|
Werden von meinem Rechner Dos Attacken gestartet? Hallo zusammen, ich weiß mittlerweile echt nicht mehr weiter. Habe folgendes Problem. Seit kurzem ist mein Internet sehr langsam, Seiten bauen sich langsam auf, Youtube Videos dauern ewig zum laden und und und. Hatte mit eurer Hilfe mein System schon bereinigt. Hat aber nix genützt. Bin dann in meinem Protokoll des Routers (Netgear DGN2200B) auf folgende Einträge gestoßen: [DOS Attack] : 48 [STORM] packets detected in last 20 seconds, source ip [87.170.181.218] Mittwoch, Jun 12,2013 15:50:29 [DOS Attack] : 1 [STORM] packets detected in last 20 seconds, source ip [87.170.181.218] Mittwoch, Jun 12,2013 15:50:02 Die IP Adresse die laut Router die Quelle sein soll ist meine IP Adresse die ich in diesem Moment von meinem Provider bekommen habe. Die Anzahl der Pakete pro Eintrag variiert immer wieder. Ich könnte die Liste unendlich fortsetzen. Da dachte ich mir na gut nützt nix, System neu aufsetzen. So das habe ich gestern gemacht und trotzdem sobald ich mit dem Internet verbunden bin geht das wieder los. Hab beide Platten (eine SSD auf der ich normalerweise mein Windows installiert hab, und eine normale Platte) formatiert und die Partitionen gelöscht. Danach den Rechner für ein paar Minuten vom Strom genommen und alles wieder installiert. Habe das bei beiden Platten gemacht und die jeweils andere in der Zwischenzeit abgesteckt. Habe keine externen Geräte oder USB Sticks angeschlossen. Und trotzdem bleibt das Problem. Wenn ich das ganze richtig verstehe bin ich Teil einer DOS Attacke, mein Rechner versucht sinnlos Pakete rauszuschicken ohne mein Wissen und mein Router blockt dann das ganze. Damit ist mein Router aber so beschäftigt das mein Internetspeed in die Knie geht.Habt ihr eine Idee? *Update* Gestern gab es über 6 Stunden keinen neuen Eintrag im Router Protokoll. Heute früh den Rechner neu gestartet, wieder sind 3 Einträge aufgetaucht, seit mittlerweile circa 3 Stunden gibt es auch heute keine neuen Einträge. Trotzdem ist mein Internet weiterhin sehr langsam. Mit den verschiedenen DSl Speed Test Seiten bekomme ich dauernd unterschiedliche Ergebnisse (von 400kb bis 8,5mb Downloadrate ist alles dabei). Kann mir jemand eine Seite oder ein Programm empfehlen wo ich es besser überprüfen kann? |
Hi, Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
|
hier nun die Logfiles: FRST Logfile: FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 12-06-2013 04--- --- --- --- --- --- --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 12-06-2013 04 |
Hi, Router bitte auf Werkseinstellungen zurücksetzen. Daten zum Provider neu eingeben. |
Bist du der Meinung das es daran liegt oder kannst du das irgendwo in den Logfiles sehen? |
Wenn Du die Kiste formatiert hast ist die sauber. Aber Router-Befall ist nicht so ungewöhnlich ;) |
Na ja, ich kann nicht so richtig daran glauben das es am Router liegt. Hab noch die Möglichkeit mein Netbook bei meinem Router per W-Lan zu verbinden und der läuft sauber. Also wenn ich dort in den Router gehe, kommen diese Meldungen wegen DOS Attacken nicht. Also kann ich den Router ja eigentlich als Quelle ausschließen, oder? |
Der Router dauert ca. 5 Minuten, und du bist sicher dass der Teil sauber ist. Wir können aber auch gern Scannen bis zum Umfallen, ich hab nichts vor sonst :D [indent] Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) |
Hallo Schrauber, sorry das ich mich jetzt erst melde, aber ich hab mal verschiedene Sachen ausprobiert. Hab mir die Kaspersky Rescue Disk runtergeladen und selbst da treten diese DOS Attacken auf, was eigentlich nur einen Schluß zulässt. Entweder hat sich das Teil im Bios verschanzt oder im Lan Controller und da hilft mir nicht mal format c sondern eigentlich nur noch ein neukauf :mad: |
