Firewall blockt rounter???

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 9908

25.10.2006 - 13:19

hallo!

ich hab hier momentan ein riesen problem mit der connection. samstags haben wir eine neue internet connection bekommen und somit auch einen router an dem ueber switch egtl alle workstations haengen.

jetzt trennt aber die firewall von Norton Antivirus2006 die connection zum router, weil scheinbar irgendein wurm gefunden wurde - der war zwar da, wurde mittlerweile aber schon entfernt. hab auf der Symantec hp nachgelesen und alles getan was zu tun ist...

handelt sich ausschliesslich um Windows rechner, XP, 2000,... der einzige rechner mit connection ist mein Ubuntu laptop.

der log is attched...

kann irgendjemand damit etwas anfangen?

das ganze office liegt lahm und ich sitz bloed da :confused:

security_risks_99888.txt (downloaded 62x)

worm_detection_99889.txt (downloaded 54x)

Bearbeitet von Dune am 25.10.2006, 14:12

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 9908

25.10.2006 - 15:30

mit ZoneAlarm kommt die selbe medlung...
udp port 1194 blocked.

was sagt mir das? nervige firewall? isp? router? ich weiss nicht wo ich anfangen soll.

is zwar nicht so spannend wie ein GeForce8 7790 TTX thread, trotzdem wuerde ich mich ueber etwas aufmerksamkeit freun

lalaker

TBS forever

Registered: Apr 2003
Location: Bgld
Posts: 14699

25.10.2006 - 15:54

Ich würde mich an den Provider und vlt. auch an den Hersteller des Routers wenden.

Ich fürchte fast, da wird dir sonst niemand helfen können.

BinaryTubes

Addicted

Registered: Oct 2004
Location: Breitensee
Posts: 559

25.10.2006 - 15:58

Brauchst dir ja nur dein Log genauer ansehen. Dann siehst du, dass der Norton Antivirus 2006 den Virus (Wurm) nicht, oder nicht komplett, entfernen kann.

20/10/2006 13:38:39,Auto-Protect,W32.Stration.CX@mm
24/10/2006 13:35:29,Virus scanner,W32.Stration.CX@mm

Er entfernt Files, heilt sie oder setzt sie in Quarantäne, doch diese sind immer wieder da.

Somit brauchst du einen Virusscanner, der den Wurm entfernen kann, bzw. die Überreste oder du installiert das Windows neu.

Zitat

mit ZoneAlarm kommt die selbe medlung...
udp port 1194 blocked.

was sagt mir das? nervige firewall? isp? router? ich weiss nicht wo ich anfangen soll.

Das sagt dir, dass der Wurm über den UDP Port Nummer 1194 deines Netzwerkprotokolls kommuniziert will und es die Firewall gerade blockiert.

Manche Firewalls haben eben das Problem, dass wenn sich Programme über den Browser oder ähnliches ins Netz verbinden wollen und man auf blockieren geht, oder blockiert werden, dass die ganze Verbindung blockiert ist, solange das Programm läuft.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6449

25.10.2006 - 16:05

Soweit ich das seh wird der UDP Port 1194 normalerweise von OpenVPN benutzt, habt ihr das im Einsatz ?

Bist du dir wirklich sicher, dass der Wurm von ALLEN Rechnern die im Netzwerk sind auch entfernt wurde ?

Ich empfehle mal auf jedem Rechner den Stinger von Mc Afee durchlaufen zu lassen.

Dann könntest testweise auf einem, unwichtigen Rechner mal den Port aufmachen und schaun was passiert

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 9908

25.10.2006 - 16:09

falls der wurm nicht auf allen rechnern entfernt wurde, werden trotzdem ALLE rausgeschmissen?

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6449

25.10.2006 - 16:12

Kann sein, denn der oder die infizierten Rechner versucht/versuchen ständig an alle Rechner im Netzwerk den Wurm zu verschicken, die Firewall kriegt Panik und schaltet ab.

Wie wär's wenn du am Router und den Switches selbst den Port UDP 1194 sperrst.

