Virus actief via poort 15000 in router ( Netgear DG834N )

Status
Niet open voor verdere reacties.
E

Erwinho1984

Gebruiker
Lid geworden
22 sep 2009
Berichten
5
Hallo allemaal,

Ik kijk net in mijn router om te kunnen ontdekken waarom het internet zo traag is, nu kijk ik in het logboek en daar staat het volgende:

Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,4800 Destination:87.206.206.29,10162 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1175 Destination:83.254.46.215,15383 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,4690 Destination:86.7.86.121,12523 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:88.193.185.151,56399 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1110 Destination:82.46.39.207,14854 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:74.64.22.240,63776 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:86.149.219.120,3804 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,4768 Destination:84.202.98.70,11792 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:96.53.217.45,4114 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,2548 Destination:87.119.184.29,44851 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:72.33.86.147,62579 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:75.152.96.242,55794 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:82.245.160.160,58501 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:88.193.185.151,56399 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,2553 Destination:83.11.11.153,20929 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1110 Destination:82.46.39.207,14854 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1175 Destination:83.254.46.215,15383 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,2483 Destination:82.117.112.107,61134 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:72.33.86.147,62579 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:74.64.22.240,63776 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:86.149.219.120,3804 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:88.193.185.151,56399 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:72.33.86.147,62579 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:88.193.185.151,56399 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,2483 Destination:82.117.112.107,61134 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,4768 Destination:84.202.98.70,11792 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,4078 Destination:81.183.60.119,37135 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,4768 Destination:84.202.98.70,11792 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:74.64.22.240,63776 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:85.54.213.219,49782 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:86.149.219.120,3804 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:88.193.185.151,56399 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1175 Destination:83.254.46.215,15383 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,2553 Destination:83.11.11.153,20929 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:86.101.21.81,15122 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1110 Destination:82.46.39.207,14854 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:85.54.213.219,49782 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,2639 Destination:89.152.31.156,63753 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:74.64.22.240,63776 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:96.51.76.215,51090 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:77.31.92.157,50072 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:89.181.48.94,63792 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,15000 Destination:78.49.146.248,3565 - [Any(ALL) rule match]
Wed, 2009-09-23 17:26:49 - TCP Packet - Source:192.168.0.2,1060 Destination:86.176.221.105,56348 - [Any(ALL) rule match
Etc.

Zoals jullie zien word er steeds via poort 15000 iets verzonden, ik begin te denken aan een virus ? Ik heb net namelijk op google even gezocht en daar kwam ik een vage site tegen met een vage omschrijving dus ik hoop hier een duidelijker idee op te doen ;) Ik heb net ook al met portforwarding zitten rommelen, maar ik kan alleen bepaalde poorten openen of blokkeren en niet een specifieke poort. Verdere info:

Router: Netgear DG834N
Provider: Online
Type verbinding: ADSL
OS: Windows 7

Allemaal alvast hartstikke bedankt voor het meedenken ;) :thumb:
 
crash zei:
Welkom op Helpmij.:)

Ik heb alleen de bovenste IP-adres gepakt en dat ziet er al niet leuk uit.:(
http://whois.domaintools.com/87.206.206.29
Klik om te vergroten...

Dit is niet juist 'geconcludeerd': Het remark gedeelte is over 2 regels uitgesmeerd. Als ik het samenvoeg:
Contact <e-mailadres> concerning criminal activities like spam, hacks, portscans

Maar ik ben het wel als algemene analyse ermee eens dat het op zijn minst verdacht is dat voor bepaalde internet-activiteiten (naar veel verschillenden landen ook nog) dezelfde uitgaande poort wordt (her-)gebruikt.

Ok, nu voor 'analyse' van waar het dan vandaan kan komen:
1. Kijk na of de firewall meldingen nu nog actief zijn (incl. uitgaande poort 15000).
2. Ga naar de computer met ip-adres 192.168.0.2, en doe het volgende:
Start -> Uitvoeren -> cmd /k netstat -ano | find /i ":15000"
(tussen -ano en find staat een 'pipeline'-teken, die ik bereik via Shift-\)
3. Kijk na welke process-id (laatste kolom) er genoemd wordt.
4. Start Taakbeheer, doe Beeld -> Kolommen selecteren -> vink aan: PID (proces-id)
Zoek dat process-id op, en je weet welk programma ervoor verantwoordelijk is.

Succes,

Tijs.
 
Laatst bewerkt:
Hartstikke bedankt tijs,

Ik ga kijken of het werkt en laat het vervolgens wel even weten,

Gr Erwin
 
Is er nog nieuws over je probleem??

Tijs.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan