|
Dringend: Was passiert auf Port 137? Tutor will Rechner vom Netz nehmen!
(https://www.trojaner-board.de/82510-dringend-passiert-port-137-tutor-will-rechner-netz-nehmen.html)
Dringend: Was passiert auf Port 137? Tutor will Rechner vom Netz nehmen! EDIT: Ich bin mal ein paar IP's durchgegangen, auf die (laut Tutor) von meinem Port 137 zugegriffen wird. Ich konnte verifizieren, dass einige IP's als Ziel-Seiten sind, die ich als Bookmarks in meinem Firefox habe. Ich habe die Bookmarks im Firefox per "about:config" so konfgueriert, dass sie alle 3 Minuten neu laden. Kann es das sein? EDIT 2: Port 137 hat ja offensichtlich etwas mit NetBIOS zu tun, richtig? Ich habe immer den Dienst "TCP/IP NetBIOS" über "msconfig" dekativiert, weil mal jemand meinte, dass man den nicht braucht. Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu? Hi! Ich habe ein Problem mit Port 137. Unser Internet-Tutor meint, von einem unserer Rechner würden derzeit auf Port 137 andauernd Anfragen in die weite Welt geschickt werden und er will den Rechner sperren. Per "netstat -a" sehe ich: UDP-Protokoll: "MEINE-IP:137" Remote-Adresse: "*:*" http://www.imagebanana.com/img/va4ifnrs/quickpig.png Ich muss unbedingt wissen, was da passiert, denn mir erschließt sich das nicht. Der Rechner ist heute neu aufgesetzt worden (Systemfestplatte ist NEU), hat GData installiert gehabt und nun Sophos. Beide haben nichts gefunden. HiJackThis ist cleaner als clean: Code: Logfile of Trend Micro HijackThis v2.0.2EDIT 2: Port 137 hat ja offensichtlich etwas mit NetBIOS zu tun, richtig? Ich habe immer den Dienst "TCP/IP NetBIOS" über "msconfig" dekativiert, weil mal jemand meinte, dass man den nicht braucht. Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu? |
Hallo, Zitat:
Wie kommt also Dein Tutor auf die Idee, den Rechner vom Netz zunehmen? Ist das Dein Privatrechner oder ein Schulrechner? |
Es ist ein Rechner im Studentennetzwerk (Studentenwohnheim) und ist mein privater Rechner. Das war so krass eben. Ich habe gerade mit dem Typ telefoniert, weil er meinen Rechner wieder vom Netz genommen hat. Mehr an Arroganz habe ich selten erlebt, wenn es um Computer geht. Ich versuche es mal als Gedächtnisprotokoll zu wiederzugeben. Ich ruf' ihn also an. Er so: "Ja ich habe Dir ja gesagt, wenn Dein Rechner weiter Anfragen an irgendwelche Adressen schickt, die teilweise nicht einmal eine Namensauflösung haben oder sonstwo auf der Welt sind, dann nehme ich Deinen Rechner vom Netz. Ich verwalte mehrere tausend Rechner und Deiner ist der einzige bei dem das so ist. Das sind alles SMB-Anfragen und das ist eindeutig das Verhalten von Viren. Eigentlich sollte das Programm, welches die 137er-Anfragen schickt, aber merken, dass es nirgends ankommt, denn ich "droppe" die Anfragen hier. Komisch ist, dass die Anfragen von 137 kommen und nach 137 gehen und anders herum..." (oder so ähnlich) So, dann habe ich ihm hundert Male erklärt, dass ich alle Festplatten formatiert habe, das Netzwerkkabel gezogen habe, Windows 7 installiert habe, dann GData Total Care installiert habe und erst danach das Netzwerkkabel angeschlossen habe und GData upgedatet habe. Daraufhin faselte er wieder was von: "Ja, darüber diskutiere ich nicht, denn ich sehe, dass Dein Rechner der Einzige ist, der solche Anfragen stellt und das dies nicht normal ist. Deshalb kommt der vom Netz - außerdem könne man sich ja schon während der Windows-Installation einen Virus einfangen." Ich habe ihm dann zum zehnten Mal erklärt, dass keine Internet-Verbindung besteht, bevor GData nicht drauf ist. War ihm egal... Nun habe ich Port 137 TCP/UDP Ein-/Ausgänge per Firewall blockiert und damit sei er zufrieden - O-Ton vom ihm:"Dann müllt Dein Rechner wenigstens nicht mehr meine Protokolle zu..." Mal ehrlich - der hat doch nicht mehr alle Latten am Zaun, oder? Eure Meinung? |
