Mulig virus eller orm?

[azidG]

Har akkurat formatert og lagt inn alt av drivere, samt Norton Antivirus 2004. Men synes internett-oppkoblinga har oppført seg noe snodig...

 

Ofte får jeg ikke noe "svar" når jeg forsøker ulike websider, og i det hele tatt virker internett ganske ustabilt. Har ikke hatt noen problemer med dette før, har ADSL fra Telenor, med modem koblet til router.

 

Gjorde så en "netstat /an" og oppdaget noe merkelig.. Av en eller annen grunn er det mange "SYN_SENT" (uten at jeg vet hva det er??) på lokale IPer (som ikke egentlig eksisterer), port 445. Mistenker at det kanskje kan være en orm eller noe som er årsaken. Slik:

 

C:\netstat /an

 

Aktive tilkoblinger

 

Prot. Lokal adresse Ekstern adresse Tilstand

TCP 0.0.0.0:113 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2182 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2700 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2701 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2702 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2703 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2704 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2705 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2706 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2707 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2708 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2709 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2710 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2711 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2712 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2713 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2714 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2715 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2716 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2717 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2718 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2719 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2720 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2721 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2722 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2723 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2724 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2725 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2726 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2727 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2728 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2729 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2730 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2731 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2732 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2733 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2734 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2735 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2736 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2737 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2738 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2739 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2740 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2741 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2742 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2743 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2744 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2745 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2746 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2747 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2748 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2749 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2750 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2751 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2752 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2753 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2754 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2755 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2756 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2757 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2758 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2759 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2760 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2761 0.0.0.0:0 LISTENING

TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING

TCP 192.168.0.2:135 80.212.250.0:2889 ESTABLISHE

TCP 192.168.0.2:2182 222.147.241.164:8000 ESTABLISHE

TCP 192.168.0.2:2700 192.168.102.92:445 SYN_SENT

TCP 192.168.0.2:2701 192.168.160.201:445 SYN_SENT

TCP 192.168.0.2:2702 192.168.203.188:445 SYN_SENT

TCP 192.168.0.2:2703 192.168.28.145:445 SYN_SENT

TCP 192.168.0.2:2704 192.168.153.117:445 SYN_SENT

TCP 192.168.0.2:2705 192.168.85.191:445 SYN_SENT

TCP 192.168.0.2:2706 192.168.101.83:445 SYN_SENT

TCP 192.168.0.2:2707 192.168.167.216:445 SYN_SENT

TCP 192.168.0.2:2708 192.168.145.118:445 SYN_SENT

TCP 192.168.0.2:2709 192.168.158.192:445 SYN_SENT

TCP 192.168.0.2:2710 192.168.29.6:445 SYN_SENT

TCP 192.168.0.2:2711 192.168.102.74:445 SYN_SENT

TCP 192.168.0.2:2712 192.168.192.158:445 SYN_SENT

TCP 192.168.0.2:2713 192.168.131.153:445 SYN_SENT

TCP 192.168.0.2:2714 192.168.56.162:445 SYN_SENT

TCP 192.168.0.2:2715 192.168.194.144:445 SYN_SENT

TCP 192.168.0.2:2716 192.168.222.95:445 SYN_SENT

TCP 192.168.0.2:2717 192.168.112.243:445 SYN_SENT

TCP 192.168.0.2:2718 192.168.125.78:445 SYN_SENT

TCP 192.168.0.2:2719 192.168.201.130:445 SYN_SENT

TCP 192.168.0.2:2720 192.168.100.201:445 SYN_SENT

TCP 192.168.0.2:2721 192.168.179.180:445 SYN_SENT

TCP 192.168.0.2:2722 192.168.186.126:445 SYN_SENT

TCP 192.168.0.2:2723 192.168.173.203:445 SYN_SENT

TCP 192.168.0.2:2724 192.168.18.140:445 SYN_SENT

TCP 192.168.0.2:2725 192.168.2.243:445 SYN_SENT

TCP 192.168.0.2:2726 192.168.63.248:445 SYN_SENT

TCP 192.168.0.2:2727 192.168.66.166:445 SYN_SENT

TCP 192.168.0.2:2728 192.168.106.129:445 SYN_SENT

TCP 192.168.0.2:2729 192.168.242.249:445 SYN_SENT

TCP 192.168.0.2:2730 192.168.98.107:445 SYN_SENT

TCP 192.168.0.2:2731 192.168.131.167:445 SYN_SENT

TCP 192.168.0.2:2732 192.168.50.81:445 SYN_SENT

TCP 192.168.0.2:2733 192.168.129.87:445 SYN_SENT

TCP 192.168.0.2:2734 192.168.249.153:445 SYN_SENT

TCP 192.168.0.2:2735 192.168.13.25:445 SYN_SENT

TCP 192.168.0.2:2736 192.168.246.27:445 SYN_SENT

TCP 192.168.0.2:2737 192.168.141.2:445 SYN_SENT

TCP 192.168.0.2:2738 192.168.227.11:445 SYN_SENT

TCP 192.168.0.2:2739 192.168.162.227:445 SYN_SENT

TCP 192.168.0.2:2740 192.168.132.187:445 SYN_SENT

TCP 192.168.0.2:2741 192.168.91.13:445 SYN_SENT

TCP 192.168.0.2:2742 192.168.127.86:445 SYN_SENT

TCP 192.168.0.2:2743 192.168.168.138:445 SYN_SENT

TCP 192.168.0.2:2744 192.168.110.14:445 SYN_SENT

TCP 192.168.0.2:2745 192.168.17.229:445 SYN_SENT

TCP 192.168.0.2:2746 192.168.51.114:445 SYN_SENT

TCP 192.168.0.2:2747 192.168.167.180:445 SYN_SENT

TCP 192.168.0.2:2748 192.168.139.217:445 SYN_SENT

TCP 192.168.0.2:2749 192.168.59.168:445 SYN_SENT

TCP 192.168.0.2:2750 192.168.231.164:445 SYN_SENT

TCP 192.168.0.2:2751 192.168.207.69:445 SYN_SENT

TCP 192.168.0.2:2752 192.168.119.55:445 SYN_SENT

TCP 192.168.0.2:2753 192.168.74.5:445 SYN_SENT

TCP 192.168.0.2:2754 192.168.135.241:445 SYN_SENT

TCP 192.168.0.2:2755 192.168.112.13:445 SYN_SENT

TCP 192.168.0.2:2756 192.168.14.145:445 SYN_SENT

TCP 192.168.0.2:2757 192.168.16.50:445 SYN_SENT

TCP 192.168.0.2:2758 192.168.132.39:445 SYN_SENT

TCP 192.168.0.2:2759 192.168.127.253:445 SYN_SENT

TCP 192.168.0.2:2760 192.168.245.177:445 SYN_SENT

TCP 192.168.0.2:2761 192.168.70.103:445 SYN_SENT

UDP 0.0.0.0:69 *:*

UDP 0.0.0.0:135 *:*

UDP 0.0.0.0:500 *:*

UDP 0.0.0.0:1026 *:*

UDP 0.0.0.0:1033 *:*

UDP 0.0.0.0:1983 *:*

UDP 127.0.0.1:123 *:*

UDP 127.0.0.1:1031 *:*

UDP 127.0.0.1:1900 *:*

UDP 127.0.0.1:2723 *:*

UDP 192.168.0.2:123 *:*

UDP 192.168.0.2:1900 *:*

 

Også alle de andre portene som er LISTENING.. Kan ikke huske at det var slik før. I routeren skal alt være sperret, bortsett fra noen jeg selv har angitt.

 

Skjønner virkelig ingenting av dette, noen andre som har noe å komme med?

 

Kan også nevne at jeg har kjørt både virus-scan og Ad-Aware, men ikke funnet noe.

 

Håper noen kan mer om dette enn meg, for det er virklig irriterende.

[ranvik]

fant detta på googel.com

We have discovered a virus W32/Sdbot.AH that exploits port 445 and generates

a lot of fw traffic, ser ut som virus ja

[Kent (StudioFreya)]

Last ned et program som heter Active Ports eller noe sånt. Der kan du se hva slags program som lytter på de portene.

[azidG]

Nå har jeg endelig funnet ut via loggen i routeren at det hele tiden er forskjellige IP-adresser som forsøker å koble til via TCP port 445 (og noen ganger TCP 2018 og UDP 137). Har sperret av dette nå i routeren, så får ikke lenger de connections'ene i netstat, men er jo allikevel stor trafikk på routeren da.. (selv om pakkene stoppes der..)

 

Tror ikke jeg har noe virus på maskinen da jeg har formatert, og kjørt virus-scan umiddelbart etter. Norton fant ingenting.

 

Så er spørsmålet; hvordan blir man kvitt denne driten? Liker ikke at noen hele tiden forsøker å koble til meg... Synes det er veldig rart egentlig at det i heletatt skjer, ettersom jeg har dynamisk IP fra Telenor, og har renew'a adressen flere ganger i dag. Det som umiddelbart slår meg inn, er at et lite jævelprogram ligger å sender data ut til noen servere, som så ser adressen min og flooder med trafikk tilbake på port 445, 2018 osv.. Men hvorfor finner ikke Norton dette da??

 

Har også installert XP SP1 og alle andre oppdateringer

Endret 20. juni 2004 av azidG

[Erijk]

skjer hos meg og det