Du wärst der Erste auf diesem Planeten mit Müll im LAN Controller, und ein BIOS Bootkit gibt es nur für Award Bios, und das wäre mit obigem Scan (den Du immer noch nicht gemacht hast) zu sehen. |
Sorry, hier nun das Logfile FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-06-2013 --- --- --- |
Nüscht, alles sauber. FRST vom Stick auf den Desktop schieben, vom Desktop nochmal scannen lassen, Log posten. Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Hallo, hier der scan vom Desktop und der von mbar. FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-06-2013 --- --- --- Code: Malwarebytes Anti-Rootkit BETA 1.06.0.1003 |
Immer noch nichts. Alles sauber. Was ich nicht ganz verstehe: Du gehst von deinem Rechner auf den Router, schaust dir das Ereignis-Log an, DOS-Attacken. Du gehst von einem andern Rechner auf den Router, schaust dir das gleiche Ereignis-Log an, sauber? :wtf: |
ja ich geh per lan kabel mit meinem pc in den router und wenn ich das lan kabel abziehe und übers netbook mit w-lan in den router gehe kommt nix. verstehst du wie ich das meine? |
Also: Das Log, das Du dir ansiehst, liegt auf dem Router, weil egal welchen Rechner du anschliesst, und wenn es 20 sind, ausgehende verbindungen gibt es nur eine, den router. also müsste das Ereignislog auch immer das gleiche sein, deswegen ist diese These eigentlich unmöglich. Hast Du den Router mal zurückgesetzt, wie ich oben geschrieben hab? Der Rechner ist definitiv sauber bzw es ist nichts mit den uns zur Verfügung stehenden Mitteln zu sehen. |
Router ist zurückgesetzt. das gleiche bild. mitlerweile kommen die dosattaken auch vom netbook, woran könnte es den noch liegen? bin sogar mit der kaspersky rescuedisc mal gestartet und immer das gleiche bild. [DOS Attack] : 40 [STORM] packets detected in last 20 seconds, source ip usw... meist gleich nach dem ich das inet starte und dann in großen zeitabständen |
welche IPs werden gelistet? |
nur meine, die ich in dem Moment von meinem Provider bekommen habe. Ich kann ja im Router in den Grundeinstellungen sehen welche ich im Moment habe. und von dieser IP kommen dann die DOS Attacken. Wenn ich den Router mal ein paar Minuten vom Strom nehme und mich neu anmelde bekomme ich ja wieder eine neue IP. Dann kommen die DOS Attacken von der neuen IP |
Häng mal bitte das komplette Log an. |
das mußt du von unten nach oben lesen Code: [Admin login] from source 192.168.0.2, Montag, Jun 17,2013 17:47:15 |
telekom anrufen, sollen dir ne neue IP zuweisen., dann router reset, ipconfig /release und /renew auf jedem Rechner. WLAN PW auch ändern, anderes Router Passwort verwenden. |
ok danke dir, werde ich morgen mal machen, heute komme ich erst mal nicht dazu. Bis morgen dann |
Alles klar :) |
Hallo, habe heute mit meinem Provider telefoniert und die sagten mir das ich eine dynamische IP Adresse habe, also jedes mal wenn ich mit meinem Router ins Internet gehe bekomme ich eine neue IP. Soll ich deine Anleitung mit dem ipconfig trotzdem ausführen? |
ja bitte. |
hallo schrauber, hat leider nix genützt. was mir jetzt auch aufgefallen ist. die doas attacken starten ab dem moment an dem ich im internet eine seite öffne, auch egal welche (ebay, google usw). ich bin langsam echt am verzweifeln. ich habe null plan woran es liegt. |
CMD öffnen, ipconfig eingeben und Enter drücken, was für eine IP hat der Rechner? Es gibt nur den einen Rechner? |
Code: Microsoft Windows [Version 6.1.7601]das ist aber ni die ip die laut router schon wieder dos attacken startet oder? Code: [DOS Attack] : 70 [STORM] packets detected in last 20 seconds, source ip [87.170.149.33] |
mach das gleiche mal bitte mit dem Netbook. |
