Trojaner-Board - Windows XP Firewall - zurückgewiesene Datenpakete im Sekundentakt

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Windows XP Firewall - zurückgewiesene Datenpakete im Sekundentakt (https://www.trojaner-board.de/46320-windows-xp-firewall-zurueckgewiesene-datenpakete-sekundentakt.html)

Windows XP Firewall - zurückgewiesene Datenpakete im Sekundentakt

Hallo,

neuer Versuch. ;)

Nach dem Neuaufsetzen von XP(Firewall hat alles trotz Eintrag geblockt) und einspielen aller Updates und vorheriger Installation von KAV(der war als erstes, noch vor dem Netzwerk, dran), hab ich mal die Protokollierung der Firewall(zurückgewiesene Pakete) aktiviert, da ich einen Gau wie vorher vermeiden wollte und nachvollziehen wollte, ob eventuell ein installiertes Programm den Fehler verursacht hat.
Nun tauchen im Protokoll mit ca. 30 Sek. Abstand ständig neue Einträge über zurückgewiesene Pakete auf. Nach noch nicht mal 12 Stunden weist das Protokoll eine Größe von sage und schreibe 616 Kb auf.

Ein Auszug aus der pfirewall.log:

Zitat:

2007-11-26 12:14:27 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:14:57 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:15:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:15:56 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:26 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:16:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:17:25 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:17:55 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:18:24 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 230 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 248 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 290 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE
2007-11-26 12:18:54 DROP UDP 192.168.0.70 239.255.255.250 2250 1900 300 - - - - - - - RECEIVE

Ich kann die Einträge offensichtlich nicht richtig interpretieren, aber vielleicht hat ja jemand von euch Ahnung, worum es sich dabei handelt.
Der Rechner steht im LAN und verbindet sich über einen ISDN-Router mit dem Internet, die IP-Vergabe erfolgt via DHCP.

mfg
Kurt

PS.: 192.168.0.70 ist die Adresse des Druckerservers, 239.255.255.250 ist für mich nicht eruierbar, die Adresse geht offensichtlich ins Leere.

Ich kann mich irren, aber es sieht so aus, als sende der Druckserver an die Multicast-Adresse 239.255.255.250
Da die IP nicht geroutet werden kann (IANA reserved adress space), ist keine Panik angesagt. Ob Router oder Printserver dafür verantwortlich sind, kann ich nicht sagen.

Gruß

Marc

Wow!!

Jetzt bin ich hin und wech, so rasch habe ich nicht mit Antwort gerechnet!:Boogie:
Also, im Prinzip ein "ET" Phänomen?
Ähm, was ist eine Multicast Adresse??
Ach ja, der Druckerserver ist direkt am Router(eingebauter Switch) angeschlossen, sollte also mit dem Rechner gar nicht direkt kommunizieren, wenn er nach Hause telefonieren will, oder?.

mfg
Kurt

Zitat:

Zitat von Kurt Dunzinger (Beitrag 306998)

Ähm, was ist eine Multicast Adresse??

Eine Multicast-Adresse ist eine Art Sammeladresse, vergleichbar mit einer Emailverteileradresse.

Zitat:

Ach ja, der Druckerserver ist direkt am Router(eingebauter Switch) angeschlossen, sollte also mit dem Rechner gar nicht direkt kommunizieren, wenn er nach Hause telefonieren will, oder?.

Oder halt doch nicht. Theoretisch (praktisch auch) weiß der Printserver nicht, dass er und der Router Nachbarn sind.

Aha, also versuch ich einfach mal folgendes:
Printserver vom Netz trennen und beobachten.
Kurzfristig ist das machbar.
D.h. also, daß der PS ungezielt seine Pakete absendet und erst derjenige, der sich davon angesprochen fühlt, reagiert.

mfg
Kurt

Nachtrag:
Ja, die Einträge stammen vom Printserver.
Kann das ein Problem sein, daß der von Haus aus nach Hause telefonieren will, oder besteht die Gefahr, daß sich da was eingenistet hat?

Zitat:

Zitat von Kurt Dunzinger (Beitrag 307015)

Aha, also versuch ich einfach mal folgendes:
Printserver vom Netz trennen und beobachten.
Kurzfristig ist das machbar.

Du kannst den gesamten Kommunikationswust getrost vergessen. Diese Multicastpakete, können nicht aus dem Internet in dein netz und umgekehrt kann auch nichts derartiges aus Deinem Netz ins internet.

Zitat:

D.h. also, daß der PS ungezielt seine Pakete absendet und erst derjenige, der sich davon angesprochen fühlt, reagiert.

