ständiger Angriffsversuch auf meinem Rechner

[Gigastars]

Seit ich mir eine neue Firewall gekauft habe Kaspersky 7.0 bekomme ich mehr mals am Tag solche Angriffsversuche.Das geht schon 2 Wochen so.

02.12.2007 18:50:13 Intrusion.Win.LSASS.exploit 91.65.137.253 TCP 445

02.12.2007 18:50:13 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 91.65.137.253 TCP 445

Will mich da jemand ärgern.Mein Rechner ist auf jedenfall Adware, Spyware und Virensauber.Zumindest hoffe ich das mal.

 

[Exorz1st]

benutzt du tauschbörsen?

 

[Gigastars]

Nein benutze ich nicht.

 

[Toxic-Wolf]

Lass mal "Hijack This" durchlaufen sowie einen Viren Scanner (natuerlich mit aktuellster Datenbank und evtl. auch einen Online Scanner sowie ein Online Portscan durchlaufen lassen)

Und lasse mal fuer 1-2 Tage die Messenger ausgeschaltet (von irgendwoher muss der "Angreiffer" ja Deine IP haben, so koennte man es vielleicht ein wenig einschraenken von wo das kommen koennte)

 

[LasMiranda]

Rechner up2date? Also alle Updates drin?

 

[MMave]

Und lasse mal fuer 1-2 Tage die Messenger ausgeschaltet (von irgendwoher muss der "Angreiffer" ja Deine IP haben

Quark, wahllose Portscans.
Anleitung zum Deaktivieren: Hier.

 

[Toxic-Wolf]

Quark, wahllose Portscans.
Anleitung zum Deaktivieren: Hier.

lol, bist Du Dir sicher ? ^^ Und Du meinst, wenn er der Anleitung folgt, das die "Scans" dann aufhoeren ?

 

[MMave]

lol, bist Du Dir sicher ? ^^ Und Du meinst, wenn er der Anleitung folgt, das die "Scans" dann aufhoeren ?

Nein, absolut sicher bin ich mir nicht, weil ich das gerade per Google gefunden habe, aber es macht einen vielversprechenden Eindruck auf mich.
Und nein, die Scans hören nicht auf, aber sie können ihm egal sein, weil der Port dicht ist.

 

[Toxic-Wolf]

Wenn er XP benutzt, dann ist das Protocol schon mal gar nicht installiert (ausser er hat es selber nachtraeglich getan)

Und ihm werden diese wahrscheinlich trotzdem nicht egal sein, weil er die Meldungen auch weiterhin bekommt (@TE: mal die Einstellungen durch schauen ob man diese nicht evtl. abschalten kann ?)

Mir selber sieht dies nicht danach aus als wenn irgendwelche Leute wahllos Port-Scans machen. 2 Wochen lang ? Und staendig ist er mit betroffen ? Warum wurde ich bisher nie mit einbezogen in den Scans, wenn es doch noch so viele geben soll das man 2 Wochen lang staendig mehrere Scans hat ? *kopfkratz*

 

[MMave]

Und ihm werden diese wahrscheinlich trotzdem nicht egal sein, weil er die Meldungen auch weiterhin bekommt

Das kann man in dem Fenster der Meldung abschalten, ich denke es ging ihm eher darum zu erfahren, wer oder was das ist.

Warum wurde ich bisher nie mit einbezogen in den Scans, wenn es doch noch so viele geben soll das man 2 Wochen lang staendig mehrere Scans hat ? *kopfkratz*

Spontan würd' ich sagen, weil Du hinter 'nem Router sitzt / keine Firewall hast, die das meldet ?

Mit z.B. Sasser infizierte Rechner pingen wahllos auf Port 445, um sich zu verbreiten (Quelle 1, 2).

 

[Toxic-Wolf]

Spontan würd' ich sagen, weil Du hinter 'nem Router sitzt / keine Firewall hast, die das meldet ?

Router ja, jedoch hat dieser mit meinem Netzwerk nichts zu tun... und Firewall auch ja, er meldet mir keine Zugriffs versuche, er logt diese...

 

[Gigastars]

Lass mal "Hijack This" durchlaufen sowie einen Viren Scanner (natuerlich mit aktuellster Datenbank und evtl. auch einen Online Scanner sowie ein Online Portscan durchlaufen lassen)

Und lasse mal fuer 1-2 Tage die Messenger ausgeschaltet (von irgendwoher muss der "Angreiffer" ja Deine IP haben, so koennte man es vielleicht ein wenig einschraenken von wo das kommen koennte)

Hijack This habe ich durchlaufen lassen und ausgewertet.Alles zufriedenstellende Ergebnisse. Meinen Recher lasse ich 2 mal die Woche komplett auf Viren überprüfen und diesen Spyware Mist etc. mache ich einmal täglich mit Addaware und Sbyboot S&D. Den Messenger habe ich seit ich deinem Beitrag gelesen habe ausgemacht das ist schon edliche Stunden her und ich lasse ihn auch die nächsten Tage mal aus. Eine Meldung kam aber auch gleich wieder heute Abend.Ich kopiere sie mal rein.

