Permanent "Denial of Service" auf IP-Adr; Rechner gekapert?

um es besser verstehen zu können ein paar Fragen.
Du testest Dos-Attacken und bis auch dementsprechen ausgerüstet? (so die Beschreibung für mich verständlich)
Weißt du mit was du dich da angelegt hast?
Was passiert mit deinem Rechner nach so einer Attacke?
Wie reagiert er?
Jeder hat mal Zeitverzögerungen...  

sorry vergessen.
..zwei Rechner die zusammenlaufen und die haben verschiedene Antiviren installiert?

Copy

Sorry auch von mir.
War die Kurzform:
Bin nicht in Not. Mein Router wehrt jede ankommende Verbindung ab. Auch tausende gleichzeitig,nacheinander.
Meinem Rechner passiert nichts. Ich hoffe trotzdem, dass wir noch weiter machen können.

Vielleicht eine verbale Feinheit: ich teste keine DoS-Attacken. Mein Router zeigt mir welche an und ich gehe der Sache nach. Nach mehr als einem Jahr habe ich diese soweit eingegrenzt, dass ich in ein Forum gehen kann und nicht rum-eiern muss; dass denke ich zumindest.

Ich löse auf meinem Rechner die DoS-Attacke durch einen http-Aufruf aus; davon gehe ich aus. Und wenn das so sein sollte, würde ich mehr darüber wissen, um der Sache nachzugehen.
Hoffentlich ist das nicht zu diplomatisch ausgedrückt.
Sichtbaren Schaden habe ich keinen.

Meine beiden Betriebssysteme liegen auf verschiedenen Partitionen. Beim Booten wird ausgewählt (default ist voreingestellt).

Auf meinem Rechner gibt es 3 Grund-Bereiche (Partitionen), die getrennt sind:
1.Die Betriebssysteme sowieso,
2.die Anwendungen, die nicht betriebssystemnah sind wie MS-Office, Virenprogramme usw. und
3. der Datenbereich "eigene Daten".

Bis auf die Daten ist alles unabhägig.

Seerius

ok jetzt habe ich es vieleicht begriffen, aber denke nicht das du sie ausschalten oder ihnen nachgehen kannst..(wenn du das meinst/New York)

OrgName:    Panther Express Corp.
OrgID:      PEC-44
Address:    40 West 20th Street
Address:    6th Floor
City:       New York
StateProv:  NY
PostalCode: 10011
Country:    US

bist du dem nachgegangen, was hast du davon herausgefunden?
Dann muß ich nicht.... 

Copy

Ich habe dich versehentlich auf's falsche Gleis gelockt durch Einzelheiten, die unerheblich sind; im Englischen heisst dass: "Misplaced concretness".
Sorry von mir.

Nochmal direkt:
Ich vermute, dass auf meinem Rechner und zwar in beiden Betriebssystemen, bösartige Software ist, die etwas bewirkt (Rechner für Botnetz?), wenn ich ins Internet auf Web-Server gehe .
Diese Software reagiert nicht auf alle Server-Betriebssysteme.
Wenn ich hier nicht weiterkommen sollte, werde ich, von hieraus, versuchen festzustellen, welche Server-Betriebssysteme, dies auslösen.
Ich vermute, die bösartige Software braucht die öffentliche Internet-Adresse, um zu agieren, um zurück zu schiessen.
Weil man i.a. in einem Netzwerk mit nicht öffentlichen IP-Netzwerken (z. B. 192.168.0.0) lebt, braucht man etwas, dass die echte IP-Adr erkennt und zurückgibt - der öffentliche Internet-Webserver -.
Mit dieser IP-Adr kann man dann etwas anfangen.

Seerius
 

das mit den Virenscannern hast du mir noch nicht erklärt (verschiedene auf den Betriebssystemen)
..das hatte ich noch nicht (treu)..desswegen kenne ich mich damit null aus, von dem anderen mal abgesehn

Rechner schon mal abgesichert mit Netzwerktreibern agieren lassen?
Ansonsten tut mir leid..hab keinen Plan

HCK

Danke. Ist seit 2 Jahren installiert und wird mehrmals in der Woche aufgerufen. Auch bei Problemen natürlich.
Ist von Sysinternals (Mark Russinovich).

Seerius 

Copy

Ist schon ok. Hast getan, was du konntest.
Deine Vorschläge wurden hier schon realisiert.

Mein Problem ist, dass ich in meinem näheren Umkreis keinen habe, der einen Router besitzt, der die nicht genehmigten ankommenden Rufe, aufzeichnet. Es gibt ausser DoS auch Scan.

