Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.12.2009, 19:45   #1
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Hallo Ihr Spezialisten da draussen,

wie der Topic schon sagt, zeigt mir mein Kaspersky 2010 aller halbe Stunde diesen Eindring- Versuch an. An für sich ist das hja kein Thema, wenns erkannt und gebannt wird. Jedoch habe ich das Problem, daß mir - ich nehms mal an -durch diesen Eindrinungsversuch regelmäßig die Internetleitung gekappt wird, und erst wieder durch einen restart des Rechners zum laufen gebracht werden kann. Und genau DAS ist der Unteschied, zu allen anderen Postings, die ich durch Google gefunden habe. Ich hab auch mal in mein Routerprotokoll (T-Sinus 130 DSL) nachgesehn, was kurz vor dem Internetabbruch da so steht...hier nun das Ergenis:

11/30/2009 06:12:19 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724
11/30/2009 06:12:10 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724
11/30/2009 06:12:05 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724
11/30/2009 06:12:03 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724
11/30/2009 06:11:10 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322
11/30/2009 06:11:00 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322
11/30/2009 06:10:52 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322
11/30/2009 06:10:49 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322
11/30/2009 05:52:33 **smurf** 95.222.70.255, 60470->> 192.168.2.102, 3724
11/30/2009 05:52:27 **smurf** 95.222.70.255, 60470->> 192.168.2.102, 3724
11/30/2009 05:52:24 **smurf** 95.222.70.255, 60470->> 192.168.2.102, 3724
11/30/2009 05:34:36 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724
11/30/2009 05:34:30 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724
11/30/2009 05:34:28 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724
11/30/2009 05:34:25 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724
11/30/2009 05:33:45 **smurf** 82.83.69.255, 51355->> 192.168.2.102, 3724
11/30/2009 05:33:39 **smurf** 82.83.69.255, 51355->> 192.168.2.102, 3724
11/30/2009 05:33:36 **smurf** 82.83.69.255, 51355->> 192.168.2.102, 3724
11/30/2009 05:30:08 **smurf** 92.72.80.0, 1644->> 192.168.2.102, 3724
11/30/2009 05:30:01 **smurf** 92.72.80.0, 1644->> 192.168.2.102, 3724
11/30/2009 05:29:59 **smurf** 92.72.80.0, 1644->> 192.168.2.102, 3724
11/30/2009 04:44:10 **smurf** 92.225.210.0->> 192.168.2.100, Type:3, Code:13

Das heist ja, das man von aussen mich mit Pings voll spamt, und unter der Last meine recht schmale Leitung (384er - kein Scherz) zusammenbricht. Leider konnte ich noch nicht rausfinden, wie ich diese Problem beheben kann, und hoffe hierzu Fachmännische Hilfe. Ich habe mein System von Vista auf Windows 7 umgestellt, und kurz danach fingen die Probleme an. Die vom Forum genannten 3 Programme wollte ich ausführen, konnte jedoch nur Maleware und CCcleaner arbeiten lassen, da RSIT bei der Instalation immer mit Fehlermeldung abricht. HiJack habe ich auch schon genutzt, es kamen aber keine besonderen Ergebnisse zu Tage.
Gesagt werden sollte noch, das ich totaler PC Antispezialist bin, und Unterstützung für Dummies benötige.

vielen Dank vorab für Eure Hilfe, falls noch Angaben fehlen sollten, werde ich sie selbstverständlich gern nachreichen.

Geändert von -5ive.- (02.12.2009 um 20:21 Uhr)

Alt 03.12.2009, 01:22   #2
WinUpGro
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Port 3724 ist für WoW, erster Google-Eintrag. Nach dem Ändern der IP ist der Spuk vorüber.

Und nein Du kannst Dich nicht dagegen wehren.

Es hilft nur neu einwählen.