02.12.2007 22:38:57 Intrusion.Win.MSSQL.worm.Helkern 222.91.35.189 UDP 1434

Und noch was mein BS ist Up to Date.Ich werde mir die ganzen Angriffsversuche als txt Datei abspeichern und wenn es überhaubt kein Ende nimmt meinen Provider darüber informieren.Mir gehen ja nicht die Meldungen auf den Keks die kannich ja unterdrücken das was mich nervt ist warum es gemacht wird.

Und danke an den jenigen für den Roten Popel mit der Bemerkung "omg wieder so ein paranoider" man fragt hier höflich um Ratschläge und wird als Paranoid abgestempelt.Am besten ich lösche hier mein Forum Account das muss ich mir hier wirklich nicht antun.

 

[Toxic-Wolf]

hmm, ok, MMave hat wohl nicht so ganz unrecht, auch wenn es mir trotzdem komisch vorkommt, warum Du so stark davon betroffen bist, und bei mir eher selten mal ein Scan stattfindet. Jedenfalls waren dies 2 verschiedene User (sind / waren keine Proxys) wobei der eine aus Berlin kommt und der andere aus China ^^ Du scheinst also die Infizierten magisch anzuziehen

Ich werde mir die ganzen Angriffsversuche als txt Datei abspeichern und wenn es überhaubt kein Ende nimmt meinen Provider darüber informieren.

Nur das Dir dies nichts bringen wird. Was soll der Provider denn Deiner Meinung nach dagegen tun ? Das einzige das die tun koennten waere, sich bei den Entsprechenden Provider der User zu melden. Doch dabei raus kommen wuerde dann auch nichts, solange es sich nicht um einen von dem User bewussten Angriff handelt.

 

[susi2000]

hast du w-lan? vieleicht versucht jemand in der nähe da was?

 

[Toxic-Wolf]

hast du w-lan? vieleicht versucht jemand in der nähe da was?

Liegt China in der naehe ?

Es handelt sich bei den Angriffen um IP's aus dem Internet, desweiteren, der erste Angriff kam aus Berlin, der zweite aus China (von den hier geposteten IP's) er selber wohnt in Leipzig. Also das ist es nicht.

 

[Gigastars]

Nein hab kein W-Lan.Hab gerade wieder ein Angriff gehabt beim lesen der letzten beiden Posts.Würde es sinn machen die IP beim Anbieter wechseln zu lassen?Ich glaube weniger oder?

03.12.2007 01:00:59 Intrusion.Win.MSSQL.worm.Helkern 200.149.77.13 UDP 1434

 

[Toxic-Wolf]

Nein hab kein W-Lan.Hab gerade wieder ein Angriff gehabt beim lesen der letzten beiden Posts.Würde es sinn machen die IP beim Anbieter wechseln zu lassen?Ich glaube weniger oder?

Hast Du den eine Feste IP ? Wenn nicht, reicht es wenn Du Dich einmal kurz vom Internet trennst und Dich neu verbindest. Dann bekommst Du automatisch eine neue IP zugeteilt.

03.12.2007 01:00:59 Intrusion.Win.MSSQL.worm.Helkern 200.149.77.13 UDP 1434

Diesmal aus Brazilien, aber diesmal kein einfacher User sondern ein WebServer (kannst die IP im Browser eingeben und landest auf einer WebSite)

 

[Gigastars]

Bin bei Kabel Deutschland hab ne feste IP.

 

[Toxic-Wolf]

Wenn es keine nennenswerte Umstaende macht, oder Kosten verursacht, koennte man es probieren. Doch wird es vermutlich nicht sehr viel bringen.

 

[MMave]

03.12.2007 01:00:59 Intrusion.Win.MSSQL.worm.Helkern 200.149.77.13 UDP 1434

Helkern greift nur den Microsoft SQL-Server an, selbst ohne Firewall und bei offenen Ports hätte das für Dich keine Auswirkungen , sofern Du keinen solchen Server betreibst ... (Quelle)

Bevor Du da jetzt irgendwelche Maßnahmen bei deinem Provider ergreifst: Das sind infizierte Rechner, die wahllos in der Gegend rumpingen, um andere ungeschützte Rechner zu finden. Lesen.