Dos Ddos Attacken / Sisco rvs 4000

[hailstone]

Moin Moin,

leuts bin der kleine neue bei euch hier im forum, viele eurer beiträge haben mir bei so manchem problemchen
schon geholfen...

Hier bin ich jedoch erstmal ratlos... zu meinem system:

3 Rechner mit win xp
1 Rechner mit xp/win2000 u. 98
1 nas netzwerkplatte allnet 6250
1 brother netzwerkdrucker mfc 6490
1 cisco rvs 4000 Router/gateway (als gateway geschaltet)
dhcp auf dem gateway / nas und drucker mit fester ip

seit einiger zeit hab ich bis zu 300 meist dos/ddos attacken aus china russland usw. auf dem gateway am tag !!!!
selbst nach wechseln der ip bei meinem provider sind die ersten nach 10 min zu beobachten.
hab den datenverkehr mit sniffern bzw mit dem log des gateway durchsucht und die nach aussen gesendeten ip adressen
mit tracerout gescheckt keine verbindungen zu unbekannten servern. ebenso einen portscan von aussen - keine ports offen...
WOHER BEKOMMEN DIE MEINE IP ?
das einzige was mir auffiel - einige rechner senden in zeitlichen abständen anfragen an den dns server meines providers
obwohl in der netzwerkkonfiguration meiner rechner der gateway als dns server eingetragen ist...
alle rechner haben f-secure als vierenscanner / firwall installiert und a2 kein befall -? mit hjt kontrolliert
der heufigste angreiffer hat die ip 222.136.98.98 aus china kennt die jemand ?
oder hat hier jemand eine idee wie die an meine ip kommen ?
tausch börsen benutze ich übrigens nicht!

besten dank im vorraus hailstone

[hailstone]

moin moin,

ich weis das "attacken" durchaus normal sind, sie sind nur teilweise so schlimm das meine internet-
verbindung teilweise zusammenbricht oder das laden von seiten sehr lange dauert.....
hab auch schon die ip gewechselt und alle rechner vom netz genommen trotsdem fangen die attacken
direckt wieder an... kann auf meinem netzwerkdrucker oder der netzwerkfestplatte etwas sein?
der webbrowser in der nas ist übrigens deaktiviert...
werde mal einen tunnel rechner mit mahlware ausetzen....vieleicht bringt das was....

[Petra]

Hallo Hailstone und Willkommen im HijackThis-Supportforum,

ich schicke mal gleich voraus, dass ich nicht der Experte für Netzwerke bin. Die einzige Idee, die ich jetzt hätte wäre einen Rechner nach dem anderen auf Malware zu prüfen. Fangen wir mit einem XP-Rechner an. Und jetzt wirklich erstmal nur einen Rechner machen



Zunächst bitte anklicken und aufmerksam durchlesen: Worauf muss ich während der Bereinigung achten?

Anschließend die folgenden Punkte unbedingt in der vorgegebenen Reihenfolge abarbeiten.

Berichte mir zu jedem Punkt, dass Du ihn erledigt hast.

Stoppe und frage, wenn etwas nicht funktioniert.

Poste Logfiles sofern angefordert und/oder antworte auf gestellte Fragen.

Benutze ausschließlich Programme und Tools, die in der Anleitung angegeben sind.
Installiere während unserer Bereinigung nichts Neues ohne Absprache.

===== Punkt 1 =====

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:

Malwarebytes - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scan.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

===== Punkt 2 =====

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Schließe alle Fenster und Programme inkl. Browser.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt) hier in den Thread.

===== Punkt 3 =====

Dateiliste mit HJTscanlist.bat erstellen

Falls Du WindowsXP Home hast, bitte zunächst tasklist.zip downloaden und nach C:\Windows\system32 entpacken, damit die HJTscanlist.bat eine Taskliste erstellen kann. Zur Erklärung: das Tool tasklist.exe ist nur in Windows Professional und Vista enthalten und muss bei Windows XP Home nachinstalliert werden. Unter Windows 2000 funktioniert das leider nicht.

Da ein HJT-Logfile nur bedingt aussagekräftig ist, möchten wir den Inhalt einiger kritischer Verzeichnisse auf Deinem System ansehen. Dazu lade folgende Datei herunter HJTscanlist.zip. Entpacke die Datei auf Deinen Desktop. Auf dem Desktop befindet sich nun die Datei HJTscanlist.bat, diese doppelklicken, um sie zu starten. Wähle Dein Betriebssystem aus (bei Windows 2000 wähle XP). Bei Abfrage der Einstellung benutze bitte die Auswahl Nr. 1 (Scanlist). Nun wird die Dateiliste erstellt und in Deinem Editor geöffnet und als hjtscanlist.txt auf Deinem Desktop gespeichert. Poste mir den Inhalt der Dateiliste hier in den Thread. Bei diesem Log brauchst Du keine Code-Tags setzen, da sie im Log schon enthalten sind

===== Punkt 4 =====

Rootkit-Suche mit Gmer

Was sind Rootkits?

Bitte bei allen Rootkit-Scans beachten:

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
  anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
  .
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
  Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

[hailstone]

Hallo Petra sorry das ich mich erst jetzt wieder melde bin im moment beruflich etwas eingespannt.... trotzdem ersteinmal herzilchsten
dank das du dich meinem prob. annimst ! ich bin an meinem xp rechner den ich am meisten benutze, da mir einige dinge
an diesem rechner negativ aufgefallen sind, zb nach dem starten wenn alles hochgefahren ist (augescheinlich) inkl. f-secure
braucht er so ca. 3 minuten bis man programme oder explorer öffnen kann, danach ist alles soweit ok.....
ausserdem wenn ich outlook geöffnet hatte und den rechner herunterfahren will,
kommt ein meldungsfenster "bitte beenden sie alle office anwendungen bevor sie den computer herunterfahren" -
(f-secure ist da schon beendet) outlook nochmal öffnen, worauf es sich dann selbst sofort wieder schließt
und ich kann den rechner dann problemlos herunterfahren... ok hier erstmal das mbam-log

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3654
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.01.2010 22:30:20
mbam-log-2010-01-28 (22-30-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 127908
Laufzeit: 4 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ich werde morgen die weiteren scans machen , mus erstma ne mütze schlaf einholen nochmals danke für dein bemühen /hailstone/

[Petra]

Kein Problem, aber bitte die Logfiles immer in Code-Tags setzen. Ich ändere das jetzt oben.

[Petra]

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten der restlichen Punkte, wenn ja welche? Wenn ich innerhalb von fünf Tagen keine Rückmeldung von Dir erhalte, gehe ich davon aus, dass Du nicht mehr weitermachen möchtest und/oder Du das Problem lösen konntest und werde diesen Thread kommentarlos schließen, damit Kapazitäten für andere wartende User frei werden.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.


Edit 09.02.2010:
Thread wird mangels Rückmeldung geschlossen.
Bei Bedarf schicke bitte eine PN an mich, ich kann den Thread ggfs. wieder öffnen.