysgate firewall. Jeg har lagt
> mærke til at det er et program, der ligner noget officielt windows,
Det er også m$'s


> der prøver at sende modtage ting fra nettet.
> Sysgate skriver følgende:
>
> Application: "NDIS User mode I/O Driver"
> Path: "C:\WINDOWS\System32\DRIVERS\ndisuio.sys"

Er du sikker på at den rent faktisk forsøger at hente noget på nettet, og
ikke blot lokalt / loopback-hvilket også kan opfanges af firewalls ?
Prøv at få så mange detaljer med fra sygate , så kan du jo se hvor den
henter/sender, det kan være med til at opklare det.

> Er der nogen der ved hvad programmet gør om det er harmløst og i
> givet fald om jeg bare skal lade det sende pakker til gud og hver
> mand?


Såfremt filen ikke er kompromiteret bør du tillade den, men tag et kik på
hvad den rent faktisk laver.


--
/Sune
Fac ut vivas!

---

> Er du sikker på at den rent faktisk forsøger at hente noget på nettet, og
> ikke blot lokalt / loopback-hvilket også kan opfanges af firewalls ?
> Prøv at få så mange detaljer med fra sygate , så kan du jo se hvor den
> henter/sender, det kan være med til at opklare det.

Jeg har fået noget mere at vide nu. Kan du bruge det til at sige hvad det
går ud på?

File Version : 5.1.2600.1106 (xpsp1.020828-1920)
File Description : NDIS User mode I/O Driver
File Path : C:\WINDOWS\System32\DRIVERS\ndisuio.sys
Connection origin : remote initiated
Protocol : UDP
Local Address : 10.0.0.3
Local Port : 1028
Remote Name :
Remote Address : 212.242.40.3
Remote Port : 53

Ethernet packet details:
Ethernet II (Packet Length: 394)
Destination: 00-10-dc-21-cb-96
Source: 00-02-4b-df-55-24
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 59
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0x12e0 (Correct)
Source: 212.242.40.3
Destination: 10.0.0.3
User Datagram Protocol
Source port: 53
Destination port: 1028
Length: 8
Checksum: 0xad09 (Correct)
Domain Name System (Answer)
Flags: 32897
Questions: 1
Answer RRs: 9
Querys:
scs.yahoo.com
Answers:
scs.yahoo.com has IP Address: 216.136.233.131
scs.yahoo.com has IP Address: 216.136.227.168
scs.yahoo.com has IP Address: 216.136.225.35
scs.yahoo.com has IP Address: 216.136.227.166
scs.yahoo.com has IP Address: 216.136.227.167
scs.yahoo.com has IP Address: 216.136.233.140
scs.yahoo.com has IP Address: 66.163.173.78
scs.yahoo.com has IP Address: 216.136.233.153
scs.yahoo.com has IP Address: 190.152.4.0

---

On Wed, 9 Apr 2003 19:15:53 +0200, "Thomas"
<tjansson80@hotmail.com> wrote:

> Connection origin : remote initiated
> Protocol : UDP
> Local Address : 10.0.0.3
> Local Port : 1028
> Remote Address : 212.242.40.3
> Remote Port : 53
> Querys:
> scs.yahoo.com
> Answers:
> scs.yahoo.com has IP Address: 216.136.233.131
> [flere]

Din firewall er halvdefekt og advarer dig om, at CyberCitys DNS-
server (212.242.40.3) har sendt dig et DNS-svar med adresserne på
scs.yahoo.com.

Se i øvrigt http://a.area51.dk/sikkerhed/hjemme_net#fwbesked

-A
--
http://www.hojmark.org/

---

In article <b6vk0d$pr5$1@news.cybercity.dk>, Thomas wrote:
> Hej NG
>
> Jeg er lige skiftet fra keiro til sysgate firewall. Jeg har lagt mærke til
> at det er et program, der ligner noget officielt windows, der prøver at
> sende modtage ting fra nettet.
>
> Sysgate skriver følgende:
>
> Application: "NDIS User mode I/O Driver"
> Path: "C:\WINDOWS\System32\DRIVERS\ndisuio.sys"
>
> Er der nogen der ved hvad programmet gør om det er harmløst og i givet fald
> om jeg bare skal lade det sende pakker til gud og hver mand?

NDIS er noget netværksdriver. Se:
http://www.pcausa.com/resources/ndisfaq.htm

Eller brug: http://intertran.tranexp.com
til at oversætte til dansk :)

Den siger i FAQ'en:
hvad er "NDIS"?

NDIS er lille nemlig den " netværk Driver Grænseflade Angivelse".
Den primær opgave i NDIS er hen til definere en norm API nemlig
" netværk Grænseflade Kort" (NIC's). Den detaljer i en NIC's
hardware iværksættelse er indpakket af en " medier Adgang
Kontroller" (MAC) indretning driver i sådan en måde at al NIC's
nemlig den samme medier (e.g., Æter) kan tilgået benytter en
simpel programmerer grænseflade.

NDIS ligeledes sørger for en bibliotek i funktioner ( engang
imellem alarmeret en " korsbånd") at kan bruges af MAC drivers
ligeledes nemlig højere bringe i niveau protokol drivers ( såsom
TCP/IP). korsbånd funktioner anrette hen til skabe udvikling i
begge to MAC og protokol drivers lettere nemlig nå hvad angår
skjule ( i nogen grad) perron afhængighed.

Snarlig versioner i NDIS var samlet bebygget af Microsoft og den
3Com Aktieselskab. Indeværende NDIS versioner anvendte af Vinduer
Nemlig Workgroups (WFW), Vinduer 9X og Vinduer NT er Microsoft
navnebeskyttet angivelser.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.