Zitat:
Intrusion.Win32.MSSQL.worm.herlkern
Warum dieser Aufmacher und das Crossposting bei Chip.de?
__________________


Alt 03.12.2009, 08:55   #3
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Die IP änder ich ja, indem ich den Router kurz vom Stromnetz nehme (wenn ich mich recht erinnere) Dies habe ich ja auch schon probiert - hat aber nichts geholfen, der Abberuch der Leitung kommt trotzdem ständig wieder.
__________________

Alt 03.12.2009, 09:41   #4
ordell1234
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Helkern und smurf sind zwei verschiedene Paar Schuhe. "Internet weg und erst nach Neustart des Rechners wieder da" haut auch nicht so recht hin. Die Einwahl ins Internet übernimmt der Router, dein Rechner ist Teil des LANs und nicht direkt mit dem Internet verbunden.

Du müsstest also prüfen, ob dein Router die Verbindung kappt oder dein Rechner, auf dem KIS läuft. Schau dafür mal ins Interface des Routers, was der über den Status sagt, wenn "das Internet mal wieder weg ist".

Vorschläge:
1. smurf: Die Logeinträge schauen mir danach aus, also ob der sinus 130 alles für eine smurf-attacke hält, was auf x.y.z.255 endet. Das ist Blödsinn. Nimm beim sog. "Hackerschutz" mal den Haken zur Erkennung von smurf raus.

2. Helkern: Diese Meldung ist Beleg für die Sinnlosigkeit von Desktopfirewalls (eigentlich dachte ich, Kaspersky hätte diesen Schwachsinn beseitigt). Deaktiviere die Meldung dieses "Angriffs" oder deinstalliere sinnvollerweise die Kaspersky-Firewall komplett. Deiner Sicherheit tut dies null Abbruch. Ehrlich, versprochen

Alt 03.12.2009, 11:08   #5
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Wenns "Internet weg ist" - dann komme ich nicht mal mehr auf den Router drauf (PC und Router sind via Kabel verbunden), da kann ich machen was ich will, es muss neu gestartet werden - ergo kann ich mich auch nciht mehr manuell übern Router mit den Internet verbinden lassen.

Beim Hackerschutz habe ich nur:
-Schutz gegen Zurückweisen von Diensten (DoS)
-Abweisen eines PING vom WAN
-Routing Informations Protokoll defekt

Was meinste jetzt genau?


Alt 03.12.2009, 11:44   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Icon32

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Zitat:
Was meinste jetzt genau?
hat Mr. ordell doch geschrieben: "deinstalliere sinnvollerweise die Kaspersky-Firewall komplett. Deiner Sicherheit tut dies null Abbruch. Ehrlich, versprochen"
__________________
--> Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER

Alt 03.12.2009, 12:20   #7
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Tschuldigung, war jetzt vielleicht ein wenig ungenau von mir. Ich wollte wissen, welches der 3 Aufzählungen vom Hackerschutz ich im Router genau deaktivieren soll.

Alt 03.12.2009, 12:20   #8
ordell1234
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Abweisen eines Ping aus dem WAN

-> weder Erläuterung noch Begrifflichkeiten des Angriffs sind im Handbuch sauber, aber mit bisserl googeln was "smurf" in dem Zusammenhang bedeutet, wärst du selber drauf gekommen

Nochmal zum Internet: Wenn das Internet "weg ist", kannst du u.U. trotzdem auf den Router, da der mit seinem Webinterface im LAN hängt. Bricht das LAN weg (Stichwort Kasperlsky), hängt der Router trotzdem noch im Netz. Prüfe also, ob der Router dicht macht, oder dein Rechner. Prüfe im Statuslog zB, ob du eine neue IP bekommst, wenn die Verbindung wegsackt usw. Schmeiß die Firewall weg, das grenzt die Suche massiv ein. Sonst wird das nie was.

Alt 03.12.2009, 13:36   #9
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Hab alles so gemacht wie du gesagt hast. KIS Firewall ist weg, Abweisen eines Ping aus dem WAN dekativiert. Trotzdem werde ich vom Netz getrennt, und komme auch nach dem Ausschalten von KIS nicht auf den Router. Ledigich nach den PC neustart klappt wieder alles. Ich habe eine neue IP erhalten.
Was ich aber nicht verstehe: Wenn ich World of Warcraft spiele, stürzt die Leitung so nach 30 Minuten ab. Ansonsten dauerts so ca. 3-4 Stunden. Aber abrechen tut sie so ode so - sehr frustrierend.

Alt 03.12.2009, 13:47   #10
ordell1234
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Ok, dann nimm beim Router -> Hackerschutz alle 3 Haken raus und beobachte. Macht das Internet wieder die Mücke, schau mal ins Log des Routers und poste die Ausgabe hier rein.

Alt 03.12.2009, 16:35   #11
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Alle Haken sind draussen. Leitung zusammengbrochen.
Hier das Router Log:

12/03/2009 10:20:52 **smurf** 91.114.248.255, 3724->> 192.168.2.100, 49692
12/03/2009 10:20:46 **smurf** 91.114.248.255, 3724->> 192.168.2.100, 49692
12/03/2009 10:20:43 **smurf** 91.114.248.255, 3724->> 192.168.2.100, 49692
12/03/2009 10:07:05 **smurf** 92.225.228.0, 3724->> 192.168.2.100, 49493
12/03/2009 10:07:00 **smurf** 92.225.228.0, 3724->> 192.168.2.100, 49493
12/03/2009 10:06:56 **smurf** 92.225.228.0, 3724->> 192.168.2.100, 49493
12/03/2009 10:05:31 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365
12/03/2009 10:05:19 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365
12/03/2009 10:05:15 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365
12/03/2009 10:05:11 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365
12/03/2009 10:02:54 NTP Date/Time updated
01/01/1970 00:01:03 PPPOE get IP:217.95.252.230
01/01/1970 00:01:03 Username and Password: OK
01/01/1970 00:01:03 PPPOE start PPP
01/01/1970 00:01:03 PPPoE receive PADS
01/01/1970 00:01:03 PPPoE send PADR
01/01/1970 00:01:03 PPPoE receive PADO
01/01/1970 00:01:02 PPPoE send PADI
01/01/1970 00:01:02 Dial On Demand(PPPOE)

Alt 03.12.2009, 16:50   #12
ordell1234
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Dolle Wurst, doller Schutz. Hast du für WoW eine Portweiterleitung eingerichtet? Falls nicht, mach das mal.

Beim Googlen bin ich noch auf ein hidden-interface des sinus 130 gestoßen, erreichbar über "192.168.2.1/firewall_spi_h.stm " (192.168.2.1 mußt du ggf. deiner gateway-adresse anpassen). Gibt's das bei dir? Könnte in etwa so aussehen




Setze dort mal höhere Werte ein, zB 999 für unvollständige udp/tcp Verbindungen und reduziere die Blockzeit auf ein paar ms. Erfahrungswerte kann ich dir da nicht geben, da ich kein WoW-Zocker bin und kein sinus 130 habe. Die Einstellungen betreffen zwar eigentlich den synflood-Schutz und eigentlich sollte der auch aus sein, aber der Teufel ist bekanntlich ein Eichhörnchen.

Bringt das auch nichts, frage mal im WoW-Forum nach, was die für Einstellungen fahren oder frage auch beim Telekom-Support nach, schließlich haben die die Kasterln auf den Markt geworfen.

Alt 03.12.2009, 19:09   #13
-5ive.-
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Also erstmal vielen Dank für Deine Hilfe.
Im Router habee ich eine solche (osder ähnliche) Maske nicht finden können. Ich habe mich mal bei der TKOM informiert - die haben gemeint, es würde vielleicht an dem alten Router liegen, das der langsam die Mücke macht. Ich sollte mal einen aneren Router ausprobieren. Da aber wie gesagt mit normalen Routern meine schmale Leitung nicht nutzbar ist, ist das recht schwer, und die schicken mir extra einen Mietrouter zu ums zu testen. Mal sehjen, was es hilft. Aber wie gesagt, Vielen Dank für deine Zeit die du für mich aufgebracht hast

Alt 03.12.2009, 19:17   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Zitat:
Da aber wie gesagt mit normalen Routern meine schmale Leitung nicht nutzbar ist,
Hööö?
Was hast Du denn da für ne besondere schmale Leitung? Die neuen Router können ADSL2+ und sind auch abwärtkompatibel mit dem '"alten" DSL und müssten es auch mit DSL-light (384 kbps) sein. Basiert doch alles auf PPPoE.

