IP outgoing protocol 2 - Trojaner?

    Hallo Leute,

    ich habe folgendes Problem. Hatte mir gerade den Win32.Msblast.A eingefangen und auch erfolgreich wieder entfernt. Habe daraufhin eine Firewall eingerichtet, und festgestellt, dass mein XP Pro Rechner bei jedem Rechnerstart ein Packet 'IP ougoing protocol 2' an die Adresse 224.0.0.22 sendet und außerdem ein'out UDP' and '239.255.255.250:1900' . Da als Besitzer bei 1 der TCPIP Kernel Driver und bei 2 svchost.exe angegeben sind, weiß ich natürlich nicht, wer die dinger wirklich aufruft, läßt ja aber einen gut programmierten Trojaner vermute. Spy bot search & destroy findet aber nichts. Daher habe ich einfach auf einer weiteren Partition XP nochmal neu installiert ( die alte XP Partition ist per Bootmanager ausgeblendet). Komischerweise hat es nach der Neuinstallation genau die selben Verbindungsaufrufe. Hat jemand eine Idee, was das sein kann? Oder wie man rausbekommt, wem die IP Adressen zuzuordnen sind? Oder hat jemand das gliche Problem?


    sheepdog

    P.S.: Weiterer Netzwerkverkehr findet nicht statt, mein Rechner hängt auch hinter einem Linux Router. Ein Ping an beide Adressen bringt keine Antwort, nur nen Timeout ( Aber Ping kann man ja abschalten, wie ich gerade in meiner Firewall gelernt habe).

    Ein Whois ergab das:
    OrgName: Internet Assigned Numbers Authority
    OrgID: IANA
    Address: 4676 Admiralty Way, Suite 330
    City: Marina del Rey
    StateProv: CA
    PostalCode: 90292-6695
    Country: US

    NetRange: 224.0.0.0 - 239.255.255.255
    CIDR: 224.0.0.0/4
    NetName: MCAST-NET
    NetHandle: NET-224-0-0-0-1
    Parent:
    NetType: IANA Special Use
    NameServer: FLAG.EP.NET
    NameServer: STRUL.STUPI.SE
    NameServer: NS.ISI.EDU
    NameServer: NIC.NEAR.NET
    Comment: This block is reserved for special purposes.
    Comment: Please see RFC 3171 for additional information.
    Comment:
    RegDate: 1991-05-22
    Updated: 2002-09-16

    OrgAbuseHandle: IANA-IP-ARIN
    OrgAbuseName: Internet Corporation for Assigned Names and Number
    OrgAbusePhone: +1-310-301-5820
    OrgAbuseEmail: abuse@iana.org

    OrgTechHandle: IANA-IP-ARIN
    OrgTechName: Internet Corporation for Assigned Names and Number
    OrgTechPhone: +1-310-301-5820
    OrgTechEmail: abuse@iana.org

    Wenn der Port 1900 ein lokaler Port ist solltest du nachschauen ob bei dir SSDP läuft. Anleitung zum beenden hier: http://www.ntsvcfg.de/kss_xp/kss_xp.html

    Betreff MSBlast - wie wärs mit patchen anstatt Firewall?

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Hallo, vielen Dank für die Antwort.
    Das deaktivieren des SSDP hat tatsächlich senden dieser Pakete unterbunden. Jetzt fragt sich nur noch, warum dieser Dienst sich bei der IANA anmedlen will?

    Bezüglich der Firewall und Blast - patchen hilft ja nur vorübergehend, bis das nächste Sicherheitsloch gefunden wurde. (Hatte es aber nach der letzten Neuinstallation nur vergessen).

    Mit der Firewall will ich mich auch nicht vor Viren schützen, sondern genau das, was ich auch gemacht habe - sehen ob irgend ein Programm eine Verbindung ins Netz aufbauen will, von der ich nichts weiss.
    Bezüglich Viren bin ich schon recht vorsichtig - hatte diesmal nur einen infizierten Laptop in mein Netz gehängt. :? Und zwei Minuten später meint plötzlich mein XP-Rechner 'Ich muß mich mal kurz wg. RPC aufhängen.... ' kann doch jedem mal passieren :roll:

    sheepdog

    P.S.: Wo und wie mache ich eigentlich das 'Whois' ?'

    Zitat von sheepdog

    Mit der Firewall will ich mich auch nicht vor Viren schützen, sondern genau das, was ich auch gemacht habe - sehen ob irgend ein Programm eine Verbindung ins Netz aufbauen will, von der ich nichts weiss.


    Nunja, ein Trojaner der was auf sich hält wird sich der Firewall nicht zu erkennen geben und auch Homephone-Programme sind dazu durchaus in der Lage( bischen Lektüre dazu: http://www.ntsvcfg.de/linkblock.html ). IMHO eignet sich ein Prozessviewer wie Active Ports( http://www.tecchannel.de/betriebssysteme/215/15.html ) besser dazu derlei Aktivitäten zu überwachen.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!