Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Netzwerkprotokolle

Help: Application: "Tcpip Kernel Driver"; protocol: [139]; Remote address 172.21.255.255: Unknown event

Mitglied: noidea2

noidea2 (Level 1) - Jetzt verbinden

17.02.2006, aktualisiert 14:01 Uhr, 5494 Aufrufe, 8 Kommentare

Hallo,

Habe in meinem Netz seit einigen Tagen von Zeit zu Zeit eine mit Kerio Sichtbare Aktivität die ich nicht zu ordnen kann:

Incoming Connection Alert!

Application: 'Tcpip Kernel Driver'; protocol: [139]; Remote address 172.21.255.255: Unknown event

Details about application:
tcpip kernel driver


Kann mir jemand verraten was das ist? Das ist doch irgendein broadcast oder? Aber woher kommt das?
Mitglied: Petrof
17.02.2006 um 10:46 Uhr
Hallo,
schau mal nach, ob der Prozess avpu32 oder avpu64 bei Dir läuft.
Evtl. mit HiJackThis.

Sollte das laufen, hast Du einen ziemlich fiesen Virus.

Gruß
Peter
Bitte warten ..
Mitglied: noidea2
17.02.2006 um 11:22 Uhr
Also ad-aware und hijack haben nichts ergeben.
Ich bezweifle auch, das es sich um einen virus handelt. die nachricht erhalten mehre firewalls hier in der EDV abteilung und wir haben alle einen up2date virenscanner laufen...
Bitte warten ..
Mitglied: Petrof
17.02.2006 um 11:56 Uhr
Hier mal eine Antwort aus einem anderen Forum zu Tcpip Kernel Driver:

Dem Sender eines Datagramms wird durch eine "Timer abgelaufen"-Meldung mitgeteilt, warum das Datagramm nicht übertragen werden konnte, z.B. Systemnachricht bei Zeitüberschreitung eines UDP Pakets.
Ein Grund hierfür kann das Kreisen eines Paketes oder Stau (Congestion) sein, oder auf dem Zielrechner ist das IP-Protokoll nicht in der Lage, die Fragmente zu einem vollständigen Datenstrom zusammenzusetzen. Diese Meldung sollte Inbound zugelassen werden.

Du kannst ja mal die Häufigkeit dieses Types beobachten, sollte er extrem häufig auftauchen, könnte es sein, daß Du einem DoS-Angriff ausgesetzt warst/bist.

Gruß
Peter
Bitte warten ..
Mitglied: noidea2
17.02.2006 um 12:02 Uhr
nun, wir hatten vor 2 tagen probleme mit einem backdoor trojaner der es ins netz geschafft und die 2k rechner infiziert hatte. die sind aber restlos ausgemerzt.
jetzt erhalt ich vielleicht 3-4x am tag diese meldung.
Bitte warten ..
Mitglied: Petrof
17.02.2006 um 12:15 Uhr
Also,
die schreiben dort, daß man die Anfrage in der FW zulassen kann.
Bevor ich mir nicht sicher wäre, was da genau kommt würd ich's auch nicht tun

Seid Ihr gaaaanz sicher, das der Trojaner weg ist???

Bei uns war's vor einiger Zeit o.g. avpu

Nach avpu im Inet gesucht, einhellige Lösung: Rechner neu aufsetzen!
Hab mich dann entschieden mich durchzuwühlen. Das Teil hat sich als Gerät installiert und ist nicht zu entfernen. Also Gerät deaktiviert! Ist zwar noch da, aber ohne Wirkung.

P.S. auch hier aktuellste Signaturen!

Gruß
Peter
Bitte warten ..
Mitglied: noidea2
17.02.2006 um 13:00 Uhr
Hm, also wir nutzen den McAfee.

In der Zeit als die Viren drauf waren, gab es non-stop Port anfragen auf eben den Virus-betreffenden Ports. Die Rechner haben wir ausfindig gemacht und restlos gesäubert. seither keine anfragen mehr und bis auf diese eine sache ruhe. Desweiteren kahm das aktuelle erst nach der säuberung...

wir hatten den
Virus: Backdoor.Win32.Agobot.afk
http://www.sophos.de/virusinfo/analyses/w32tilebotbz.html

Befallen waren 9 Windows 2000 Professionell Rechner. Der Virus hat sich über Windows 2000 Freigaben verbreitet.
Und auch nur auf den Rechnern die schon ewig kein security update mehr gemacht hatten, da eines der patches die lücke die ausgenutzt wird dicht macht.
Bitte warten ..
Mitglied: Petrof
17.02.2006 um 13:31 Uhr
Hallo,
wie oben schon erwähnt, kann es sich auch um ein Paket von einer Anfrage handeln und völlig harmlos sein.

Ebenso kann es eine Anfrage auf den Backdoor sein. Weil, als der aktiv war evtl. Daten irgendwo hingeschickt hat und von da kommen jetzt noch Anfragen.

Kann die IP aus Deiner Frage aus Eurem Netz kommen?

Peter
Bitte warten ..
Mitglied: noidea2
17.02.2006 um 14:01 Uhr
naja die 255 is ja ne netz adresse...

es MUSS irgendwo ausm internen sein...
von extern kommt hier nichts rein....
vielleicht kreist da tatsächlich noch ein paket und wird bald im nirvana landen...
heute hatte ich es erst 1x
Bitte warten ..
Ähnliche Inhalte
Exchange Server
SBS 2003 - Sender address rejected: User unknown in virtual alias table
gelöst Frage von deniska93Exchange Server2 Kommentare

Hallo zusammen, ich habe folgendes Problem. Bei einem Kunden wird ein SBS2003 eingesetzt. Dort habe ich gerade versucht einen ...

Windows Installation
WDS 2012: UEFI-Client PXE Boot mit ip helper address
Frage von woodrappWindows Installation2 Kommentare

Hallo Wir setzen bisher BIOS Clients mit WDS 2012 und den DHCP-Optionen 66 und 67 auf. Clients befinden sich ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address
Frage von Bernhard-BRouter & Routing4 Kommentare

Hallo zusammen, ich möchte gerne Rechner aus der Ferne per Wake on Lan einschalten können. Im Ziel-Netzwerk funktioniert das ...

Windows Server
Event ID 10153, Quelle Windows Remote Management an SBS 2011
Frage von lmblmbWindows Server1 Kommentar

Hallo, werde langsam irre. Habe den obengenannten Fehler an einem Small Business Server 2011. Es ist nicht der einzige ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 10 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit24 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...