|
Plagegeister aller Art und deren Bekämpfung: Intrusion.Win32.MSSQL.herlkern - alter Hut, ABERWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.12.2009, 19:45 | #1 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Hallo Ihr Spezialisten da draussen, wie der Topic schon sagt, zeigt mir mein Kaspersky 2010 aller halbe Stunde diesen Eindring- Versuch an. An für sich ist das hja kein Thema, wenns erkannt und gebannt wird. Jedoch habe ich das Problem, daß mir - ich nehms mal an -durch diesen Eindrinungsversuch regelmäßig die Internetleitung gekappt wird, und erst wieder durch einen restart des Rechners zum laufen gebracht werden kann. Und genau DAS ist der Unteschied, zu allen anderen Postings, die ich durch Google gefunden habe. Ich hab auch mal in mein Routerprotokoll (T-Sinus 130 DSL) nachgesehn, was kurz vor dem Internetabbruch da so steht...hier nun das Ergenis: 11/30/2009 06:12:19 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724 11/30/2009 06:12:10 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724 11/30/2009 06:12:05 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724 11/30/2009 06:12:03 **smurf** 90.186.102.255, 56994->> 192.168.2.102, 3724 11/30/2009 06:11:10 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322 11/30/2009 06:11:00 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322 11/30/2009 06:10:52 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322 11/30/2009 06:10:49 **smurf** 82.83.69.255, 3724->> 192.168.2.100, 50322 11/30/2009 05:52:33 **smurf** 95.222.70.255, 60470->> 192.168.2.102, 3724 11/30/2009 05:52:27 **smurf** 95.222.70.255, 60470->> 192.168.2.102, 3724 11/30/2009 05:52:24 **smurf** 95.222.70.255, 60470->> 192.168.2.102, 3724 11/30/2009 05:34:36 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724 11/30/2009 05:34:30 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724 11/30/2009 05:34:28 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724 11/30/2009 05:34:25 **smurf** 90.186.102.255, 54955->> 192.168.2.102, 3724 11/30/2009 05:33:45 **smurf** 82.83.69.255, 51355->> 192.168.2.102, 3724 11/30/2009 05:33:39 **smurf** 82.83.69.255, 51355->> 192.168.2.102, 3724 11/30/2009 05:33:36 **smurf** 82.83.69.255, 51355->> 192.168.2.102, 3724 11/30/2009 05:30:08 **smurf** 92.72.80.0, 1644->> 192.168.2.102, 3724 11/30/2009 05:30:01 **smurf** 92.72.80.0, 1644->> 192.168.2.102, 3724 11/30/2009 05:29:59 **smurf** 92.72.80.0, 1644->> 192.168.2.102, 3724 11/30/2009 04:44:10 **smurf** 92.225.210.0->> 192.168.2.100, Type:3, Code:13 Das heist ja, das man von aussen mich mit Pings voll spamt, und unter der Last meine recht schmale Leitung (384er - kein Scherz) zusammenbricht. Leider konnte ich noch nicht rausfinden, wie ich diese Problem beheben kann, und hoffe hierzu Fachmännische Hilfe. Ich habe mein System von Vista auf Windows 7 umgestellt, und kurz danach fingen die Probleme an. Die vom Forum genannten 3 Programme wollte ich ausführen, konnte jedoch nur Maleware und CCcleaner arbeiten lassen, da RSIT bei der Instalation immer mit Fehlermeldung abricht. HiJack habe ich auch schon genutzt, es kamen aber keine besonderen Ergebnisse zu Tage. Gesagt werden sollte noch, das ich totaler PC Antispezialist bin, und Unterstützung für Dummies benötige. vielen Dank vorab für Eure Hilfe, falls noch Angaben fehlen sollten, werde ich sie selbstverständlich gern nachreichen. Geändert von -5ive.- (02.12.2009 um 20:21 Uhr) |
03.12.2009, 01:22 | #2 | |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Port 3724 ist für WoW, erster Google-Eintrag. Nach dem Ändern der IP ist der Spuk vorüber.
__________________Und nein Du kannst Dich nicht dagegen wehren. Es hilft nur neu einwählen. Zitat:
|
03.12.2009, 08:55 | #3 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Die IP änder ich ja, indem ich den Router kurz vom Stromnetz nehme (wenn ich mich recht erinnere) Dies habe ich ja auch schon probiert - hat aber nichts geholfen, der Abberuch der Leitung kommt trotzdem ständig wieder.
