[noob2profi]

moin,

also ich habe ein großes problem: Mir wurde am montag T-DSL 6000 aktiviert und seitdem trennt sich meine inet verbindung in unregelmäßigen zeitabschnitten!

hab nen wlan router T-Sinus 130DSL...die Technik Hotline von der Tcom hat mir gesagt , dass ich mal in die log des routers schauen soll und mal nach dem wort Flood suchen...also hab ich das gemacht und da stand **SYN Flood to Host**.........etc.

der typ am telefon hat gemeint das wäre ein virus oder wurm bzw. jemand greift mein internet an und ich sollte ma nach viren etc. checken

hatte keine, forsichtshalber hab ich formatiert und jett ist das problem immernoch da!

ausser das mit dem Flood gibt es noch:
-**IP Zero Length**
-Duplicate user login
-**UDP Loop**

Bitte helft mir!
mfg,
noob2profi

[Graumagier]

EDIT: Bah, immer meine Probleme mit Ein- und Ausgehend

Hast du eine fixe IP?

Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:15

[noob2profi]

sry das ich das 2 mal gepostet habe, aber dachte das es zu beiden themen gehören könnte und wusste nicht wo mehr leute schreiben

echt sry

ps: Hab ne feste IP

Dieser Beitrag wurde von noob2profi bearbeitet: 16. Juli 2005 - 18:03

[Graumagier]

Steht in den Logs auch die IP des "Angreifers"?

Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:15

[noob2profi]

**IP Zero Length** 70.86.27.218, 32962->> 170.170.3.0, 7 (from PPPOE Outbound)

die IP vom SYN Flood hab ich grad leider nicht , weil ich mein router neugestartet habe und da wird ne neue log erstellt

ps: hab das ma eingestellt das meine ip automatisch bezogen wird

Dieser Beitrag wurde von noob2profi bearbeitet: 16. Juli 2005 - 18:09

[Graumagier]

Also die IP gehört zu ThePlanet.com Internet Services, Inc..

whois.arin.net sagte:

Suchbegriff: 70.86.27.218
Adresse: whois.arin.net

Suchergebnis:

OrgName:    ThePlanet.com Internet Services, Inc.
OrgID:      TPCM
Address:    1333 North Stemmons Freeway
Address:    Suite 110
City:      Dallas
StateProv:  TX
PostalCode: 75207
Country:    US

ReferralServer: rwhois://rwhois.theplanet.com:4321

NetRange:  70.84.0.0 - 70.87.127.255
CIDR:      70.84.0.0/15, 70.86.0.0/16, 70.87.0.0/17
NetName:    NETBLK-THEPLANET-BLK-13
NetHandle:  NET-70-84-0-0-1
Parent:    NET-70-0-0-0-0
NetType:    Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:   
RegDate:    2004-07-29
Updated:    2005-03-24

TechHandle: PP46-ARIN
TechName:  Pathos, Peter
TechPhone:  +1-214-782-7800
TechEmail:  [email protected]

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName:  Abuse
OrgAbusePhone:  +1-214-782-7802
OrgAbuseEmail:  [email protected]

OrgNOCHandle: TECHN33-ARIN
OrgNOCName:  Technical Support
OrgNOCPhone:  +1-214-782-7800
OrgNOCEmail:  [email protected]

OrgTechHandle: TECHN33-ARIN
OrgTechName:  Technical Support
OrgTechPhone:  +1-214-782-7800
OrgTechEmail:  [email protected]

# ARIN WHOIS database, last updated 2005-07-15 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

noob2profi sagte:

ps: hab das ma eingestellt das meine ip automatisch bezogen wird

Ähm ich meinte im Internet, nicht im LAN.

Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:10

[noob2profi]

hööö?!? diese seite kenn ich nicht mal! und die sieht eigentlich ganz seriös aus !

und warum sollte mich diese firma angreifen?

und meine ip adresse wird automatisch bezogen..mein standartgateway ist halt immer der selbe

Dieser Beitrag wurde von noob2profi bearbeitet: 16. Juli 2005 - 18:12

[Graumagier]

Ich hab grad was grob verwechselt, SYN Flood to Host bedeutet, dass dein PC versucht, eine Verbindung zu einer IP aufzubauen.

Auf die SYN-Anfrage deines PCs erfolgt jedoch keine Antwort --> Der Server ist vmtl. nicht erreichbar (zumindest auf dem entsprechenden Port) normalerweise sollte dann der PC aufhören, verbinden zu wollen, und nicht noch weitere SYN-Pakete schicken.

Lass also doch besser mal Hijackthis durchlaufen

Und sorry dass ich da was verwechselt habe

Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:33

[noob2profi]

ich kann kein programm , virus oder wurm haben , welches dies verursacht...hab ja gestern formatiert.

aber hier ma trotzdem meine hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 19:24:16, on 16.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\noob2pro\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4285E5B-8377-47DC-A892-102CC05BC222}: NameServer = 192.168.2.1,0.0.0.0
O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Programme\IconPackager\iprepair.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

[Graumagier]

Schreib einfach mal die IP, die bei SYN-Flood steht, wenn du wieder einen entsprechenden Eintrag hast.

[noob2profi]

ok mach ich dann...

[flo]

Zitat

ich kann kein programm , virus oder wurm haben , welches dies verursacht...hab ja gestern formatiert.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:24:16, on 16.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Tja ich sage nur, du kannst grade noch mal Formatieren

Mit SP1 würde ich mich nicht mehr ins Netz Trauen!

[Rika]

1. Was dein Router da gerne mal als SYN-Flood bezeichnet, ist heutzutage ganz normaler Müll-Traffic von versuchten Windows-Kisten, beschränkten P2P-Clients und Scriptkiddies.
2. Die Verbindung geht vermutlich flöten, weil dein Router so etwas überhaupt erst beachtet. Also schalte es ab.
3. Diese Firma ist, sowohl am Namen als auch an den /15 bis /17-Netranges auch eindeutig zu erkennen, ein Internet-Provider. Dort stecken zigtausende User, die alles mögliche machen. Kannst ja 'ne Abuse-Message schicken, aber mit der Zeit wird dir das ganz schnell zu blöd.
4. Ein falsch konfigurierter Router kann ein unbeabsichtigtes Fehlverhalten nur noch mehr provozieren.
5. Natürlich kannst du dir was eingefangen haben. Du hast nachwievor noch SP1, und dazu sicherheitstechnisch stark anfällige Software wie MSN Messenger und mIRC. Wenn du dich damit ins Netz verbindest, darfst du mit allem rechnen.