Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firewall log: Unrecognized attempt blocked from MIT HiJach Log (https://www.trojaner-board.de/36233-firewall-log-unrecognized-attempt-blocked-from-hijach-log.html)

Doni 11.02.2007 22:17
Firewall log: Unrecognized attempt blocked from MIT HiJach Log
 
Hallo hab ein kleines Problem.

Undzwar ist mir beim Online Spielen aufgefallen das es laggt. Dachte mein Provider hat Probs und wollte deswegen im Rooter den DCHP Client hochfahren und wieder starten. Bin interessehalber dann noch mal auf die log datei geganen und dort stand dieses :


Display time: Sun Feb 11 12:53:11 2007
Sonntag, 11. Februar 2007 12:38:23 Unrecognized attempt blocked from 62.1.106.192:1512 to 10.21.186.66 TCP:445
Sonntag, 11. Februar 2007 12:46:34 Unrecognized attempt blocked from 173.198.168.136:30791 to 10.21.186.66 UDP:1026
Sonntag, 11. Februar 2007 12:47:56 Unrecognized attempt blocked from 62.117.6.133:1783 to 10.21.186.66 TCP:445
Sonntag, 11. Februar 2007 12:47:59 Unrecognized attempt blocked from 62.117.6.133:1783 to 10.21.186.66 TCP:445
Sonntag, 11. Februar 2007 12:49:58 Unrecognized attempt blocked from 121.94.88.173:4939 to 10.21.186.66 UDP:1434
Sonntag, 11. Februar 2007 12:50:17 Unrecognized attempt blocked from 83.180.135.173:56704 to 10.21.186.66 TCP:445
Sonntag, 11. Februar 2007 12:50:23 Unrecognized attempt blocked from 83.180.135.173:57734 to 10.21.186.66 TCP:445
Sonntag, 11. Februar 2007 12:50:54 Unrecognized attempt blocked from 15.131.178.15:30791 to 10.21.186.66 UDP:1026
Sonntag, 11. Februar 2007 12:52:40 Unrecognized attempt blocked from 62.117.29.121:3708 to 10.21.186.66 TCP:445
Sonntag, 11. Februar 2007 12:52:43 Unrecognized attempt blocked from 62.117.29.121:3708 to 10.21.186.66 TCP:445


Davon ein Paar Seiten. Das sagt der HiJack Log :



Logfile of HijackThis v1.99.1
Scan saved at 22:03:35, on 11.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
G:\WINDOWS\system32\CTHELPER.EXE
G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
G:\Programme\Java\jre1.5.0_09\bin\jusched.exe
G:\Programme\Multimedia Keyboard Only\PS2USBKbdDrv.exe
G:\Programme\Messenger\msmsgs.exe
G:\Programme\OpenOffice.org 2.0\program\soffice.exe
G:\Programme\OpenOffice.org 2.0\program\soffice.BIN
G:\Programme\Teamspeak2_RC2\TeamSpeak.exe
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Opera\Opera.exe
G:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Programme\ICQLite\ICQLite.exe
G:\WINDOWS\system32\cmd.exe
G:\Programme\WinRAR\WinRAR.exe
E:\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] G:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] G:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] G:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ICQ Lite] "G:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessKeyboard ] G:\Programme\Multimedia Keyboard Only\PS2USBKbdDrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "G:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = G:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = G:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe


Einer ne Idee?

Vielen Dank

Cleriker 12.02.2007 14:20
Malzeit,

das heißt, dass dein Router Zugriffe verhindert hat.
Ist in einigen Vorgängen ganz normal, aber wenn
man sich die IP's anschaut, hast du Zugriffsversuche
aus Griechenland, Spanien, Japan, aus verschiedenen
Teilen Deutschlands und der IP-Vergabestelle aus den
USA. Bei den anderen Ländern handelt es sich dazu auch
nur um Herstellerfirmen und Ähnliches.
Ich würde also nicht behauptet, dass du angegriffen werden
würdest. Ich schweife eher dazu ab, dass deine Porteinstellungen
oder deine Firewall ungewöhnlich eingestellt sind.

Hast du irgend etwas verändert in den letzten Tagen?
Was hast du für einen Router?
Was hast du für Portfreigaben?
Hast du eine seperate Routerfirewall?

mfg Cleriker

Doni 12.02.2007 22:21
hi ,

danke für deine hilfe. ich habe nur die standartports wie 80,21 ect offen und was im 16000 bereich für nen prog. der router ist einer von d-link. und hab nichts in den letzten tagen verändert ect was mit dem router /internet zu tun hat.

ich weiss auch das die ips ständig wechseln , denke jemand benutzt nen prog wie zb das von steganos das die ips ständig ändert.benutzte neben der firewall des routers noch zone alarm als kleines backup.

heute waren wieder versuche diesmal aus china :D

irrlicht 12.02.2007 22:38
Hallo,
Zitat:
ich habe nur die standartports wie 80,21 ect offen und was im 16000 bereich
Sicher ?

Dein Log sieht das etwas anders....
Zitat:
Sonntag, 11. Februar 2007 12:38:23 Unrecognized attempt blocked from 62.1.106.192:1512 to 10.21.186.66 >>>>>>>> TCP:445 <<<<<<
Zitat:
denke jemand benutzt nen prog wie zb das von steganos das die ips ständig ändert
Das es auch "böse Buben" in anderen Ländern gibt,kannst du dir nicht vorstellen ?;)
Irrlicht

Doni 13.02.2007 01:20
Zitat:
Zitat von irrlicht (Beitrag 253678)
Hallo,

Sicher ?

Dein Log sieht das etwas anders....



Das es auch "böse Buben" in anderen Ländern gibt,kannst du dir nicht vorstellen ?;)
Irrlicht

klar aber meinste die halbe welt versucht sich gleichzeitig bei mir reinzuhacken? bin ja nicht das fbi :D

Cleriker 13.02.2007 11:19
Morgeen,

@Doni
mit deinen Posts gegenüber Irrlicht kommen
wir trotzdem nicht weiter.

Ich schlage vor, du schließt erste mal alle
Ports, denn nomalerweis brauchst du die nicht
öffnen. Teamspeak nur, wenn du selbst der Server
bist und die 21 nur wenn du einen FTP-Server hast
und die 80 auch nur wenn dein PC als Intranet eine
eigene Domaine als Website oder so hat.
Probiere es aus, was passiert, wenn alle geschlossen
sind. Dein Spiel laggt ja auch nur dann, wenn jemand
bis zu deinem Router vordringt (innerhalb der Ports)

mfg Cleriker


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131