__________________ |
03.12.2009, 09:41 | #4 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Helkern und smurf sind zwei verschiedene Paar Schuhe. "Internet weg und erst nach Neustart des Rechners wieder da" haut auch nicht so recht hin. Die Einwahl ins Internet übernimmt der Router, dein Rechner ist Teil des LANs und nicht direkt mit dem Internet verbunden. Du müsstest also prüfen, ob dein Router die Verbindung kappt oder dein Rechner, auf dem KIS läuft. Schau dafür mal ins Interface des Routers, was der über den Status sagt, wenn "das Internet mal wieder weg ist". Vorschläge: 1. smurf: Die Logeinträge schauen mir danach aus, also ob der sinus 130 alles für eine smurf-attacke hält, was auf x.y.z.255 endet. Das ist Blödsinn. Nimm beim sog. "Hackerschutz" mal den Haken zur Erkennung von smurf raus. 2. Helkern: Diese Meldung ist Beleg für die Sinnlosigkeit von Desktopfirewalls (eigentlich dachte ich, Kaspersky hätte diesen Schwachsinn beseitigt). Deaktiviere die Meldung dieses "Angriffs" oder deinstalliere sinnvollerweise die Kaspersky-Firewall komplett. Deiner Sicherheit tut dies null Abbruch. Ehrlich, versprochen |
03.12.2009, 11:08 | #5 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Wenns "Internet weg ist" - dann komme ich nicht mal mehr auf den Router drauf (PC und Router sind via Kabel verbunden), da kann ich machen was ich will, es muss neu gestartet werden - ergo kann ich mich auch nciht mehr manuell übern Router mit den Internet verbinden lassen. Beim Hackerschutz habe ich nur: -Schutz gegen Zurückweisen von Diensten (DoS) -Abweisen eines PING vom WAN -Routing Informations Protokoll defekt Was meinste jetzt genau? |
03.12.2009, 11:44 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Intrusion.Win32.MSSQL.herlkern - alter Hut, ABERZitat:
__________________ --> Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER |
03.12.2009, 12:20 | #7 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Tschuldigung, war jetzt vielleicht ein wenig ungenau von mir. Ich wollte wissen, welches der 3 Aufzählungen vom Hackerschutz ich im Router genau deaktivieren soll. |
03.12.2009, 12:20 | #8 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Abweisen eines Ping aus dem WAN -> weder Erläuterung noch Begrifflichkeiten des Angriffs sind im Handbuch sauber, aber mit bisserl googeln was "smurf" in dem Zusammenhang bedeutet, wärst du selber drauf gekommen Nochmal zum Internet: Wenn das Internet "weg ist", kannst du u.U. trotzdem auf den Router, da der mit seinem Webinterface im LAN hängt. Bricht das LAN weg (Stichwort Kasperlsky), hängt der Router trotzdem noch im Netz. Prüfe also, ob der Router dicht macht, oder dein Rechner. Prüfe im Statuslog zB, ob du eine neue IP bekommst, wenn die Verbindung wegsackt usw. Schmeiß die Firewall weg, das grenzt die Suche massiv ein. Sonst wird das nie was. |
03.12.2009, 13:36 | #9 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Hab alles so gemacht wie du gesagt hast. KIS Firewall ist weg, Abweisen eines Ping aus dem WAN dekativiert. Trotzdem werde ich vom Netz getrennt, und komme auch nach dem Ausschalten von KIS nicht auf den Router. Ledigich nach den PC neustart klappt wieder alles. Ich habe eine neue IP erhalten. Was ich aber nicht verstehe: Wenn ich World of Warcraft spiele, stürzt die Leitung so nach 30 Minuten ab. Ansonsten dauerts so ca. 3-4 Stunden. Aber abrechen tut sie so ode so - sehr frustrierend. |
03.12.2009, 13:47 | #10 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Ok, dann nimm beim Router -> Hackerschutz alle 3 Haken raus und beobachte. Macht das Internet wieder die Mücke, schau mal ins Log des Routers und poste die Ausgabe hier rein. |