Ungezielt nicht unbedingt. Richtig aus der Hüfte geschossen wären Pakete an 192.168.0.255.
x.y.z.255 ist die Broadcastadresse eines Netzes und betrifft wirklich alle Hosts in diesem Netz. Multicast bezieht sich auf eine Gruppe von Hosts die in einer Gruppe zusammengefasst sind.
Unicast würde nur einen bestimmten Host betreffen.

Unter Umständen gibt es auf dem router eine Möglichkeit zu sehen, welche Hosts zu der Multicastgruppe gehören. Der Rechner von dem das Log stammt, gehört auf jeden Fall dazu, sonst hätte er die Pakete nicht bekommen. Im endeffekt ist das aber nur Rauschen. Wenn die die Einträge im Log stören, kannst Du das Log auch mit

Code:

findstr /V "239.255.255.250" C:\Pfad\NamedesLogs > C:\Pfad\NamedesgefiltertenLogs

filtern. Die Multicasteinträge tauchen im gefilterten Log dann nicht mehr auf.

gruß

Marc

Edit:

Zitat:

Kann das ein Problem sein, daß der von Haus aus nach Hause telefonieren will, oder besteht die Gefahr, daß sich da was eingenistet hat?

Das ist ganz reguläres Geschnacke im Netzwerk. Der Printserver will auch nicht nach hause telefonieren (das würde mit der IP auch nicht die Bohne funktionieren), sondern er will mit den Multicastgruppenmitgliedern sprechen.

Edit2:
Damit wird es vllt verständlicher:
Microsoft Corporation

Ach so, ->"Paranoia aus". ;)

Dann mach ich mir mal absolut keinen Kopp mehr, solange das System noch sauber läuft.

Danke für die Info.

Aber eine Frage hab ich noch, wenn die auch nicht gerade dieses Thema tangiert:
Was ist ein "SMBusController"?
Im Gerätemanager steht der da mit Fragezeichen, Treiberinstallationsversuche sind erfolglos, d.h., es werden keine passenden Treiber gefunden.
Es ist aber auch nicht so, daß irgendwas nicht funktionieren würde, zumindest ist mir nix aufgefallen.

Mein System:
Intel DualCore 2 x 1,6Ghz
mit 2 Festplatten im Raid1(Mirror)-Verbund

mfg
Kurt

System Management Bus - Wikipedia
Alle Chipsatztreiber installiert?

Ja, ich denke schon.
Zumindest sind auf der Seite vom Gigabyteinstaller außer der Yahoo Toolbar alle Treiber als installiert angeführt.
Das kann ja nicht die Ursache sein, oder?
Im Gerätemanager steht, daß kein Treiber installiert wurde, auf der Installerseite sind aber alle ausgegraut(Driver installed).
Unter Hardwareinformation(Gigabyte) ist auch kein problembehaftetes Gerät aufgeführt.

mfg
Kurt

Nachtrag Hardwareinformation von Gigabyte:

Zitat:

System InfoBIOS Info:Intel P35 BIOS for P35-DS3 F2

CPU Info:CPU : intel (GenuineIntel)

Memory Info:2,095,532 KB RAM

--------------------------------------------------------------------------------

DisplayDevice Description:ATI Radeon HD 2600 Pro

Devicd DriverProvider:ATI Technologies Inc.

--------------------------------------------------------------------------------

NetDevice Description:Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC

Devicd DriverProvider:Realtek Semiconductor Corp.

--------------------------------------------------------------------------------

SCSIAdapterDevice Description:GIGABYTE GBB36X Controller

Devicd DriverProvider:JMicron Technology Corp.

--------------------------------------------------------------------------------

SystemDevice Description:Microsoft UAA Bus Driver for High Definition Audio

Devicd DriverProvider:Microsoft

Device Description:Intel(R) 82801 PCI Bridge - 244E

Devicd DriverProvider:Intel
--------------------------------------------------------------------------------

Device Description:PCI Standard-ISA-Brücke

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Microsoft UAA Bus Driver for High Definition Audio

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:PCI Standard-PCI-zu-PCI-Brücke

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:PCI Standard-PCI-zu-PCI-Brücke

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:PCI Standard-PCI-zu-PCI-Brücke

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Intel(R) G33/G31/P35 Express Chipset Processor to I/O Controller - 29C0

Devicd DriverProvider:Intel
--------------------------------------------------------------------------------

Device Description:Intel(R) G33/G31/P35 Express Chipset PCI Express Root Port - 29C1

Devicd DriverProvider:Intel
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

USBDevice Description:Standard PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft

Device Description:Standard PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Standard PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Standard PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Standard PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Standard PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Standard erweiterter PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

Device Description:Standard erweiterter PCI-zu-USB universeller Hostcontroller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

hdcDevice Description:Standard-Zweikanal-PCI-IDE-Controller

Devicd DriverProvider:Microsoft

Device Description:Standard-Zweikanal-PCI-IDE-Controller

Devicd DriverProvider:Microsoft
--------------------------------------------------------------------------------

