pludselig en extra internet gateway

Den har i hvert fald IKKE port 222668 åben :)
Jeg har beskæftiget mig med sikkerhed længe og jeg har godt nok aldrig set og hørt noget lignende. Port 54267 og 14581 er ikke typisk associeret med nogle kendte virii eller orme.
Så ved at deaktivering af den oprettede gateway får din _netgear_ router ip 0.0.0.0 eksternt til Internet??

Det der med portene varierer meget.
I aften har den port TCP 25593; 37875 og 9468 samt
UDP 63972; 53202; 48126 åben.
Om jeg evt. har lavet en tastefejl ved 222668 skal jeg ikke kunne sige, men syns nu også at tallet lyder som om det ligger udenfor de porte der enlig findes.
Og ja, underlig nok så går den hen og lukker for netgear routeren.
Det må nærmest være en halv ip / release comando den sender til routeren, idet den smider ip adressen til nul, men beholder dns adresserne.
Første gang jeg opdagede det var da jeg bøvlede med at geninstallere min bærbare og den absolut ikke ville godkende netkortet.
Jeg prøvede igår at sætte routeren op med fast ip ud til nettet, så kunne man ike deaktivere den der internet gateway på maskinerne mere.
Jeg prøvede også med min gamle D-link 604 router. Der sker det samme.


Men så vidt jeg kan se er det noget som kun huserer på mit hjemme netværk.
Da jeg igår havde min bærbare med på et andet netværk, var der ikke sådan en internet gateway. Men internettet virkede fortrinlig alligevel.

Lige så snart jeg kom hjem, var den der igen.
Der fortallte status tælleren iøvrigt at det havde kørt i 3d 56 minuter og der var transmiteret 25Gb og modtaget 3Gb til internettet.
Det må jo være en status for hele nettet, da den bærbare jo lige havde logget sig på.

25gb TIL nettet?
Ja, så har du i hvert fald en orm.. Måske bliver du brugt som spam relay ligenu.

ja, der en pentium 4 2000 maskine bliver i hvert fald belastet med 15-25% bare ved at stå og tygge på nettet.
Men jeg har løst problemet.
Omend det måske ikke lige var den helt rigtige måde.
Ved at ændre IP rækken fra 201.201.0.1 til 201.200.0.1 fik jeg ro.
Efter at alle maskiner er flyttet til den nye tildeling er der ingen gateway mere.

Men stadigvæk, hvor kom den fra og hvor blev den af.
Flytter jeg adressen tilbage, er den der med det samme igen.
Jeg må indrømme, jeg føler mig ikke helt tilpas med denne løsning.

Nå ja, jeg har Norton AV kørende, den kan ikke finde noget og så har jeg kørt Spybot, den fandt godt nok en del, men Gatewayen forsvandt ikke for det.

Har du haft noget Bagle/NetSky/MyDoom på noget tidspunkt?

Norton har på et tidspunkt raporteret noget om netsky. Samt at den på det sidste meget tit poper op med meldinger om trojanske af forskellig art.
Og min anelse var rigtig, her til morgen var gatewayen der igen.

Jeg spekulerede på om det kunne hjælpe at køre hijackthis og smide rapporten op her, så du kunne kigge på den ?

Det er da et forsøg værd

Her kommer den så.
Logfile of HijackThis v1.97.7
Scan saved at 17:34:55, on 26-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\brsvc01a.exe
F:\WINDOWS\system32\LEXBCES.EXE
F:\WINDOWS\System32\brss01a.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
c:\Programmer\HP Web Jetadmin\hpwebjetd.exe
F:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\oodag.exe
C:\Programmer\HP Web Jetadmin\hpwebjetd.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\iHateSpam Outlook Express\iHateSpam Outlook Express Edition\piiserviceOE.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\programmer\Motherboard Monitor 5\MBM5.EXE
F:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\programmer\quicktime\qttask.exe
F:\Programmer\Fælles filer\InterVideo\FastTVSync\FastTVSync.exe
F:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
F:\Programmer\MSN Messenger\msnmsgr.exe
C:\programmer\Motherboard Monitor 5\DLL\display.dll
F:\Programmer\Messenger\msmsgs.exe
F:\Programmer\Outlook Express\msimn.exe
C:\Programmer\iHateSpam Outlook Express\iHateSpam Outlook Express Edition\PostalInspectorOE.exe
F:\Programmer\Internet Explorer\iexplore.exe
C:\Installationer\VIRSCAN\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telmore.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [piiserviceOE] "C:\Programmer\iHateSpam Outlook Express\iHateSpam Outlook Express Edition\piiserviceOE.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "c:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "F:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MBM 5] "C:\programmer\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programmer\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WpsRePsw] F:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [FastTVSync] "F:\Programmer\Fælles filer\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] F:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MessengerPlus2] "c:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "F:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Husk_dag.lnk = C:\Installationer\HUSKDAG\HuskDagen23\Husk_dag.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Open Client to Monitor &1 - F:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Open Client to Monitor &2 - F:\WINDOWS\web\AOpenClient.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.vardebib.dk/activex/AxisCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nu har jeg gransket loggen, og jeg kan i hvert fald ikke se de typiske tegn på NetSky, men der er så mange varianter af den at jeg kan have overset noget.
Jeg tror måske du skal prøve at scanne hele dit netværk med en anden virus killer. Norton dækker "kun" 90% af alt hvad der er derude. http://www.kaspersky.com er hvad jeg vil anbefale. Du kan registrere der og så sender de et direkte download link. Ingen spam efter hvad jeg har registreret.

