Ein Windows-PC in meinem Netzwerk sendet ununterbrochen Pakete von immer unterschiedlichen Ports an immer unterschiedliche Empfänger.
Das sieht folgendermassen aus (ettercap) :


│3715) 192.168.0.44:4587 <--> 192.168.186.204:135 │ KILLED │ epmap │
│3716) 192.168.0.44:4588 <--> 192.168.186.206:135 │ KILLED │ epmap │
│3717) 192.168.0.44:4589 <--> 192.168.186.207:135 │ KILLED │ epmap │
│3718) 192.168.0.44:4590 <--> 192.168.186.208:135 │ KILLED │ epmap │
│3719) 192.168.0.44:4591 <--> 192.168.186.209:135 │ KILLED │ epmap │
│3720) 192.168.0.44:4592 <--> 192.168.186.210:135 │ KILLED │ epmap │
│3721) 192.168.0.44:4593 <--> 192.168.186.211:135 │ KILLED │ epmap │
│3722) 192.168.0.44:4594 <--> 192.168.186.212:135 │ KILLED │ epmap │
│3723) 192.168.0.44:4595 <--> 192.168.186.213:135 │ KILLED │ epmap │
│3724) 192.168.0.44:4596 <--> 192.168.186.214:135 │ OPENING│ epmap

Ist das ein Virus oder mache ich mir unberechtigt Sorgen?
Der Router fällt nämlich in kürzeren Abständen immer wieder aus...

mmm...

Die IP's selber sind eigentlich nur intern (192.168.XXX.XXX ist intern), die Ports laufen auf der einen Seite aber hoch und auf der anderen Seite die IP's, was nach einem Portscan aussieht ... lass mal hijackthis (Link dazu in meiner Signatur; am besten 2x, beim 2.mal sind ein paar mehr Infos drinne) laufen und poste mal das Log ...

Gibts da nicht auch ein Programm für Unix/Linux?

Ok, Mißverständnis, das Programm wird ja auf dem Windows-PC selber ausgeführt.. ich teste es mal.

Das ist das Logfile (kam die ganze Zeit nicht mehr ins Netz) :


Logfile of HijackThis v1.97.7

Scan saved at 19:11:06, on 07.05.2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\1&1 Programme\cFos\cFosDNT.exe

C:\WINDOWS\htpatch.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\wuamgrd.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

E:\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

O9 - Extra button: ICQ Pro (HKLM)

O9 - Extra 'Tools' menuitem: ICQ (HKLM)

mmm...

Mailst mir mal deinen Trojaner (Betreff: "3DC- Virus") ??? will den wuamgrd.exe haben, bitte vorher zippen :D ... hast gute Chancen, das es einer aus der Familie der AGOBOT.GY (http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58225&VName=WORM_AGOBOT.GY&VSect=T) Würmer ist, Sophos (http://www.sophos.com/virusinfo/analyses/w32rbota.html) ...

Per Task- Manager abschiessen:
C:\WINDOWS\System32\wuamgrd.exe
und danach löschen ...

Aus der Registry entfernen:
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

Vielen dank, scheint funktioniert zu haben. Hoffentlich ist das dauerhaft.
Ich bräuchte deine mail-adresse, wenn du den wurm haben willst...

mmm...

Lokadamus@gmx.de ...