Trojaner o. Virus?

flu74

Hallo!

Folgendes Problem. Server mit Backoffice Small Business Server 4.0 mit SP6 + 6 PCs mit Win98 im Netz. In dem Rechner steckt eine aktive ISDN-Karte. Als Proxyserver verwende ich den Janaserver. Ist aber noch eine ziemlich alte Version, lief aber bisher super. Damit gehen alle PCs ins Internet. Seit letztem Freitag funktionierte Internet nicht mehr richtig. Die Dfü-Verbindung wurde zwar korrekt aufgebaut, an den Arbeitsstationen tat sich aber nichts bzw. manchmal wurde noch eine Seite angezeigt u. dann war auch schon wieder Schluß. Bei dem Janaserver lag noch ein Programm namens Remotewatch bei. Damit kann man die Dfü-Verbindung überwachen. Das Teil habe ich mal gestartet. Dort erschien dann im Sekundentakt irgendwelche IP-Adressen (keine aus meinem Netz, sondern öffentliche). Die Meldungen lauteten ungefähr 201.66.102.13 socks4 request 183.56.123.34 Port 25 So geht das in einer Tour. Der DFÜ-Monitor von NT hatte quasi ein Dauerleuchten. Bei Anzeige der Details konnte ich feststellen, dass ziemlich viele Bytes nach draussen gesendet wurden. Ich hatte den Server erst mal von den PCs getrennt. Von alleine wurde die Dfü-Verbindung am Server nicht hergestellt. Tat ich das manuell, erschienen sofort oben beschriebene Meldungen im Remotewatch. Das Programm zeigte weiterhin an, das im Schnitt dabei um die 120 Verbindungen aufgebaut wurden. Es wurde also soviel Bandbreite belegt, das für die PCs nichts mehr übrig war. Habe dann erst einmal das ISDN-Kabel gezogen u. ein paar Virenscanner mit aktuellen Signaturfiles rüberlaufen lassen (NAV, F-Prot). Kein Ergebnis. Habe mich dann ein wenig hier schlau gemacht u. Tauscan u. The Cleaner 3.5 rüberlaufen lassen. Auch kein Ergebnis. Sobald ich aber manuell die Dfü-Verbindung ins Internet herstelle, geht das gesende wieder los. Ich bin ratlos. [img]graemlins/balla.gif[/img]
Für Eure Antworten schon mal im voraus Danke!
Gruß Ulf