EDIT: Ich bin mal ein paar IP's durchgegangen, auf die (laut Tutor) von meinem Port 137 zugegriffen wird. Ich konnte verifizieren, dass einige IP's als Ziel-Seiten sind, die ich als Bookmarks in meinem Firefox habe. Ich habe die Bookmarks im Firefox per "about:config" so konfgueriert, dass sie alle 3 Minuten neu laden. Kann es das sein?

EDIT 2: Port 137 hat ja offensichtlich etwas mit NetBIOS zu tun, richtig? Ich habe immer den Dienst "TCP/IP NetBIOS" über "msconfig" dekativiert, weil mal jemand meinte, dass man den nicht braucht. Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu?

Hi!

Ich habe ein Problem mit Port 137. Unser Internet-Tutor meint, von einem unserer Rechner würden derzeit auf Port 137 andauernd Anfragen in die weite Welt geschickt werden und er will den Rechner sperren.

Per "netstat -a" sehe ich:

UDP-Protokoll: "MEINE-IP:137"
Remote-Adresse: "*:*"



Ich muss unbedingt wissen, was da passiert, denn mir erschließt sich das nicht. Der Rechner ist heute neu aufgesetzt worden (Systemfestplatte ist NEU), hat GData installiert gehabt und nun Sophos. Beide haben nichts gefunden.

HiJackThis ist cleaner als clean:

Code: Alles auswählenLarusso Modus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:33, on 02.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe
D:\Downloads\ProcessExplorer\procexp.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SophosBHO.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: MOTU Pedal Handler.lnk = C:\Program Files\MOTU\Audio\MFWAKeys64.exe
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: G Data Tuner Service - Unknown owner - C:\Program Files (x86)\G Data\TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5678 bytes

EDIT: Ich bin mal ein paar IP's durchgegangen, auf die (laut Tutor) von meinem Port 137 zugegriffen wird. Ich konnte verifizieren, dass einige IP's als Ziel-Seiten sind, die ich als Bookmarks in meinem Firefox habe. Ich habe die Bookmarks im Firefox per "about:config" so konfgueriert, dass sie alle 3 Minuten neu laden. Kann es das sein?

EDIT 2: Port 137 hat ja offensichtlich etwas mit NetBIOS zu tun, richtig? Ich habe immer den Dienst "TCP/IP NetBIOS" über "msconfig" dekativiert, weil mal jemand meinte, dass man den nicht braucht. Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu?

Hallo,

Zitat:

Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu?

Das ist für netbios-ns und völlig normal, Windows hat u.a. diesen Dienst, der diesen Port öffnet standardmäßig an.
Wie kommt also Dein Tutor auf die Idee, den Rechner vom Netz zunehmen?
Ist das Dein Privatrechner oder ein Schulrechner?

Es ist ein Rechner im Studentennetzwerk (Studentenwohnheim) und ist mein privater Rechner.

Das war so krass eben. Ich habe gerade mit dem Typ telefoniert, weil er meinen Rechner wieder vom Netz genommen hat. Mehr an Arroganz habe ich selten erlebt, wenn es um Computer geht. Ich versuche es mal als Gedächtnisprotokoll zu wiederzugeben.

Ich ruf' ihn also an. Er so: "Ja ich habe Dir ja gesagt, wenn Dein Rechner weiter Anfragen an irgendwelche Adressen schickt, die teilweise nicht einmal eine Namensauflösung haben oder sonstwo auf der Welt sind, dann nehme ich Deinen Rechner vom Netz. Ich verwalte mehrere tausend Rechner und Deiner ist der einzige bei dem das so ist. Das sind alles SMB-Anfragen und das ist eindeutig das Verhalten von Viren. Eigentlich sollte das Programm, welches die 137er-Anfragen schickt, aber merken, dass es nirgends ankommt, denn ich "droppe" die Anfragen hier. Komisch ist, dass die Anfragen von 137 kommen und nach 137 gehen und anders herum..." (oder so ähnlich)

So, dann habe ich ihm hundert Male erklärt, dass ich alle Festplatten formatiert habe, das Netzwerkkabel gezogen habe, Windows 7 installiert habe, dann GData Total Care installiert habe und erst danach das Netzwerkkabel angeschlossen habe und GData upgedatet habe. Daraufhin faselte er wieder was von: "Ja, darüber diskutiere ich nicht, denn ich sehe, dass Dein Rechner der Einzige ist, der solche Anfragen stellt und das dies nicht normal ist. Deshalb kommt der vom Netz - außerdem könne man sich ja schon während der Windows-Installation einen Virus einfangen."

Ich habe ihm dann zum zehnten Mal erklärt, dass keine Internet-Verbindung besteht, bevor GData nicht drauf ist. War ihm egal...

Nun habe ich Port 137 TCP/UDP Ein-/Ausgänge per Firewall blockiert und damit sei er zufrieden - O-Ton vom ihm:"Dann müllt Dein Rechner wenigstens nicht mehr meine Protokolle zu..."

Mal ehrlich - der hat doch nicht mehr alle Latten am Zaun, oder? Eure Meinung?

Das kann ich nicht ganz nachvollziehen. Von PFWs halte ich eigentlich nicht viel, aber wenn Du Port 137 ausgehend jetzt filterst, kannst Du da sehen was gefiltert wird bzw. überhaupt ob?? Dein Tutor scheint ja so jetzt zufrieden zu sein

Während der Windows-Installation einen Schädling einfangen ist auch gut
das geht eigentlich nur wenn man schon ne infizierte Windows-CD sprich gecrackte Version benutzt, heißt aber nicht unbedingt, dass gecrackte Versionen infiziert sein müssen (was in den allermeisten Fällen bei gecrackter SW der Fall ist )

Na ja, ich filter den Port ja nicht (oder doch?) - ich habe den Port komplett gesperrt. Hab's nun mal auf "Anwender fragen" umgestellt, aber weiß nicht, ob er das nun auch macht. Ist etwas unübersichtlich gehalten hier. Vllt. hast Du ja kurz Zeit, per TeamViewer zu gucken. Mich interessiert ja auch, ob da was faul ist.

Du könntest evtl. mehr mit Wireshark sehen - musst Du aber Filtern, sonst wirst Du mit Einträgen bombardiert

Wireshark ist drauf. Was muss ich nun einstellen?

Klick mal uf den Button Capture Filter. Da müssten AFAIR vordefinierte Regeln sein die Du nur auf Port 137 anpassen musst.
Pass auf, dass Du den richtigen Netzwerkadapter wählst. Fällt natürlich einfach aus, wenn Du nur einer ist

Also, bisher macht Port 137 UDP nur intern irgendwas...



Die Einstellungen sind jetzt wie folgt:

Schick das Bild mal an den Tutor, er könnte recht haben mit den Namensanfragen, da sind einige NAME QUERIES drin, ob das jetzt normal ist oder nicht kann ich aber nicht beurteilen

10.10.151.255 könnte die Broadcastadresse sein...