hallo!
in letzter zeit erhalte ich andauernd von atguard meldungen, das die unterschiedlichsten programme (z.B. Pegasus Mail und Systray.exe) über den service ‚nbname‘ und ‚nbdatagram‘ auf verschiedene adressen (hauptsächlich 65.255.255.255) zugreifen wollen.
was hat es damit auf sich?
markus
p.s.: einen trojaner möchte ich ausschließen, da ich mit mehrere virenscannern mit topaktuellen signaturen gescannt habe.
in letzter zeit erhalte ich andauernd von atguard meldungen,
das die unterschiedlichsten programme (z.B. Pegasus Mail und
Systray.exe) über den service ‚nbname‘ und ‚nbdatagram‘ auf
verschiedene adressen (hauptsächlich 65.255.255.255) zugreifen
wollen.
was hat es damit auf sich?
Hallo Markus!
Hinter den Diensten ‚nbname‘, ‚nbdatagram‘, etc. verbirgt sich die NetBIOS-Unterstützung für TCP/IP. Hierüber erledigt Windows z.B. die Datei- und Druckerfreigabe. U.a. werden so die Rechnernamen aufgelöst (nicht DNS, sondern die Namen der Windows-Arbeitsstationen).
Du hast vermutlich eine IP zugewiesen aus dem Netz 62.0.0.0. Die Adresse 62.255.255.255 entspricht einem Broadcast in das gesamte Netz. Du solltest Dir genau überlegen, ob die NetBIOS-Unterstützung hier notwendig ist. Im LAN mag dies sinnvoll sein. Von einer Verwendung im Internet ist abzuraten.
CU
Markus
thx, ich werde die netbios-bindung an das internet auf jeden fall abschalten! ist es fürs lan den unbedingt erforderlich oder kann das auch über tcp/ip laufen?
nochwas: wieso greifen programme wie winamp und systray.exe auf netbios zu? meine ip-adresse ist 10.0.0.1, und diese zugriffe treten erst auf, seitdem ich die adresse von 196.254.10.1 in 10.0.0.1 geändert habe. kann das was damit zu tun haben?
markus
thx, ich werde die netbios-bindung an das internet auf jeden
fall abschalten! ist es fürs lan den unbedingt erforderlich
oder kann das auch über tcp/ip laufen?
NetBIOS ist ein Zusatz für TCP/IP. Du benötigst ihn AFAIK nur, um auf Resourcen anderer Windows-Rechner zuzugreifen (insbes. Laufwerke und Drucker).
nochwas: wieso greifen programme wie winamp und systray.exe
auf netbios zu? meine ip-adresse ist 10.0.0.1, und diese
zugriffe treten erst auf, seitdem ich die adresse von
196.254.10.1 in 10.0.0.1 geändert habe. kann das was damit zu
tun haben?
Das scheint mir sehr eigenartig! Ein solcher Zugriff erfolgt gewöhnlich nur im eigenen LAN, also in diesem Fall z.B. 10.255.255.255 (abhängig von der Subnetmask).
Suche mal nach der Datei LMHOSTS auf dem betroffenen Rehner. Diese wird von Windows auch für die Namensauflösung verwendet. Findest Du dort einen Eintrag zum Netz 65.0.0.0 ?
systray.exe sollte eigentlich keine Netzwerkverbindungen aufbauen. Das erinnert mich doch sehr an einen Trojaner wie BackOrifice oder Netbus. Möglicherweise ist die Variante so mutiert, daß der Virenscanner sie nicht erkennt. Stelle zunächst einmal sicher, daß Dein Scanner diese Trojaner überhaupt finden kann und starte dann von einer virenfreien Diskette ins DOS bevor Du scannst.
CU
Markus
thx, ich hab in der lmhosts nachgeguckt, aber alle zeilen darin sind mit # auskommentiert und auch 65.xxxxx kommt nirgends vor. ich hab auch mal mit ner 1,5 stunden alten virensignatur von dos aus gescannt, aber auch nichts gefunden. ich lass die firewall jetzt diese versuche einfach abblocken, bis jetzt funktioniert alles andere weiterhin, ich denke dann bin ich auf der sicheren seite…
markus