Hallo zusammen.

Ich bräuchte mal den Rat von jemandem der sich etwas auskennt. Also ich hatte neulich Bandbreitenprobleme, welche ich meinem Provider gemeldet habe und die dann auch behoben wurden. Schön und gut. Ein paar Tage später nachdem alles wieder lief, genauer gesagt am Montag mittag fing es erst richtig an.
Und zwar fiel mein Internet alle 15-30 min komplett aus. Das steigerte sich zu 2-5 min.. Ich habe dann wieder meinen Provider verständigt und die haben einen Port reset gemacht und dann ging es auch für ca 12 Stunden wieder einwandfrei.
Aber jetzt seit ca. 2 Tagen geht es wieder nicht. Es bricht einfach alle paar Minuten die Verbindung zusammen.Als Infoquelle habe ich Die Hijackthis Logfile und die Logfile meines Routers Gepostet.

Am Router selbst kann es eigentlich nicht liegen, weil ich es mit einem anderen versucht habe und der erst recht nicht ging.

Ausserdem gab es diese "blocks" auch als mein PC offline war, also schliesse ich eigentlich ein Backdoorprogramm aus.

Vielleicht liegt es ja dann doch am ISP. Ich möchte nur Fehlerquellen meinerseits ausschliessen können, dass wenn ein Techniker kommen muss das nicht nacher auf meine Kappe geht.

Vielen Dank schonmal.#

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:11, on 13.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\Programme\Razer\Diamondback\razerofa.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\a3p.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}-C:\Programme\Java\jre1.5.0_06\bin\ss
v.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} -

d:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} -

d:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus

7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5071 bytes





Donnerstag September 13, 2007 21:41:52 Unrecognized attempt blocked from 84.58.94.88:27471 to 84.58.91.21 TCP:445
Donnerstag September 13, 2007 21:41:54 Unrecognized attempt blocked from 84.58.163.107:4483 to 84.58.91.21 TCP:135
Donnerstag September 13, 2007 21:41:57 Unrecognized attempt blocked from 79.1.142.156:6348 to 84.58.91.21 UDP:6348
Donnerstag September 13, 2007 21:41:57 Unrecognized attempt blocked from 84.58.163.107:4483 to 84.58.91.21 TCP:135
Donnerstag September 13, 2007 21:42:02 Unrecognized attempt blocked from 213.17.42.209:50001 to 84.58.91.21 UDP:45009
Donnerstag September 13, 2007 21:42:03 Unrecognized attempt blocked from 83.190.124.35:49325 to 84.58.91.21 UDP:6348
Donnerstag September 13, 2007 21:42:04 Unrecognized attempt blocked from 83.36.130.104:52321 to 84.58.91.21 UDP:45009
Donnerstag September 13, 2007 21:42:05 Unrecognized attempt blocked from 89.123.188.195:54870 to 84.58.91.21 UDP:45009
Donnerstag September 13, 2007 21:42:06 Unrecognized attempt blocked from 84.58.87.150:16114 to 84.58.91.21 TCP:135
Donnerstag September 13, 2007 21:42:07 Unrecognized attempt blocked from 84.56.102.212:16080 to 84.58.91.21 UDP:6348
Donnerstag September 13, 2007 22:45:58 Unrecognized attempt blocked from 84.58.123.95:2931 to 84.58.73.154 TCP:139

Donnerstag September 13, 2007 22:47:18 LCP3: RX terminate request
Donnerstag September 13, 2007 22:47:18 PPP3: Tx LCP Request2
Donnerstag September 13, 2007 22:47:18 Connection is broken
Donnerstag September 13, 2007 22:47:18 PPPoE start to hang-up
Donnerstag September 13, 2007 22:47:23 PADT sent
Donnerstag September 13, 2007 22:47:25 DOD:192.168.0.167 query DNS for login.icq.com
Donnerstag September 13, 2007 22:47:25 PPPoE start to dial-up
Donnerstag September 13, 2007 22:47:25 PADI sent
Donnerstag September 13, 2007 22:47:25 PADI sent
Donnerstag September 13, 2007 22:47:25 PADO recv 0006 ffmbr002
Donnerstag September 13, 2007 22:47:25 PADR sent
Donnerstag September 13, 2007 22:47:28 PADR sent
Donnerstag September 13, 2007 22:47:29 PADS recv 8002 7D03
Donnerstag September 13, 2007 22:47:31 PPP3: TX LCP Request
Donnerstag September 13, 2007 22:47:31 PPP3: Rx LCP Request
Donnerstag September 13, 2007 22:57:58 PPP3: Rx LCP ACK
Donnerstag September 13, 2007 22:57:58 CHAP3: CHAP authentication success, unit 14985
Donnerstag September 13, 2007 22:57:58 PPP3: Tx IPCP Reguest
Donnerstag September 13, 2007 22:57:58 PPP3: Rx IPCP Request
Donnerstag September 13, 2007 22:57:58 PPP3: Rx IPCP NACK/REJECT
Donnerstag September 13, 2007 22:57:58 IPCP3: IP is 84.58.50.25
Donnerstag September 13, 2007 22:57:58 IPCP3: DNS0 is 195.50.140.178
Donnerstag September 13, 2007 22:57:58 IPCP3: DNS1 is 195.50.140.114
Donnerstag September 13, 2007 22:57:58 PPP3: Tx IPCP Reguest
Donnerstag September 13, 2007 22:57:59 PPP3: Rx IPCP ACK


