router: Unrecognized attempt blocked from[..]

weizenchiller · 27.07.2008, 17:53

hallo liebes trojanerboardteam und helfer,

vor einigen tagen unterlag meine internetverbindungen stark schwankenden latenzen im onlinegaming. von so niedrig wie sonst auch (zwischen 90-140ms) bis unspielbar (>800). bei der ursachenforschung bin ich auf die logs meines routers gestoßen:

Zitat:

Sonntag Juli 27, 2008 18:40:26 Unrecognized attempt blocked from 88.72.147.118:52195 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:40:26 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:40:27 Unrecognized attempt blocked from 125.211.216.53:12200 to 85.182.2.102 TCP:9788
Sonntag Juli 27, 2008 18:40:29 Unrecognized attempt blocked from 88.72.147.118:52195 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:40:30 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:40:33 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:40:35 Unrecognized attempt blocked from 88.72.147.118:52195 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:40:37 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:40:37 Unrecognized attempt blocked from 89.7.3.145:1085 to 85.182.2.102 TCP:35332
Sonntag Juli 27, 2008 18:41:07 Unrecognized attempt blocked from 84.44.154.77:23968 to 85.182.2.102 UDP:23968
Sonntag Juli 27, 2008 18:41:26 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:41:29 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:41:31 Unrecognized attempt blocked from 88.72.147.118:52210 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:41:33 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:42:02 Unrecognized attempt blocked from 85.182.16.77:42180 to 85.182.2.102 TCP:135
Sonntag Juli 27, 2008 18:42:04 Unrecognized attempt blocked from 189.41.144.199:40721 to 85.182.2.102 UDP:32767
Sonntag Juli 27, 2008 18:42:18 Unrecognized attempt blocked from 88.72.147.118:52223 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:42:19 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:42:21 Unrecognized attempt blocked from 88.72.147.118:52223 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:42:27 Unrecognized attempt blocked from 88.72.147.118:52223 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:42:29 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:42:30 Unrecognized attempt blocked from 72.83.162.249:11280 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:42:50 Unrecognized attempt blocked from 91.32.236.128:4766 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:42:57 Unrecognized attempt blocked from 85.182.127.87:40526 to 85.182.2.102 TCP:135
Sonntag Juli 27, 2008 18:43:05 Unrecognized attempt blocked from 189.41.144.199:40721 to 85.182.2.102 UDP:32767
Sonntag Juli 27, 2008 18:43:16 Unrecognized attempt blocked from 88.72.147.118:52241 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:43:16 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099

das alles nur als beispiel, was so in den vergangenen 3 minuten auf mich herreingeprasselt ist. diverse foren geben entwarnung, so ein zugespamter log sei nichts unübliches und solange alles geblockt wird passiert auch nix etc. pp.
ich habe seitdem ich das erste mal auf den log gestoßen bin diverse versuche unternommen die häufigen "angriffe" zu unterbinden: neuer wep-schlüssel, macfilter, verzichten auf wlan und nutzung eines kabels, netzwerk mal als öffentliches und mal als privates eingerichtet, jedoch alles ohne erfolg. positiv bleibt festzuhalten, dass meine latenzen keinerlei spirenzchen mehr machen, allerdings habe ich leider seitdem regelmäßige disconnects beim gamen. es haut mich für 2-3 sekunden ausm game (vorher 2-3sekündiges standbild) und ich kann unmittelbar darauf wieder einloggen. ich mache mir ein wenig sorgen, dass ich mir irgendwas gefangen habe, dass ermöglicht, dass soviele fremde anfragen auf meinen router einprasseln und ihn dadurch quasi "lähmen" whatever, ich weiß es nicht, hoffe ich finde hier hilfe. habe seit erscheinen der regelmäßigen disconnects das ganze wochenende abgewartet um sicherzugehen, dass dies keine providerlastigenprobs sind.

hier im anschluss hab ich auch gleich einen frischen hjt-log eingefügt vor wenigen minuten gescant, vlt. erhält so der eine oder andere von euch aufschluss darüber, was mit meinem netzwerk hier geschieht.

ein kleines dankeschön im vorraus für etwaige bemühungen und bis denn

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:26, on 27.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
E:\Programme\ICQ\ICQ6\ICQ.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [HWSetup] \HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe (file missing)
O13 - Gopher Prefix: 
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7346 bytes

weizenchiller · 27.07.2008, 17:57

hier einmal die routerlogs von einem der oben genannten verbindungsabbrüche:

Zitat:

