Terror auf Port 137 |
||
|---|---|---|
| #0
| ||
|
28.04.2003, 16:13
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
28.04.2003, 17:49
Member
Beiträge: 813 |
#2
Sofern Netbios aktiviert ist, ist es logisch, dass ein Prozess an den besagten Ports lauscht - ich weiß nur nicht, welcher Prozess das bei WinME ist... sonst vielleicht jemand?
Ansonsten gibt es mehrere Würmer (besonders Opaserv), die versuchen, sich über Netbios zu verbreiten. Wenn du _nur_ eingehende Verbindungen (UDP-Port 137) beobachten würdest, hieße das, du bist _nicht_ infiziert (trotzdem vorsichtshalber Netbios richtig konfigurieren, falls noch nicht geschehen!) Diese geblockte ausgehende Verbindung wundert mich aber schon etwas... Vielleicht solltest du noch mal mit KAV (Testversion bei www.datsec.de) scannen. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
|
|
|
|
28.04.2003, 18:06
...neu hier
Themenstarter Beiträge: 2 |
#3
hab grad mal den MS-Network-client rausgeworfen, der noch von einem deinstallierten HomeLAN drin war, jetzt lauscht auch nichts mehr... :-)
Trotzdem bleibt das Fragezeichen hinter der rausgehenden Verbindung (und das ist ja kein einmaliges Ereignis gewesen) - und die beobachtung, daß der "Lauscher" seinen Namen gewechselt hat, was mich doch sehr verblüfft... :-? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Seit gestern beobachte ich mit Grausen, daß seit zwei Tagen irgendetwas seltsames auf meinem Port 137 vor sich geht.
Ich hab die TinyPF installiert und blockiere sämtliche Aktivitäten der Ports 135-139 (In/Out, alle Adressen). Aktivitäten werden angezeigt. Bislang nervte nur gelegentlich was rum.
Momentan beobachte ich
a) das KRNL368.EXE konstant auf den Ports 137/138/139 lauscht - ist das normal?
b) das auf Port 137 irgendwer oder was rein will und manchmal auch eine Antwort bekommt, obwohl die Anfrage doch schon geblockt sein sollte...?!
13:07:34 NetBIOS - Block Inbound TCP UDP blocked; In UDP; 217.171.66.66:1026->localhost:137; Owner: C:\WIN_ME\SYSTEM\KRNL386.EXE
13:07:36 NetBIOS Block Outbound TCP UDP blocked; Out UDP; localhost:137->217.171.66.66:137; Owner: C:\WIN_ME\SYSTEM\KRNL386.EXE
Dieser "Angriff" (oder was auch immer) ist zufällig ausgewählt, das geht ständig mit unterschiedlichen IPs, zeitweise im Minutentakt...
Das ganze ist aufgetaucht, nachdem ich für ein neues Mainboard (MSI) neue Treiber installieren mußte - vielleicht war das was zwischen, aber ich find nichts, Antivir und BitDefender finden auch nix - also kein Virus?
Vielleicht weiß ja jemand sich (bzw mir) einen Reim darauf zu machen...
Ach so: mittlerweile lauscht nicht mehr KRNL386, sondern OPERA.EXE, aber gestern tauchten auch schon Programmnamen ohne jegleiche INet-Ambitionen in der Liste von Tiny auf...