03.12.2009, 16:35 | #11 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Alle Haken sind draussen. Leitung zusammengbrochen. Hier das Router Log: 12/03/2009 10:20:52 **smurf** 91.114.248.255, 3724->> 192.168.2.100, 49692 12/03/2009 10:20:46 **smurf** 91.114.248.255, 3724->> 192.168.2.100, 49692 12/03/2009 10:20:43 **smurf** 91.114.248.255, 3724->> 192.168.2.100, 49692 12/03/2009 10:07:05 **smurf** 92.225.228.0, 3724->> 192.168.2.100, 49493 12/03/2009 10:07:00 **smurf** 92.225.228.0, 3724->> 192.168.2.100, 49493 12/03/2009 10:06:56 **smurf** 92.225.228.0, 3724->> 192.168.2.100, 49493 12/03/2009 10:05:31 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365 12/03/2009 10:05:19 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365 12/03/2009 10:05:15 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365 12/03/2009 10:05:11 **smurf** 85.179.86.0, 3724->> 192.168.2.100, 49365 12/03/2009 10:02:54 NTP Date/Time updated 01/01/1970 00:01:03 PPPOE get IP:217.95.252.230 01/01/1970 00:01:03 Username and Password: OK 01/01/1970 00:01:03 PPPOE start PPP 01/01/1970 00:01:03 PPPoE receive PADS 01/01/1970 00:01:03 PPPoE send PADR 01/01/1970 00:01:03 PPPoE receive PADO 01/01/1970 00:01:02 PPPoE send PADI 01/01/1970 00:01:02 Dial On Demand(PPPOE) |
03.12.2009, 16:50 | #12 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Dolle Wurst, doller Schutz. Hast du für WoW eine Portweiterleitung eingerichtet? Falls nicht, mach das mal. Beim Googlen bin ich noch auf ein hidden-interface des sinus 130 gestoßen, erreichbar über "192.168.2.1/firewall_spi_h.stm " (192.168.2.1 mußt du ggf. deiner gateway-adresse anpassen). Gibt's das bei dir? Könnte in etwa so aussehen Setze dort mal höhere Werte ein, zB 999 für unvollständige udp/tcp Verbindungen und reduziere die Blockzeit auf ein paar ms. Erfahrungswerte kann ich dir da nicht geben, da ich kein WoW-Zocker bin und kein sinus 130 habe. Die Einstellungen betreffen zwar eigentlich den synflood-Schutz und eigentlich sollte der auch aus sein, aber der Teufel ist bekanntlich ein Eichhörnchen. Bringt das auch nichts, frage mal im WoW-Forum nach, was die für Einstellungen fahren oder frage auch beim Telekom-Support nach, schließlich haben die die Kasterln auf den Markt geworfen. |
03.12.2009, 19:09 | #13 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Also erstmal vielen Dank für Deine Hilfe. Im Router habee ich eine solche (osder ähnliche) Maske nicht finden können. Ich habe mich mal bei der TKOM informiert - die haben gemeint, es würde vielleicht an dem alten Router liegen, das der langsam die Mücke macht. Ich sollte mal einen aneren Router ausprobieren. Da aber wie gesagt mit normalen Routern meine schmale Leitung nicht nutzbar ist, ist das recht schwer, und die schicken mir extra einen Mietrouter zu ums zu testen. Mal sehjen, was es hilft. Aber wie gesagt, Vielen Dank für deine Zeit die du für mich aufgebracht hast |
03.12.2009, 19:17 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Intrusion.Win32.MSSQL.herlkern - alter Hut, ABERZitat:
Was hast Du denn da für ne besondere schmale Leitung? Die neuen Router können ADSL2+ und sind auch abwärtkompatibel mit dem '"alten" DSL und müssten es auch mit DSL-light (384 kbps) sein. Basiert doch alles auf PPPoE. Ich hatte schon echt Deppen bei der T-Com-Hotline, glaub denen bitte nicht alles
__________________ Logfiles bitte immer in CODE-Tags posten |
03.12.2009, 22:59 | #15 |
| Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER Ja, die Probleme sehe ich auch nicht. Nimm das Angebot des Riesen wahr und teste. Schau ins Handbuch, wie man Portweiterleitungen einrichtet und die SPI-Firewall WoW-konform konfiguriert. Grüße |
Themen zu Intrusion.Win32.MSSQL.herlkern - alter Hut, ABER |
abbruch, alter, anderen, code, erkannt, fehlen, google, interne, internetabbruch, internetleitung, kaspersky, laufen, pings, problem, probleme, rechners, recht, scherz, spam, spezialisten, system, thema, totaler, unterstützung, vista, voll, windows, windows 7 |