Seerius

Ich vermute, dass auf meinem Rechner und zwar in beiden Betriebssystemen, bösartige Software ist, die etwas bewirkt

• speichere die mbam setup.exe auf deinem Desktop
  
• Installiere es in den vorgegebenen Pfad
• Nun Update es online (Reiter Updates)
  
• Starte nun die mbam.exe
  
• Führe bitte einen vollständigen Scan durch
  
• nach dem der Scan beendet wurde klicke auf Zeige Resultate
  
• Bitte alle Funde markieren und auf Löschen klicken
  
• Poste das komplette Logfile (aus dem Textdokument)

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert in der Taskleiste zu finden) hier in den Thread.

• Bei nötigen Folgescans das Tool immer wie folgt starten:
• Start => ausführen => "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien überschrieben werden.

@Seerius

"
Comment:    Seeing ICMP traffic originating from these IP addresses? Please see http://www.pantherexpress.net/cdn for details."

Und warum da nicht mal lesen?

"[...]
You are seeing requests like this when a user in your network is accessing
content served by Panther on behalf of one of our customers. Most of our
customers are content sites (i.e., publishers)."

Es müßte also so sein:

Du besuchst: : http://www.berlinien.de/kino/filme.html

-best. Daten werden dann von den Panther-Servern bereitgestellt(*); zum Loadbalancing (von den Pantherfritzen) wird dann gemessen (DoS im Router).

*Mit deinem TCPView solltest Du das eigentlich sehen.

Eine andere Erklärung habe ich nicht (bin aber auch nur primitiver Laie).

@Larusso

Ich habe MalwareBytes heruntergeladen, installiert und für so gut befunden, dass ich dieses Prog auf meinem Rechner für sporadische Tests belassenen werde.
Danke für den Hinweis.
Aufgrund des Testergebnises gilt  mein Rechner als sauber:

“Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2028
Windows 5.0.2195 Service Pack 4

22.04.09 23:14:43 22.04.09
mbam-log-2009-04-22 (23-14-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|O:\|P:\|Q:\|R:\|S:\|T:\|U:\|V:\|)
Durchsuchte Objekte: 385549
Laufzeit: 1 hour(s), 28 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)“

Das  Random's System Information Tool (RSIT) habe ich ebenfalls heruntergeladen und installiert.
Ich konnte alle Infos als berechtigt und gut einstufen, bis auf einen Treiber, der vielleicht temporärer Natur sein kann, weil er an diesem Ort nicht mehr aufzufinden war: ayzkvpma.sys.
RSIT hat sich nach dem Start etwas später aufgehangen; dies ist auch an der Zeile im Info.log zu erkennen (will ich noch untersuchen):

Logfile of random's system information tool 1.06 (written by random/random)
Run by Seer at 2009-04-23 10:07:34
Microsoft Windows 2000 Professional Service Pack 4
System drive C: has 8 GB (79%) free of 10 GB
Total RAM: 1919 MB (86% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:38   23.04.09, on 23.04.09
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
.
.
(Ausriss).
S3 ayzkvpma;ayzkvpma; C:\WINNT\system32\drivers\ayzkvpma.sys []    <== war nicht mehr vorhanden
.
.
.

info.txt logfile of random's system information tool 1.06 2009-04-23 10:07:39

======Uninstall list======
.
.
.
(Ausriss)
High Definition Audio Driver Package - KB888111-->"C:\WINNT\$NtUninstallKB888111W2k$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\_Tools\AntiVir&FireWall\Trojaner\HijackThis\HijackThis.exe" /uninstall
HP USB Disk Storage Format Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}\Setup.exe" -l0x9  anything
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
KELLER'S MUSIK-KATALOG 2001-->G:\ANTECW~1\NACHSC~1\KMK2001\UNWISE.EXE G:\ANTECW~1\NACHSC~1\KMK2001\INSTALL.LOG
klickTel Telefon- und Branchenbuch Herbst 2007-->C:\Pro    <== hier ist der Stillstand!

Seerius


 

@N.Baxter

Danke. Das war's dann.  Also kein gekaperter Rechner! Auslöser ist der angesprochene Webserver.
Habe "To whom it may concern" von Panther Express gelesen.
Ich habe auch bei TCPView hinter der IP-Adr 93.188.130.36 beim Überprüfen des Routings dorthin den Panther-Host 66.114.61.29 entdeckt.
Kurze Zeit später kam dann das Bombardement der Panther-Hosts von all over the world, das bei mir ins Leere geht, weil mein Router mit statefull packet inspection jedes von aussen kommende Datenpaket prüft, registriert und abweist, wenn es nicht ok ist.
Als Alleinunterhalter ohne direkten persönlichen Austausch von Infos sieht man manchmal den Wald vor Bäumen nicht.

Seerius