hier jetzt das ganze vom netbook aus Code: Microsoft Windows XP [Version 5.1.2600] |
Geh mal bitte auf Wie ist meine IP-Adresse? |
Code: Ihre IPv4-Adresse ist: |
Und was sagt das aktuelle Log des Routers? Haben wir auch schon das Netbook auf Malware gecheckt? |
Code: [Admin login] from source 192.168.0.2, Samstag, Jun 22,2013 20:09:49 |
Nö, eigentlich nicht. Das Router-Log sieht von jedem Rechner aus gleich aus, es ist ja das Log des Routers ;) Fürs Netbook: Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
|
FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 22-06-2013uns das andere Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 22-06-2013 |
Sieht auch gut aus.... |
hmm, und nun? was ich trotzdem nicht verstehe ist das mir die dos attacken auch auf der ps3 und dem kindle angezeigt werden. das lässt doch eigentlich nur den schluß zu das es am router liegt. den mit allen 4 geräten kommuniziere ich nur über den router. was meinst du, bringt es was wenn ich mir mal von einem freund einen anderen router organisiere und dann mal schaue ob die dos attacken immer noch kommen? |
Ich erwähne es glaub zum hundertsten Mal: Das Log ist ein log vom Router, also ist es piep egal von welchem Gerät du dir dieses Log anzeigen lässt, es ist immer das Gleiche ;). Versuch das mal mit dem anderen Router. |
Guten Abend, ich habe jetzt einen anderen Router dran. Es hat sich in soweit gebessert das jetzt nicht mehr ich sende sonder angegriffen werde (wenn ich das richtig deute :) ) ist das noch schlimm? [admin login] from source 192.168.0.2, Tuesday, June 25,2013 19:26:44 [DoS attack: RST Scan] from source: 213.95.206.82:80, Tuesday, June 25,2013 19:23:57 [DHCP IP: (192.168.0.2)] to MAC address 14:DA:E9:B3:CA:F0, Tuesday, June 25,2013 19:23:26 [DoS attack: ACK Scan] from source: 66.220.7.227:22, Tuesday, June 25,2013 19:16:20 [Time synchronized with NTP server time-h.netgear.com] Tuesday, June 25,2013 19:00:48 [Internet connected] IP address: 87.170.217.22, Tuesday, June 25,2013 18:56:34 [Internet disconnected] Tuesday, June 25,2013 18:56:18 [Internet idle-timeout] Tuesday, June 25,2013 18:56:15 [admin login] from source 192.168.0.2, Tuesday, June 25,2013 18:47:05 [admin login failure] from source 192.168.0.2, Tuesday, June 25,2013 18:46:59 [admin login] from source 192.168.0.2, Tuesday, June 25,2013 18:46:43 [Time synchronized with NTP server time-h.netgear.com] Tuesday, June 25,2013 18:44:38 [DoS attack: ACK Scan] from source: 1.244.3.12:22, Tuesday, June 25,2013 18:43:57 sorry "code" geht nicht |
Kann man den Router konfigurieren? Zitat:
|
hab jetzt in den routereinstellungen mal rumgesucht aber nicht so wirklich was gefunden. hab mir dann die Anleitung meines Routers runtergeladen und aber auch da werde ich nicht so richtig schlau . Verstehe ich das richtig das ich die TCP Verbindungen, die standardmäßig auf 10 eingestellt sind, auf 20 Verbindungen einstellen soll? |
ja und zwar die nicht kompletten Verbindungen |
Hmm, ich finde zwar etwas im Router wo ich die TCP Verbindungen sehe aber da kann ich nix einstellen. Kann die halt nur sehen... |
Hm, bei beiden Routern? Ansonsten bin ich langsam überfragt. Hast du auch nen Mac im Netzwerk? |
ja beide Router sind von Netgear, also gleiches Menü. Nirgends Werte die die tcp betreffen oder ähnliches. Einen Mac hab ich nicht. Ist es denn gefährlich wenn wir nur gescannt werden? |
Naja, der versucht halt deine IP auf diesem Posrt zu erreichen. |
Ok, ich dank dir erstmal für deine geduldige Hilfe. Gegen das scannen kann man, so wies aussieht nicht viel machen. Hoffen wir das er nix Offenes findet und der Mist nicht wieder von vorne losgeht. :) :applaus: |
Ok :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board