P.S. Das die a3p.exe Malware ist ist mir bekannt. Die wurde auch schon vor ein paar Wochen beseitigt. Das scheint nurnoch eine Leiche irgendwo zu sein. Das Program ist auf jedenfall nicht mehr aktiv.
Das war so ein Kopierschutz.

mfg Alex

Danke Hertener für deine Hilfe aber die a3p.exe ist nicht mein Problem.

Wie ich schon schrieb war das nur eine "Leiche", welche ich jetzt beseitigt habe. War nur eine Backupfile von !Killbox.

Also mein Probleme besteht leider weiterhin.

mfg Alex

Das Logfile vom HJT sieht sauber aus(was aber nicht umbedingt bedeutet das der Rechner sauber ist dafür wären noch ein paar weitere nette Tools zwecks Überprüfung notwendig, was aber auch nie 100% Sicherheit gewährleisten würde).

Was den Log von deinem Router anbetrifft, da bin ich nicht umbedingt so der große Experte drin, aber wenn du noch verraten könntest was für ein Router das ist und wie aktuell die Firmware des selbigen ist wäre das eventuell noch ganz hilfreich

Ob's an der Serverumstellung liegt?
Imho ist das ja ein Problem mit dem Gateway und nicht mit den DNS-Servern.
Also vielleicht doch noch mal bei Arcor anrufen und fragen was da los ist; und vor allem: Warum beim letzten Reset auf Anhieb alles wieder funktionierte, aber nur für ein paar Stunden. Sag einfach, Du würdest es unter den gegebenen Umständen begrüßen, wenn der Port alle 12 Stunden resetet wird.

Hallo zusammen.

Also ich habe nochmal Arcor verständigt und der nette Mann am Telefon hat mir bestätigt, dass es wohl an Arcor liegt. Hoffe die bekommen es jetzt endlich hin.

Allenfalls vielen Dank an die Helfenden hier.


P.S. Die a3p Leiche habe ich shcon beseitigt...war nur eine Dateileiche im !Killboxornder. :)

mfG Alex

Hi.

Also wie es scheint hat Arcor einen Portreset gemacht und nun geht es gerade wieder, aber ich bin mir sicher, das ist nicht von dauer. Denn in meiner Routerlogfile habe ich wieder Blockeinträge im Sekundentakt. Und zwar Hauptsächlich auf Port 135 und 445 was mich zu der Theorie bringt, dass mich jemand per "buffer overflow bug" versucht zu hacken indem er diese pufferüberlaufschwachstelle ausnutzt.

Ich war mal so wahnsinnig kurzzeitig die ports freizugeben um zu sehen ob irgendwas anschlägt. Tut es aber nicht.

Ich habe per Packetsniffer gesehn dass von mir aus keine Anfragen rausgehen, also sind das keine Antwortpackete sondern Anfragen die dauernd an meinen Router kommen.

Bleibt die Frage wie jemand, wenn nicht mein System ihm die Information gibt, wissen kann wie meine IP ist, welche ja immer neu generiert wird nach jedem Leitungscrash. Bleibt irgendwie nur übrig, dass Arcor ständig auf meinen Rechner per Port 135 zugreifen will ???

Hm naja herzlich egal kann es mir nicht unbedingt sein, weil mein Internet darunter leidet. Also brauch ich schon einen Lösungsansatz.

Naja sie wollen mir einen Techniker vorbeischicken.

Schauen wir mal.