GIGA-BYTE TECHNOLOGY CO,LTD.
NO.6 Bau Chiang Road,Hsin-Tien
Taipei Hsien Taiwan
Tel:886-2-8912 4888
Fax:886-2-8912 4003
http://www.gigabyte.com.tw
U.S.A.
G.B.T. INC.
Tel: +1 (626) 854-9338
Fax: +1 (626) 854-9339
http://www.giga-byte.com/

China (Office)
Shanghai
Tel: +86-021-63410999
Fax: +86-021-63410100
http://www.gigabyte.com.cn/
U.K.
G.B.T. TECH. CO., LTD.
Tel: +44-1908-362700
Fax: +44-1908-362709
http://uk.giga-byte.com/

China (Office)
Beijing
Tel: +86-010-82886651
Fax: +86-010-82888013
http://www.gigabyte.com.cn/
Germany
G.B.T. TECHNOLOGY TRADING GMBH
Tel:+49-40-2533040 (Sales)
+49-1803-428468 (Tech.)
Fax:+49-40-25492343 (Sales)
+49-1803-428329 (Tech.)
http://www.gigabyte.de/

China (Office)
GuangZhou
Tel: +86-020-87586074
Fax: +86-020-85517843
http://www.gigabyte.com.cn/
The Netherlands
GIGA-BYTE TECHNOLOGY B.V.
Tel: +31 40 290 2088
NL Tech.Support : 0900-GIGABYTE (0900-44422983)
BE Tech.Support : 0900-84034
Fax: +31 40 290 2089
http://www.giga-byte.nl/

China (Office)
Chengdu
Tel: +86-028-85236930
Fax: +86-028-85256822
http://www.gigabyte.com.cn/
Japan
NIPPON GIGA-BYTE CORPORATION
Tel: +81-3-5791-5438
Fax: +81-3-5791-5439
http://www.gigabyte.co.jp/

\Chipset
Directory Name Description
INFUpdate
- Intel Chipset Software Installation Utility für Windows XP - Intel Chipset Software Installation Utility für Windows 2000 - Intel Chipset Software Installation Utility für Windows ME - Intel Chipset Software Intallation Utility für Windows 98
IAA
- Intel Application Accelerator für Windows XP - Intel Application Accelerator für Windows 2000
VGA
- Win2k_XP -Intel Graphics Media Accelerator Treiber für Windows XP - Win2k_XP -Intel Graphics Media Accelerator Treiber für Windows 2000
EnableUSBS3Xp
Aktiviert USB-Geräte vom S3-Modus

--------------------------------------------------------------------------------

\Audio
Directory Name Description
cmedia
cmedia AC'97 Audio-Treiber
Realtek
Realtek AC'97 Audio-Treiber

--------------------------------------------------------------------------------

\Network
Directory Name Description
Rtl8139
LAN-Treiber für RealTek 8139/8100/8110s
Marvell
Marvell 10/100/1000 Base LAN-Treiber
BroadCom
BroadCom PCI-E LAN-Treiber

--------------------------------------------------------------------------------

\Other
Directory Name Description
VIA
VIA VT6410 RAID Controller Treiber
SiI
Silicon Image Serial-ATA RAID Treiber

--------------------------------------------------------------------------------

\Utility
Directory Name Description
Adobe
Adobe Acrobat Reader V5.05
DirectX
Mocrosoft DirectX 9.0b Laufzeit-Bibliothek
Norton
Norton Antiviren-Applikation
ITE
ITE Smart Card GSM Editing Utility

--------------------------------------------------------------------------------

\Utility\Gigabyte
Directory Name Description
atBIOS
Gigabyte @BIOS Flash Utilty
Dmiview
Gigabyte Mainboard DMI Viewer Utility
Easytune5
EasyTune 5
FaceWizard
FaceWizard
MMC
Gigabyte Management Tool
SIV
Gigabyte SIV Tool
COM
COM is GIGABYTE design for client-server management utility

Hinweis : Für detaillierte Beschreibungen lesen Sie bitte die Liesmich-Datei in dem entsprechenden Ordner, in dem sich der Treiber befindet.

Also, Russland läßt grüßen. :aplaus:

Ich hab einfach mal das"InfSystemUtility" neuerlich drüberinstalliert und nun ist das Fragezeichen weg und unter Systemgeräte taucht der INTEL(R) ICH9 Family SMBus Controller - 2930 auf.
Scheint, als ob es bei der Erstinstallation unbemerkt ein Problem gegeben hat, was nun somit bereinigt ist. ;)

Danke für die Tips.
Kurt