Ich hatte schon echt Deppen bei der T-Com-Hotline, glaub denen bitte nicht alles
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.12.2009, 22:59   #15
ordell1234
 
Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Standard

Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER



Ja, die Probleme sehe ich auch nicht. Nimm das Angebot des Riesen wahr und teste. Schau ins Handbuch, wie man Portweiterleitungen einrichtet und die SPI-Firewall WoW-konform konfiguriert.

Grüße

Antwort

Themen zu Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER
abbruch, alter, anderen, code, erkannt, fehlen, google, interne, internetabbruch, internetleitung, kaspersky, laufen, pings, problem, probleme, rechners, recht, scherz, spam, spezialisten, system, thema, totaler, unterstützung, vista, voll, windows, windows 7




Ähnliche Themen: Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER


  1. Alter Pc geht an ,es kommt aber kein signal am Bildschirm an
    Netzwerk und Hardware - 17.09.2014 (6)
  2. Netzwerkangriff Intrusion
    Antiviren-, Firewall- und andere Schutzprogramme - 10.02.2014 (0)
  3. Alter Laptop, sollte aber schneller sein
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (9)
  4. Trojan:Win32/Bumat!rts von alter HD "eingefangen"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (10)
  5. neuen Rechner mittels USB Stick infiziert? (MSSQL.worm.Helkern)
    Plagegeister aller Art und deren Bekämpfung - 01.08.2011 (1)
  6. Gmer meldet Rootkit Verdacht: HIDDEN MSSQL Service
    Log-Analyse und Auswertung - 04.08.2010 (5)
  7. Kaspersky Info - Angriffversuch abgewehrt Intrusion.Win.MSSQL.worm.Helkern
    Plagegeister aller Art und deren Bekämpfung - 20.04.2009 (1)
  8. Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung
    Plagegeister aller Art und deren Bekämpfung - 06.01.2009 (8)
  9. intrusion.win.mssql.worm.helkern
    Plagegeister aller Art und deren Bekämpfung - 27.12.2008 (1)
  10. Intrusion.Win.MSSQL.worm.Helkern!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (4)
  11. neuer oder alter Win32:Trojan-gen. (Other)
    Plagegeister aller Art und deren Bekämpfung - 09.10.2008 (2)
  12. Intrusion.Win.MSSQL.worm.Helkern
    Plagegeister aller Art und deren Bekämpfung - 26.12.2007 (5)
  13. Intrusion.Win.MSSQL.worm.Helkern
    Plagegeister aller Art und deren Bekämpfung - 10.08.2007 (7)
  14. Hacker Angriff:Intrusion.Win.MSSQL.worm.Helkern! Attacker's IP.............
    Plagegeister aller Art und deren Bekämpfung - 24.01.2007 (5)
  15. System Intrusion Detected!
    Plagegeister aller Art und deren Bekämpfung - 09.01.2006 (6)
  16. Trojaner! Will Sys auf neue FP neu aufsetzen, aber z.T. Daten von alter FP übernehmen
    Plagegeister aller Art und deren Bekämpfung - 27.11.2005 (1)
  17. sorry das ist ein alter hut, aber
    Log-Analyse und Auswertung - 29.12.2004 (2)

Zum Thema Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER - Hallo Ihr Spezialisten da draussen, wie der Topic schon sagt, zeigt mir mein Kaspersky 2010 aller halbe Stunde diesen Eindring- Versuch an. An für sich ist das hja kein Thema, - Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER...
Archiv
Du betrachtest: Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.