Sonntag Juli 27, 2008 18:47:09 Unrecognized attempt blocked from 88.72.147.118:52297 to 85.182.2.102 TCP:47099
Sonntag Juli 27, 2008 18:47:11 Unrecognized attempt blocked from 88.72.147.118:24985 to 85.182.2.102 UDP:47099
Sonntag Juli 27, 2008 18:47:13 Unrecognized attempt blocked from 85.182.55.241:56673 to 85.182.2.102 TCP:135
Sonntag Juli 27, 2008 18:47:46 PPPoE start to hang-up
Sonntag Juli 27, 2008 18:47:46 PADT sent
Sonntag Juli 27, 2008 18:47:46 DOD:TCP trigger from 192.168.0.176:49747 to 205.188.7.210:5190
Sonntag Juli 27, 2008 18:47:46 PPPoE start to dial-up
Sonntag Juli 27, 2008 18:47:46 PADI sent
Sonntag Juli 27, 2008 18:47:47 PADO recv 0016 HN-XDSL
Sonntag Juli 27, 2008 18:47:48 PPP3: TX LCP ACK
Sonntag Juli 27, 2008 18:47:48 PPP3: Rx LCP ACK
Sonntag Juli 27, 2008 18:47:49 CHAP3: OK
Sonntag Juli 27, 2008 18:47:49 PPP3: Tx IPCP Reguest
Sonntag Juli 27, 2008 18:47:49 PPP3: Rx IPCP Request
Sonntag Juli 27, 2008 18:47:49 PPP3: Rx IPCP NACK/REJECT
Sonntag Juli 27, 2008 18:47:49 IPCP3: IP is 78.50.16.152
Sonntag Juli 27, 2008 18:47:49 IPCP3: DNS0 is 62.109.123.196
Sonntag Juli 27, 2008 18:47:49 IPCP3: DNS1 is 213.191.74.18
Sonntag Juli 27, 2008 18:47:49 PPP3: Tx IPCP Reguest
Sonntag Juli 27, 2008 18:47:50 PPP3: Rx IPCP ACK

KarlKarl · 27.07.2008, 23:09

Hi,
dein erstes Log sind 27 Pakte in knapp 3 Minuten, da stimme ich den anderen Foren erstmal zu: ganz normales Hintergrundrauschen des Internets, scheint mir sogar relativ wenig, hab da schon anderes erlebt. Dafür hast Du einen Router, dass der das wegwirft.

"Neuer wep-schlüssel" ist egal. WEP ist geknackt, ein WLAN mit WEP kann man als unverschlüsselt ansehen. Du brauchst WPA, besser WPA2. Wenn das nicht von allen beteiligten Geräten unterstützt wird, dann WLAN ganz deaktivieren und über Kabel anschließen.

"Macfilter" macht ein unsicheres WLAN auch nicht sicher, nur eine kleine Hürde mehr, die leicht zu übersteigen ist. Man muss nur eine erlaubte MAC ermitteln. Die MAC ist nämlich nicht unveränderlich.

"verzichten auf wlan und nutzung eines kabels" Empfehlenswert wenn man nicht zwingend WLAN braucht. Wenn WPA nicht möglich, dann zwingend. Ansonsten: Mindert den Hochfrequenzsmog etwas und erspart die Probleme, wenn des Nachbars Mikrowelle auf dem falschen Kanal sendet. Hatte schon mal einen Fall: WLAN-Verbindung bricht immer wieder zusammen. Selbst Neuaufsetzen hat nichts bewirkt. Dann kam es durch einen Zufall raus, dass das immer dann passiert, wenn jemand in der Küche die Mikrowelle einschaltet.

"netzwerk mal als öffentliches und mal als privates eingerichtet": Wie ist das gemeint? Das versteh ich gerade nicht komplett. Du hast doch nicht etwa Löcher in den Router gebohrt?

Aber alle das kann nichts daran ändern, was jemand aus dem Internet an deinen Router sendet. Die einzige Möglichkeit, das zu verhindern besteht darin, keine Verbindung ins Internet zu haben.

In deinem HijackThis sehe ich nichts nachteiliges.

In welcher Häufigkeit treten denn die Verbindungsabbrüche auf? Ein gewisses Maß ist als normal anzusehen, je nach Provider kann es mehr oder weniger sein. Nutzt Du Programme, die besonders viel Traffic oder Verbindungen erzeugen? Ich denk da z.B. an P2P-Software wie Emule, Torrent, usw.

Gruß, Karl

weizenchiller · 23.08.2010, 15:04

oh man ich mach mal den totengräber. ist zwar ewig lange her aber ich wollte mich dennoch mal für die konstruktiven ratschläge bedanken die ich hier bisher immer erhalten habe. sorry, dass ich diesen thread hab versanden lassen ohne meinen dank an karl zu äußern.

mfg

router: Unrecognized attempt blocked from[..]

Log-Analyse und Auswertung: router: Unrecognized attempt blocked from[..]