ddos angriffe alle 2 stunden
 

hallo
ich hoffe hier kann mir jemand helfen:
leider kann ich davon ausgehen das ich seit einigen wochen den "blaster/lovesan"wurm habe.
durch folgende symtome:
1. die leitung ist permanent beansprucht als ob ein dl stattfindet
(das erzählt mir die internetverbindungsanzeige von XP) obwohl nichts läuft
2. der router blinkt was auch bedeutet ich habe datentransfer am laufen obwohl gar nichts läuft und
3. mein freund hat bei einer 2mbit leitung mit fastpath
(allerdings aufgeteilt durch einen longshine router)
einen ping von 200 als standart obwohl ein ping von 50 angesagt ist.
(er hat win2000 und kein problem damit)

der ausschlaggebende punkt ist:
wenn ich die entsprechenden sychost.exen -2 stück- einmal die aktive die 20% speicherauslastung verursacht und eine die mir sagt das sich der computer in 60 sek runterfährt (was ich durch shutdown -a verhindere,) lösche, ist das problem erstmal weg.
trotzdem zeigt mir die kaspersky anti hacker firewall regelmässig (ca alle 2 stunden) ddos angriffe an die wohl geblockt werden jedoch soweit ich weiss ein gutes merkmal für den lovesan/blaster sind.

das problem ist nur ich habe neu installiert das sp2 und sämtliche fixes und scanner und patches von microsoft und co im abgesicherten modus und hin und her probiert (stinger, escan, uswusw) und nix wird erkannt auch in der registry (hkey...\run) ist nix zu finden! was kann ich noch tun? highjack this (http://www.hijackthis.de/) hat mir bei der automatischen auswertung nur eine negative anwendung gezeigt die ist von kaspersky! :headbang:

Logfile of HijackThis v1.98.0
Scan saved at 18:47:04, on 06.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Shock\Eigene Dateien\setups\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4-Global Startup: Kaspersky Anti-Hacker.lnk = ?:snyper:
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

ich hatte das ding auch schon gefixt hat aber nix geholfen

kann mir da noch jemand helfen? vor allem wie kriege ich den shice aus meinem bootsektor raus???
thx im vorraus

StillAwake :sleepy:

Hallo,

zuerst einmal die gute Nachricht: Dein Log-File ist sauber.

Das ist normal. Die svchost.exe ist ein wichtiger Systemprozess. Dieser Prozess fungiert quasi wie ein Container für die .dll Dateien und führt diese aus.
http://frankn.com/html/svchost_exe.html

Verunsicherung durch eine Desktop Firewall. Diese Angriffe stammen allesamt von infizierten Rechner oder sind nur Portscans. Die Würmer wollen sich natürlich weiterverbreiten und scannen andere Rechner nach Sicherheitslücken ab!

Die automatische Auswertung soll man noch mit Vorsicht genießen, denn sie ist noch in der Aufbauphase. Lieber in einem Forum nachfragen bevor man fixed. Der Eintrag ist natürlich ok.

Wichtige Lektüre:
Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht
und
NT Dienste sicherer konfigurieren

zuerst möchte ich sagen das ich das logfile nur mitgeschickt habe weil ich wusste ich wäre sowiso danach gefragt worden...

also das mein logfile sauber ist überrascht mich ja nicht sondern das ist ja mein problem:
die internetverbindung wird geschluckt.

und was ich vergessen habe zu erwähnen:
ab und zu unangebrachte cpu auslastung so das mein rechner zwischendurch immer mal innehält..
obwohl es wirklich keinen grund gibt.

deine links sind zwar sehr interessant für die zukunft aber im moment hilft es mir nicht zu wissen das meine fw mehr oder weniger unnütz ist.
die firewall habe ich mir zugelegt weil ich das problem nicht loswurde und fühlte mich durch die warnungen nur in meiner meinung bestätigt das etwas nicht stimmt.
(ich bin auch der meinung das sie sowiso regelmässig warnmeldungen rausgeben, damit man nicht denkt man hat sein geld verschwendet)

die sicherheitseinstellungen sind sehr hilfreich und ich denke mehr kann ich zur zeit auch nicht machen.

ich danke für deine tipps

gruss
stillAwake :balla:

Beobachte mal im TaskManager oder mit dem Process Explorer welcher Prozess die hohe Auslastung verursacht.

Überprüfe mittels TCPView deine Verbindungen während deiner Online Sitzung.