| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 217.237.151.161 ???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.12.2004, 05:15
| #1 |
 |  217.237.151.161 ??? Hallo Leute! Ich hab seit ein paar Monaten was ganz suspektes am laufen  Ich bekomme ca. ein mal im Monat eine komische Firewall-Meldung. Das wäre nicht ungewöhnlich, wenn ich zu diesem Zeitpunkt am Rechner arbeiten würde (das Ding läuft 24h am Tag, genauso wie der Server). Eigentlich bin ich davon ausgegangen, daß die Meldung vom Server aus kommt. Ich mußte jetzt am Server hardwaremäßig was umbauen und in der Zeit wo der Server vom Netz war, kam zufällig eine dieser Meldungen. Also kann ich den Sever als Quelle abschreiben. Ich überlge: Außer zwei NW-Switches und dem Rechner hängt momentan nichts mehr am Netz und ich fang an zu schwitzen. Und überlege weiter: Hab ich trotz aller Vorsicht einen Trojaner auf der Kiste??? Oder vielleicht sogar einen der von der AV-SW nicht erkannt wird??? Ich will die Firewall-Meldung nicht länger vorenthalten, hier ist sie: Date: 1/27/1900 18:52:41 The packet below Src: 217.237.151.161 Dst: 192.168.0.201 {router_01} (ICMP) 45 00 00 38 b5 9a 00 00 fd 01 29 8f d9 ed 97 a1 | E..8.... ..)..... c0 a8 00 c9 03 03 fc 64 00 00 00 00 45 00 00 56 | .......d ....E..V c2 3e 00 00 3b 11 3a 76 c0 a8 00 c9 c0 a8 00 c9 | .>..;.:v ........ 00 35 00 35 00 2e 00 00 | .5.5.... matched this filter rule: BLOCKEN and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second because of this the actions below were performed: drop send email to administrator block source address for 1 minutes -------------------------------------------------------------------------- So, ich habe mal nachgesehen was mit der Quell-IP so los ist. Soll wohl ein DNS-Server sein und steht auch in Zusammenhang mit dem Sobig-Virus. Das IP-Paket kam auf jeden Fall nicht von extern. Das hätte die FW gemerkt. Die Client-IP ist 192.168.0.7 und 192.168.0.201 ist die IP vom Router selbst. Die Firewall am Router ist so konfiguriert, daß UDP53-Verbindungen nur von den internen Clients zum Router selbst (DNS-Server) akzeptiert werden. ICMP wird ganz geblockt. Ich habe jetzt mal die komplete Festplatte nach dem String "217.237.151.161" durchsuchen lassen. Lediglich im Netscape-Cache & Inbox wurde was gefunden. Hmmm..... Vielleicht steht das auch nicht als String drin ??? Wenn jemand eine Idee hat, wäre ich sehr dankbar. Achso, bevor Fragen kommen vielleicht noch ein paar Infos zum System: BS: WIN NT4.0 WS (mit allen akt. Updates) AV-SW: McAfee VirusScan 4.5.1 (wird tägl. aktualisiert) Router: Elsa Office DSL/10 (akt. FW ist istalliert) Viele Grüße Oskar |
| Themen zu 217.237.151.161 ??? |
| 192.168.0.2, dns-server, email, erkannt, festplatte, filter, frage, hängt, internen, kis, leute, mcafee, nicht erkannt, office, rechner, rechner hängt, router, server, system, tan, this, trojaner, udp, updates, virusscan, win, zufällig |
Baum-Darstellung