![]() |
|
Plagegeister aller Art und deren Bekämpfung: Router-LogsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Router-Logs Hallo, Bekomme in letzter Zeit von meinem Router immer LOGs zugeschickt, die Einträge wie die gleich folgenden enthalten: Thu, 2009-03-05 15:31:50 - TCP Packet - Source:192.168.22.2,49355 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:31:53 - TCP Packet - Source:192.168.22.2,49341 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:31:53 - TCP Packet - Source:192.168.22.2,49370 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:31:54 - TCP Packet - Source:192.168.22.2,49388 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:31:59 - TCP Packet - Source:192.168.22.2,49339 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:31:59 - TCP Packet - Source:192.168.22.2,49396 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:02 - TCP Packet - Source:192.168.22.2,49402 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:05 - TCP Packet - Source:192.168.22.2,49399 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:05 - TCP Packet - Source:192.168.22.2,49420 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:06 - TCP Packet - Source:192.168.22.2,49373 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:06 - TCP Packet - Source:192.168.22.2,49429 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:10 - TCP Packet - Source:192.168.22.2,49414 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:17 - TCP Packet - Source:192.168.22.2,49376 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:17 - TCP Packet - Source:192.168.22.2,49450 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:20 - TCP Packet - Source:192.168.22.2,49447 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] Thu, 2009-03-05 15:32:21 - TCP Packet - Source:192.168.22.2,49453 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK] xXxXx wurde ersetzt. Mir geht es nicht darum, das der Router mir die Meldungen schickt, das ist ok und ja so eingerichtet. Ich möchte gern wissen, was das bedeutet, ob es bedenklich ist und wie es zustande kommen kann. Scheint ja hauptsächlich mit dem 192.168.22.2-Rechner zusammen zu hängen. Andere angeschlossene Rechner haben nur selten Reports, wenn, dann in der Art: TCP Packet - Source:192.168.22.5,49504 Destination:mu-in-f113.google.com,80 - [BLOCK] AntiVir und HiJack zeigen keine Auffälligkeiten. Danke für Hilfe Mazeck |
![]() | #2 |
![]() ![]() ![]() | ![]() Router-Logs Mazek
__________________Dient dieser PC mit dieser IP 192.168.22.2 als Server für die anderen? Sprich gehen alle anderen PC´s die du angeschlossen hast über diesen PC ins Internet? Mich interessiert welchen Router du benutzt und welches Betriebssystem du fährst. |
![]() | #3 | |
| ![]() Router-Logs Nein, alle Rechner hängen am Router
__________________Zitat:
alle Rechner Vista32 in dem Fall ja, eben schau ich im Log, da steht aber beispielsweise zig mal TCP Packet - Source:192.168.22.2,49496 Destination:susi.pt-server.de,80 - [BLOCK] drin. Also die Ziele scheinen zu wechseln. Hatte auch schon TCP Packet - Source:192.168.22.2,49434 Destination:www.bahn-spass.de,80 - [BLOCK] oder TCP Packet - Source:192.168.22.2,49386 Destination:srv02.sperrgebiet.org,80 - [BLOCK] Nein, DNS von T-Online (nicht fest) im Router und bei den Rechnern als Gateway und DNS die IP des Routers. Rechner haben feste IP vergeben. Gruß Mazeck |
![]() | #4 |
![]() ![]() ![]() ![]() | ![]() Router-Logs Hast Du schon auf dem Rechner den Befehl von %ComSpec% ausgeführt? Start -> Auführen -> "cmd" eingeben (ohne "") -> "netstat -abn > c:\netstatlog.txt" eingeben Anschließend kannst Du eine Textdtei unter c:\ finden und hier posten. Grüße a5clep1o5
__________________ a5cl3p1o5, ehemals 45cl3p1u5 |
![]() | #5 | |
| ![]() Router-LogsZitat:
Als Pfad dann einen unter 'Eigene Dateien' eingegeben, da erstellt er die Datei, steht dann nur drin "Der Vorgang erfordert erhöhte Rechte". Bin als Admin angemeldet. Gruß Mazeck |
![]() | #6 |
![]() ![]() ![]() ![]() | ![]() Router-Logs
__________________ --> Router-Logs |
![]() | #7 |
![]() ![]() ![]() ![]() | ![]() Router-Logs Hallo Mazeck, handelt es sich bei Destination um Deine Adresse (xXxXx.dip.t-dialin.net)? Wenn ja, ist klar, dass der Router damit nichts anfangen kann und das Paket verwirft. Ist der Computer Teil eines Netzwerkes mit eigenem DNS-Server? Dann wäre der Fehler wohl in der Konfigurationsdatei zu suchen und vergleiche die Netzwerkeinstellungen des "meckernden" Computer mit einem anderen, vor allem den Eintrag Gateway und DNS-Server. Gibt es dort Unterschiede? Grüße a5c3p1o5
__________________ a5cl3p1o5, ehemals 45cl3p1u5 Geändert von a5cl3p1o5 (06.03.2009 um 09:02 Uhr) |
![]() | #8 | |
![]() ![]() ![]() ![]() ![]() | ![]() Router-Logs Ohne zu wissen was auf den benannten Ports kommuniziert*, wird es schwierig eine Aussage zu treffen. Das Log ohne weitere Infos besagt nur, dass die TCP-Verbindung eines Rechners aus dem lokalen Netzwerk zu einem Rechner aus dem Pool der Deutschen Telekom auf Port 80 (häufig aber nicht zwingend der Port eines Webservers) geblockt wurde. Marc * netstat -abn kann auf Windows NT Systemen etwas nähere Informationen liefern. TCPView wäre auch eine Option. Edit: Sind ja schon zwei andere Jungs am Werk. Dann halt ich mich raus. Edit 2: Zitat:
|
![]() |
Themen zu Router-Logs |
bedenklich, block, einträge, enthalten, folge, folgende, folgenden, hijack, hänge, meldungen, reports, router, schei, source, tcp, wissen, zusammen |