8
Help: Application: "Tcpip Kernel Driver" protocol: 139 Remote address 172.21.255.255: Unknown event
Hallo,
Habe in meinem Netz seit einigen Tagen von Zeit zu Zeit eine mit Kerio Sichtbare Aktivität die ich nicht zu ordnen kann:
Incoming Connection Alert!
Application: 'Tcpip Kernel Driver'; protocol: [139]; Remote address 172.21.255.255: Unknown event
Details about application:
tcpip kernel driver
Kann mir jemand verraten was das ist? Das ist doch irgendein broadcast oder? Aber woher kommt das?
Habe in meinem Netz seit einigen Tagen von Zeit zu Zeit eine mit Kerio Sichtbare Aktivität die ich nicht zu ordnen kann:
Incoming Connection Alert!
Application: 'Tcpip Kernel Driver'; protocol: [139]; Remote address 172.21.255.255: Unknown event
Details about application:
tcpip kernel driver
Kann mir jemand verraten was das ist? Das ist doch irgendein broadcast oder? Aber woher kommt das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 26237
Url: https://administrator.de/contentid/26237
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
schau mal nach, ob der Prozess avpu32 oder avpu64 bei Dir läuft.
Evtl. mit HiJackThis.
Sollte das laufen, hast Du einen ziemlich fiesen Virus.
Gruß
Peter
schau mal nach, ob der Prozess avpu32 oder avpu64 bei Dir läuft.
Evtl. mit HiJackThis.
Sollte das laufen, hast Du einen ziemlich fiesen Virus.
Gruß
Peter
Also ad-aware und hijack haben nichts ergeben.
Ich bezweifle auch, das es sich um einen virus handelt. die nachricht erhalten mehre firewalls hier in der EDV abteilung und wir haben alle einen up2date virenscanner laufen...
Ich bezweifle auch, das es sich um einen virus handelt. die nachricht erhalten mehre firewalls hier in der EDV abteilung und wir haben alle einen up2date virenscanner laufen...
Hier mal eine Antwort aus einem anderen Forum zu Tcpip Kernel Driver:
Dem Sender eines Datagramms wird durch eine "Timer abgelaufen"-Meldung mitgeteilt, warum das Datagramm nicht übertragen werden konnte, z.B. Systemnachricht bei Zeitüberschreitung eines UDP Pakets.
Ein Grund hierfür kann das Kreisen eines Paketes oder Stau (Congestion) sein, oder auf dem Zielrechner ist das IP-Protokoll nicht in der Lage, die Fragmente zu einem vollständigen Datenstrom zusammenzusetzen. Diese Meldung sollte Inbound zugelassen werden.
Du kannst ja mal die Häufigkeit dieses Types beobachten, sollte er extrem häufig auftauchen, könnte es sein, daß Du einem DoS-Angriff ausgesetzt warst/bist.
Gruß
Peter
Dem Sender eines Datagramms wird durch eine "Timer abgelaufen"-Meldung mitgeteilt, warum das Datagramm nicht übertragen werden konnte, z.B. Systemnachricht bei Zeitüberschreitung eines UDP Pakets.
Ein Grund hierfür kann das Kreisen eines Paketes oder Stau (Congestion) sein, oder auf dem Zielrechner ist das IP-Protokoll nicht in der Lage, die Fragmente zu einem vollständigen Datenstrom zusammenzusetzen. Diese Meldung sollte Inbound zugelassen werden.
Du kannst ja mal die Häufigkeit dieses Types beobachten, sollte er extrem häufig auftauchen, könnte es sein, daß Du einem DoS-Angriff ausgesetzt warst/bist.
Gruß
Peter
nun, wir hatten vor 2 tagen probleme mit einem backdoor trojaner der es ins netz geschafft und die 2k rechner infiziert hatte. die sind aber restlos ausgemerzt.
jetzt erhalt ich vielleicht 3-4x am tag diese meldung.
jetzt erhalt ich vielleicht 3-4x am tag diese meldung.
Also,
die schreiben dort, daß man die Anfrage in der FW zulassen kann.