Bearbeitet von mr.nice. am 25.10.2006, 16:15

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 9908

26.10.2006 - 10:37

stinger findet auch nichts.
scheint als ob nur alle stations mit aktuellen virusupdate geblockt sind - das is aber logisch...

wo und wie soll ich anfangen? ignorieren geht zwar, aber vielleicht stehn wir dann wieder auf irgendeiner blacklist...

MONVMENTVM

...wie monvmental

Registered: Apr 2005
Location: nowhere
Posts: 1572

26.10.2006 - 10:47

Wenn du einen Router hast würde ich eigentlich gleich mal die Software-Firewall deaktivieren und die des Routers einschalten (falls sie es nicht schon ist).

Bzgl. des Virenproblems ansich, kann ich dir auch nicht weiterhelfen... verwend einfach deinen Laptop mit Ubuntu und OpenOffice

oder installier es gleich auf den PC auch.

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 9908

26.10.2006 - 11:15

aber wenn ich das richtig versteh:

Details: Intrusion: Invalid ICMP Code.
Intruder: 192.168.0.1.
Risk Level: High.
Source IP address: 192.168.0.1.
Destination IP address: 192.168.0.37.
ICMP Type: 8.
ICMP Code: 19. This ICMP Code is invalid.

dann kommt das doch vom router???

MONVMENTVM

...wie monvmental

Registered: Apr 2005
Location: nowhere
Posts: 1572

26.10.2006 - 11:29

ja ist logisch... weil der Router ja die Verbindung zum Internet hat.

Ich würd wie gesagt einfach mal die Software-Firewall deaktivieren (bringt ja eh nix, wennst einen Router hast).

Medice

Intensivlaie

Registered: Mar 2003
Location: irc.euirc.net - ..
Posts: 1967

26.10.2006 - 19:30

merk dir einfach folgendes: Norton hat mit Sicherheit nicht viel zu tun, außer dass du mit Sicherheit irgendwann Probleme damit haben wirst. (Zumindest letzteres dürftest du gerade beobachtet haben

Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 9908	25.10.2006 - 13:19 hallo! ich hab hier momentan ein riesen problem mit der connection. samstags haben wir eine neue internet connection bekommen und somit auch einen router an dem ueber switch egtl alle workstations haengen. jetzt trennt aber die firewall von Norton Antivirus2006 die connection zum router, weil scheinbar irgendein wurm gefunden wurde - der war zwar da, wurde mittlerweile aber schon entfernt. hab auf der Symantec hp nachgelesen und alles getan was zu tun ist... handelt sich ausschliesslich um Windows rechner, XP, 2000,... der einzige rechner mit connection ist mein Ubuntu laptop. der log is attched... kann irgendjemand damit etwas anfangen? das ganze office liegt lahm und ich sitz bloed da security_risks_99888.txt (downloaded 62x) worm_detection_99889.txt (downloaded 54x) Bearbeitet von Dune am 25.10.2006, 14:12
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 9908	25.10.2006 - 15:30 mit ZoneAlarm kommt die selbe medlung... udp port 1194 blocked. was sagt mir das? nervige firewall? isp? router? ich weiss nicht wo ich anfangen soll. is zwar nicht so spannend wie ein GeForce8 7790 TTX thread, trotzdem wuerde ich mich ueber etwas aufmerksamkeit freun
lalaker TBS forever Registered: Apr 2003 Location: Bgld Posts: 14699	25.10.2006 - 15:54 Ich würde mich an den Provider und vlt. auch an den Hersteller des Routers wenden. Ich fürchte fast, da wird dir sonst niemand helfen können.
BinaryTubes Addicted Registered: Oct 2004 Location: Breitensee Posts: 559	25.10.2006 - 15:58 Brauchst dir ja nur dein Log genauer ansehen. Dann siehst du, dass der Norton Antivirus 2006 den Virus (Wurm) nicht, oder nicht komplett, entfernen kann. 20/10/2006 13:38:39,Auto-Protect,W32.Stration.CX@mm 24/10/2006 13:35:29,Virus scanner,W32.Stration.CX@mm Er entfernt Files, heilt sie oder setzt sie in Quarantäne, doch diese sind immer wieder da. Somit brauchst du einen Virusscanner, der den Wurm entfernen kann, bzw. die Überreste oder du installiert das Windows neu. Zitat mit ZoneAlarm kommt die selbe medlung... udp port 1194 blocked. was sagt mir das? nervige firewall? isp? router? ich weiss nicht wo ich anfangen soll. Das sagt dir, dass der Wurm über den UDP Port Nummer 1194 deines Netzwerkprotokolls kommuniziert will und es die Firewall gerade blockiert. Manche Firewalls haben eben das Problem, dass wenn sich Programme über den Browser oder ähnliches ins Netz verbinden wollen und man auf blockieren geht, oder blockiert werden, dass die ganze Verbindung blockiert ist, solange das Programm läuft.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6449	25.10.2006 - 16:05 Soweit ich das seh wird der UDP Port 1194 normalerweise von OpenVPN benutzt, habt ihr das im Einsatz ? Bist du dir wirklich sicher, dass der Wurm von ALLEN Rechnern die im Netzwerk sind auch entfernt wurde ? Ich empfehle mal auf jedem Rechner den Stinger von Mc Afee durchlaufen zu lassen. Dann könntest testweise auf einem, unwichtigen Rechner mal den Port aufmachen und schaun was passiert
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 9908	25.10.2006 - 16:09 falls der wurm nicht auf allen rechnern entfernt wurde, werden trotzdem ALLE rausgeschmissen?
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6449	25.10.2006 - 16:12 Kann sein, denn der oder die infizierten Rechner versucht/versuchen ständig an alle Rechner im Netzwerk den Wurm zu verschicken, die Firewall kriegt Panik und schaltet ab. Wie wär's wenn du am Router und den Switches selbst den Port UDP 1194 sperrst. Bearbeitet von mr.nice. am 25.10.2006, 16:15
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 9908	26.10.2006 - 10:37 stinger findet auch nichts. scheint als ob nur alle stations mit aktuellen virusupdate geblockt sind - das is aber logisch... wo und wie soll ich anfangen? ignorieren geht zwar, aber vielleicht stehn wir dann wieder auf irgendeiner blacklist...
MONVMENTVM ...wie monvmental Registered: Apr 2005 Location: nowhere Posts: 1572	26.10.2006 - 10:47 Wenn du einen Router hast würde ich eigentlich gleich mal die Software-Firewall deaktivieren und die des Routers einschalten (falls sie es nicht schon ist). Bzgl. des Virenproblems ansich, kann ich dir auch nicht weiterhelfen... verwend einfach deinen Laptop mit Ubuntu und OpenOffice oder installier es gleich auf den PC auch.
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 9908	26.10.2006 - 11:15 aber wenn ich das richtig versteh: Details: Intrusion: Invalid ICMP Code. Intruder: 192.168.0.1. Risk Level: High. Source IP address: 192.168.0.1. Destination IP address: 192.168.0.37. ICMP Type: 8. ICMP Code: 19. This ICMP Code is invalid. dann kommt das doch vom router???
MONVMENTVM ...wie monvmental Registered: Apr 2005 Location: nowhere Posts: 1572	26.10.2006 - 11:29 ja ist logisch... weil der Router ja die Verbindung zum Internet hat. Ich würd wie gesagt einfach mal die Software-Firewall deaktivieren (bringt ja eh nix, wennst einen Router hast).
Medice Intensivlaie Registered: Mar 2003 Location: irc.euirc.net - .. Posts: 1967	26.10.2006 - 19:30 merk dir einfach folgendes: Norton hat mit Sicherheit nicht viel zu tun, außer dass du mit Sicherheit irgendwann Probleme damit haben wirst. (Zumindest letzteres dürftest du gerade beobachtet haben

Firewall blockt rounter???

Forum Index > Software > Windows

Dune

Dune

lalaker

BinaryTubes

mr.nice.

Dune

mr.nice.

Dune

MONVMENTVM

Dune

MONVMENTVM

Medice