Kurz zu meiner Umgebung: Ich teile mir mit drei Nachbarn einen DSL-Internetanschluss den wir über einen W-Lan Router (Netgear WPN 824) und entsprechenden Netzwekkarten realisiert haben. Die Firewall im Router ist selbstverständlich aktiviert und alle Passwörter für die Routeradministration und W-Lan Verbindung entsprechen allgemein gültigen Regeln. Alle haben mehr oder weniger aktuelle Windows XP Rechner die Hardwareseitig auch ohne Probleme laufen. Das Netzwerk + Internetverbindung funktioniert offensichtlich auch.... Zu meinem Problem: Meine Nachbarn und ich sind nicht die Einzigen die unsere Rechner Benutzen! Die Symptome sind sehr subtil und ich wollte es zuerst nicht glauben. Weder Virenscanner (NOD32 4.5) noch spyware-tools finden die Ursache meiner Probleme. Aber es gibt etwas auf meinem Rechner was ich nicht will.... Z.B. Werden meine mp3's gekürz. D.h. soweit ich das verstanden habe wird die Abspieldauer, nicht aber die eigentliche Größe der Datei, negativ verändert. Vermutlich Winamp hat mir dazu einmal eine Warnmeldung herausgegeben.(Screenshot vorhanden) Es erzeugt Tracking-Cookies die angeblich von falk.de kommen und von verschiedenen Virenscannern als schadhaft eingestuft wurden. Aufgefallen ist es als ein Freund mit seinem Laptop am Netzwerk teilnehmen wollte und plötzlich von Warnungen seiner Firewall überschüttet worden ist. Kurze zeit später zeigten sich auch bei ihm falk.de Cookies. Keiner von uns war je auf der Seite von Falk. Hab dann mein System vorläufig ohne Netzwerk neu aufgesetzt, Firewall(Outpost) eTrust Pestpatrol und Nod32 installiert und mich für befreit gehalten. Wegen Zugriffsproblemen in der Netzwerkumgebung deaktivierte(nicht beendete) ich kurz die Firewall. Darauf hin beendete sich Nod32 und Outpost selbstständig. Zufall? Nach dem Reaktivieren der Firewall forderte ein Unbekannter Prozess(mir und dem Betriebssystem+Firewall) eine ausgehende Internet Verbindung zu der Ip "224.0.0.22".Die verwendeten Protokolle sind IGMP und UDP der Remoteport ist 0. Dies findet jetzt bei jedem Start von WinXP statt. Das neuste und für mich erschreckenste ist folgender Umstand. Ich habe "tracert" und "ping" benutzt um die Connectivität zu einem Freund(mit seinem Wissen) zu testen. Kurze Zeit später meldete mir meine Firewall einen Portscan aus dem Internet des ersten Netzwekknoten mit dem der Freund verbunden war. Erkennt jemand den nicht offensichtlichen Sinn hinter folgender Firewall Meldung? "25.11.2005 13:52:56 Angreifer blockiert Port-Scan von e176178226.adsl.alicedsl.de entdeckt (gescannte Ports: TCP (1835, 2062, 2206, 2330, 1941, 1971)). 24.11.2005 20:40:08 Angreifer blockiert Port-Scan von e176178226.adsl.alicedsl.de entdeckt (gescannte Ports: TCP (1370, 1381, 1319, 1357, 1361, 1340))." Auch hierzu existiert ein Screenshot. Was ich möchte: Kann mir jemand helfen diesen Menschen aus meinem Netzwerk zu jagen oder mir die vorgetragenen Symptome anders zu erklären? Hatte jemand ähnliche Probleme in der Vergangenheit oder Aktuell? Wer kann mir die Möglichkeiten von rootkits tiefgründig erläutern? Wie finde ich laufende Prozesse die nicht im Taskmanager angezeigt werden. Mit welchen Virenscannern kann ich evl. unter Linux meine Windowsplatten untersuchen? Wie konnte mein Pc aus dem Internet gescannt werden wo doch meine Firewall im Router alle anfragen aus dem Internet blockt(wenn man Diversen Testseiten trauen kann) Welche Rolle spielt IGMP(muss man das haben)? Vielen dank an alle die versuchen mir zu helfen......
Mario32