Bevor ich mir nicht sicher wäre, was da genau kommt würd ich's auch nicht tun
Seid Ihr gaaaanz sicher, das der Trojaner weg ist???
Bei uns war's vor einiger Zeit o.g. avpu
Nach avpu im Inet gesucht, einhellige Lösung: Rechner neu aufsetzen!
Hab mich dann entschieden mich durchzuwühlen. Das Teil hat sich als Gerät installiert und ist nicht zu entfernen. Also Gerät deaktiviert! Ist zwar noch da, aber ohne Wirkung.
P.S. auch hier aktuellste Signaturen!
Gruß
Peter
die schreiben dort, daß man die Anfrage in der FW zulassen kann.
Bevor ich mir nicht sicher wäre, was da genau kommt würd ich's auch nicht tun
Seid Ihr gaaaanz sicher, das der Trojaner weg ist???
Bei uns war's vor einiger Zeit o.g. avpu
Nach avpu im Inet gesucht, einhellige Lösung: Rechner neu aufsetzen!
Hab mich dann entschieden mich durchzuwühlen. Das Teil hat sich als Gerät installiert und ist nicht zu entfernen. Also Gerät deaktiviert! Ist zwar noch da, aber ohne Wirkung.
P.S. auch hier aktuellste Signaturen!
Gruß
Peter
Hm, also wir nutzen den McAfee.
In der Zeit als die Viren drauf waren, gab es non-stop Port anfragen auf eben den Virus-betreffenden Ports. Die Rechner haben wir ausfindig gemacht und restlos gesäubert. seither keine anfragen mehr und bis auf diese eine sache ruhe. Desweiteren kahm das aktuelle erst nach der säuberung...
wir hatten den
Virus: Backdoor.Win32.Agobot.afk
http://www.sophos.de/virusinfo/analyses/w32tilebotbz.html
Befallen waren 9 Windows 2000 Professionell Rechner. Der Virus hat sich über Windows 2000 Freigaben verbreitet.
Und auch nur auf den Rechnern die schon ewig kein security update mehr gemacht hatten, da eines der patches die lücke die ausgenutzt wird dicht macht.
In der Zeit als die Viren drauf waren, gab es non-stop Port anfragen auf eben den Virus-betreffenden Ports. Die Rechner haben wir ausfindig gemacht und restlos gesäubert. seither keine anfragen mehr und bis auf diese eine sache ruhe. Desweiteren kahm das aktuelle erst nach der säuberung...
wir hatten den
Virus: Backdoor.Win32.Agobot.afk
http://www.sophos.de/virusinfo/analyses/w32tilebotbz.html
Befallen waren 9 Windows 2000 Professionell Rechner. Der Virus hat sich über Windows 2000 Freigaben verbreitet.
Und auch nur auf den Rechnern die schon ewig kein security update mehr gemacht hatten, da eines der patches die lücke die ausgenutzt wird dicht macht.
Hallo,
wie oben schon erwähnt, kann es sich auch um ein Paket von einer Anfrage handeln und völlig harmlos sein.
Ebenso kann es eine Anfrage auf den Backdoor sein. Weil, als der aktiv war evtl. Daten irgendwo hingeschickt hat und von da kommen jetzt noch Anfragen.
Kann die IP aus Deiner Frage aus Eurem Netz kommen?
Peter
wie oben schon erwähnt, kann es sich auch um ein Paket von einer Anfrage handeln und völlig harmlos sein.
Ebenso kann es eine Anfrage auf den Backdoor sein. Weil, als der aktiv war evtl. Daten irgendwo hingeschickt hat und von da kommen jetzt noch Anfragen.
Kann die IP aus Deiner Frage aus Eurem Netz kommen?
Peter
naja die 255 is ja ne netz adresse...
es MUSS irgendwo ausm internen sein...
von extern kommt hier nichts rein....
vielleicht kreist da tatsächlich noch ein paket und wird bald im nirvana landen...
heute hatte ich es erst 1x
es MUSS irgendwo ausm internen sein...
von extern kommt hier nichts rein....
vielleicht kreist da tatsächlich noch ein paket und wird bald im nirvana landen...
heute hatte ich es erst 1x