Jeg er fuldstændig målløs over dit problem, men jeg vil _meget_ gerne have en opfølger. Hvis Kaspersky finder noget, så lige præcist hvilke navne de har osv.

ja, det må du nok sige.
Denne slags har jeg heller ikke oplevet før.
Efterhånden begynder tanke at strejfe mig at det kunne være en ny slags virus/orm eller what ever.
Jeg vil prøve med kaspersky's virusscanner og se om den finder noget.
Nu har jeg lige tre dage med meget arbejde, så det kommer til at gå lidt langsomt, desværre.
Men en ting er sikker. Jeg er ved at få grå hår hvis jeg ikke finder ud af hvad der sker her.
De porte den har åben hedder idag:
msmsgs (201.200.0.2:12022) 15591 UDP
msmsgs (201.200.0.2:8259) 35305 TCP
msmsgs (201.200.0.3:7484) 63444TCP
msmsgs (201.200.0.3:7953) 56022 UDP
msmsgs (201.200.0.4:12024) 13543 UDP
msmsgs (201.200.0.4:16608) 11401 TCP

Man kunne komme på den tanke at det er msn der laver noget.
Men porten er der sku uanset om msn er aktiveret eller ej.

Men det der dog irriterer mest er den pokkers store netværks trafik, det producerer.

hmm.. kan din netgear router forstå UPnP? Fordi MSN er en universal plug and play applikation som kan åbne porte på andre UPnP devices.
UPnP er sådan en slags plug and play, men i stedet for til hardware, er det for netværk. Plug ind og netværket konfigurerer sig selv.. meget smuk tanke, men det opfører sig altså underligt somme tider. Desuden er det ikke kendt for at sende traffik ud i det omfang.
En anden ting du kan gøre når du får tid er at installere Iris fra www.eeye.com. Det er en pakke sniffer, og den kan fortælle dig i det mindste hvor al den traffik bliver sendt hen og til hvilke porte. Det er også lidt interessant..

Bor du tilfældigvis i Århus?

Desværre nej, ellers havde der været en spand kaffe parat til dig ;-)

Jeg har lige kigget efter og det kan den.
Jeg har slået UPnP funktionen fra og svupti forsvandt gateway'en også.
Der kunne jeg iøvrigt også se de porte som stod åben.

Det var så en løsning på problemet, om end det nok ikke helt var årsagen.
Men hvis du vil sende et svar, så vil jeg gerne tildele dig pointene ;-)

heh godt skud der...
Nu mangler du så bare problemet med udgående traffik. Se om kaspersky finder noget, og hvis du har behov for hjælp til Iris så bare skriv her hvis du vil.

jeps, men som det ser ud er der ro over nettet nu, når ingen maskine foretager sig noget. Kun de sædvanlige pings fra msn.
Det er ligefrem en fryd at kunne stå og kigge på en switch og det hele bare lyser uden blinkeriet.
Det forklarer så også hvorfor man kunne se den kumulative trafik på hver maskine, Det var jo routerens tæller man så.
Jeg må indrømme, det var nok det sidste sted jeg havde ledt :-)
Det eneste der stadigvæk undrer mig er at vi har kørt med den router i nu 4 måneder og problemet dukkede først op for en lille uge siden.


Men muligvis Kaspersky finder ud af noget, tænker jeg for tid til at finde den frem her til morgen.

Jeg har nu scannet maskinerne med kaspersky, men den fandt intet.

Jeg er så småt ved at gå ud fra at det er et tilfælde at messenger har kunnet køre i nogle måneder uden at opdage den UPnP funktion. Men da jeg så geninstallerer notebooken, har den nok sendt en ping ud og så åbnet for de muligheder der var på nettet.

Jeg tror ikke de findes anden forklaring på fænomenet.
Men nu er der da ro og alt kører stille og rolig som det skal ;-)

Nok en gang tak for hjælpen.