Hallo!
Ich habe den starken Verdacht, daß ein paar Maschinen im Netzwerk mit Viren befallen sind.
Wenn ich einen dieser Maschine mit einem Portscanner überprüfe, dann sind z.B: die Ports für SMTP (25) und POP (110) offen. Mir ist nicht klar warum und wie das sein kann.
Die Anzeige mit
netstat -a -n
zeigt mir diese offenen Ports nicht an
Auch nicht TCPView von Sysinternals (bringt die gleichen Ports wie netstat).
Die Ports sind aber offen. Das kann ich überprüfen, indem ich z.B. mit Telnet diesen abfrage:
telenet 192.168.0.155 25 (portnummer 25)
Wie kann ich herausfinden welche Programme, Dienste, Dateien diese Ports abfragen = bedienen?
Ich habe schon mehrere aktuellen Virenscanner drüber laufen lassen. Alle diese haben Viren gefudnen und beseitigt, nun sagt mir jedes davon, daß kein Virus mehr vorhanden ist. Ich habe lokal und über das Netzwerk gescannt. (Norton Antivirus, Stinger von NAI, PC-Cilin von Trend Micro)
Das Problem bei diesen Maschinen ist, daß ein Programm oder Diest ständig auf das Postfach beim Provider zugreift, und daher der Benutzer die Mails von dort nicht abholen kann, weil das Postfach bereis als „belegt“ gilt.
Was könnte das sein?
Die Autostarteinträge habe ich mit Autoruns von Sysinternals überprüft. Auch hier ist nichts verdächtiges zu finden! Auch nicht in der Liste der laufenden Tasks!
Hier noch mal die Liste der offenen Ports! Warum sind das so viele?
TCP: 192.168.0.34 [25-smtp]
TCP: 192.168.0.34 [110-pop3]
TCP: 192.168.0.34 [135-epmap]
TCP: 192.168.0.34 [139-netbios-ssn]
TCP: 192.168.0.34 [389-ldap]
TCP: 192.168.0.34 [445-microsoft-ds]
TCP: 192.168.0.34 [1002]
TCP: 192.168.0.34 [1024-backdoor]
TCP: 192.168.0.34 [1025-blackjack]
TCP: 192.168.0.34 [5000-commplex-main]
TCP: 192.168.0.34 [5679-dccm]
TCP: 192.168.0.34 [5800]
TCP: 192.168.0.34 [5900] | RFB 003.003
TCP: 192.168.0.34 [16684]
tks!
Herbert