Das kann ich nicht ganz nachvollziehen. Von PFWs halte ich eigentlich nicht viel, aber wenn Du Port 137 ausgehend jetzt filterst, kannst Du da sehen was gefiltert wird bzw. überhaupt ob?? Dein Tutor scheint ja so jetzt zufrieden zu sein :confused: Während der Windows-Installation einen Schädling einfangen ist auch gut :D das geht eigentlich nur wenn man schon ne infizierte Windows-CD sprich gecrackte Version benutzt, heißt aber nicht unbedingt, dass gecrackte Versionen infiziert sein müssen (was in den allermeisten Fällen bei gecrackter SW der Fall ist ;) ) |
Na ja, ich filter den Port ja nicht (oder doch?) - ich habe den Port komplett gesperrt. Hab's nun mal auf "Anwender fragen" umgestellt, aber weiß nicht, ob er das nun auch macht. Ist etwas unübersichtlich gehalten hier. Vllt. hast Du ja kurz Zeit, per TeamViewer zu gucken. Mich interessiert ja auch, ob da was faul ist. http://www.imagebanana.com/img/og7es5l/quickpig.png |
Du könntest evtl. mehr mit Wireshark sehen - musst Du aber Filtern, sonst wirst Du mit Einträgen bombardiert ;) |
Wireshark ist drauf. Was muss ich nun einstellen? http://www.imagebanana.com/img/jbv6x8vs/quickpig.png |
Klick mal uf den Button Capture Filter. Da müssten AFAIR vordefinierte Regeln sein die Du nur auf Port 137 anpassen musst. Pass auf, dass Du den richtigen Netzwerkadapter wählst. Fällt natürlich einfach aus, wenn Du nur einer ist ;) |
Also, bisher macht Port 137 UDP nur intern irgendwas... http://www.imagebanana.com/img/g3zlunmx/quickpig.png Die Einstellungen sind jetzt wie folgt: http://www.imagebanana.com/img/ua6c99ss/quickpig.png |
Schick das Bild mal an den Tutor, er könnte recht haben mit den Namensanfragen, da sind einige NAME QUERIES drin, ob das jetzt normal ist oder nicht kann ich aber nicht beurteilen :( 10.10.151.255 könnte die Broadcastadresse sein... |
Was genau ist "NAME QUERIES" und was ist 'ne Broadcastadresse? Wäre cool, wenn Du mir grob erklären könntest, was da evtl. los is' und was da ungewöhnlich is'. |
Ups, Doppelpost... habe nicht gemerkt, dass wir schon auf Seite 2 sind. ;) |
Name Queries dürften DNS-Abfragen sein. Beispiel: Du tippst im Browser trojaner-board.de ein, der Rechner kann so mit der Eingabe aber nichts anfange, er kann nur sich mit IP-Adressen verbinden, dann fragt er den (eingestellten) DNS-Server welche IP-Adresse trojaner-board.de hat. Broadcast Artike hier Broadcast ? Wikipedia |
Hmmm, okay. Und was ist nun an dem Wireshark-Kram so ungewöhnlich? Könnte ich tatsächlich irgendwas hier drauf haben oder ist es tatsächlich ungewöhnlich, was hier vor sich geht? |
So sieht es übrigens aus, wenn ich Port 137 komplett gesperrt habe und NetBIOS für das Internetprotokoll 4 in den Adaptereinstellungen meiner Netzwerkkarte unter WINS deaktiviert habe: http://www.imagebanana.com/img/s66znsyz/quickpig.png Ist dazu irgendwas zu sagen? Meine IP taucht da ja nun (logischerweise) nicht mehr auf. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:52 Uhr. |
Copyright ©2000-2024, Trojaner-Board