09.11.2005, 19:27
| # 1 |
| Registriert seit: 09.11.2005
Beiträge: 4
| Guten Tag an alle, bin neu hier und wollte vorerst mal alle herzlichst begrüßen! Habe hier mal einen Hijackthis.log mit dem ich nicht wirklich was anfangen kann  Logfile of HijackThis v1.99.1 Scan saved at 19:12:30, on 09.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\PROGRAMME\AVPERSONAL\AVGUARD.EXE F:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe F:\Programme\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE F:\Programme\Razer\razerhid.exe F:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\SaiMfd.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe F:\Programme\Logitech\SetPoint\KEM.exe F:\Programme\ZMatrix\matrix.exe F:\Programme\Razer\razertra.exe F:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe F:\Programme\Razer\razerofa.exe F:\Programme\Opera\Opera.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Robby\Eigene Dateien\Downloads\HiJackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE F:\Programme\Winamp\winamp.exe F:\Programme\CA\eTrust PestPatrol\PestPatrol5.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [razer] f:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Outpost Firewall] F:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] F:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump  s_startupO4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: ZMatrix.lnk = F:\Programme\ZMatrix\matrix.exe O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Quicken 2006 Zahlungserinnerung.lnk = F:\Programme\Quicken2006\billmind.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - F:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} (EModelNonVersionSpecificViewControl Class) - http://www.solidworks.com/plugins/ed...fm?Release=rel O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball...GameLoader.dll O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...71/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{19279692-B71A-4B11-8961-4ED18D8D94A8}: NameServer = 195.50.140.252,145.253.2.81 O17 - HKLM\System\CCS\Services\Tcpip\..\{AA428CB3-A83E-4AF1-81D4-195109D0EB1D}: NameServer = 217.237.150.141,217.237.150.97 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: F:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing) O23 - Service: Norton Ghost - Unknown owner - F:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - F:\Programme\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe So nun noch ein weiteres Anliegen, meine Outpost Firewall meldet seit 06.11.2005 alle 30 Sek. einen RPC-DCOM-Angriff (Art des Angriffs: Verbindungsversuch) von sehr vielen diversen IP´s. Das ganze sieht dann in etwa so aus: 19:15:51 unbekannt EIN ABGELEHNT UDP 87.*.*.* 6887 19:16:03 unbekannt EIN ABGELEHNT UDP 82.*.*.* 62000 19:16:21 unbekannt EIN ABGELEHNT TCP 60.*.*.* 2697 und geht halt immer so weiter und weiter, selbstverständlich is das nervend und wirkt sich nicht grad positiv auf mein Gewissen aus Ich habe blos keine Ahnung woran das liegen kann, ich habe an dem besagten Datum keinerlei Software installiert noch sonst was. Ich wäre euch wirklich sehr dankbar, wenn ihr mir vielleicht helfen könntet. Schonmal an dickes Dankeschön im Voraus! Greetz! Robby |
 |
|
10.11.2005, 18:12
| # 2 | ||
| Gastposter | Zitat:
Zitat:
Virenscan ausgeführt?Der Dienst wird oft von Viren benutzt.(z.B.Blaster) Benutzt du eine P2P-Software? Zum Logfile: O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - h**p://www.miniclip.com/supergerbal...pGameLoader.dll Mit Hijackthis entfernen. Folgende Einträge sind eigentlich unnötig,wenn du sie nicht brauchst entfernen: O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing) O23 - Service: Norton Ghost - Unknown owner - F:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) m.f.g. | ||
| |
|
10.11.2005, 19:59
| # 3 |
| Threadstarter Registriert seit: 09.11.2005
Beiträge: 4
| Hi, OK habe erstmal alles außer den r_server HJT fixen lassen, da ich den r_server brauche. Habe Antivir drüber laufen lassen, hat aber keinen Virus gefunden. Hier der LOG von Antivir ausm System32 Verzeichnis: C:\WINDOWS\SYSTEM32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\SYSTEM32\drivers atapi.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! P2P programme nutze ich, aber zum Zeitpunkt der Angriffe war keines dieser Programme aktiv, aber mir ist gestern noch etwas anderes in der Firewall aufgefallen: SVCHOST.EXE TCP local:192.*.*.* DCOM 84.*.*.* 3647 Durch Intrusion Detector blockiert EIN ABGELEHNT 19:46:48 8 Minute(n) 42 Sekunde(n) 60 Byte 72 Byte 0 Bps --- Zwischen diesem Zeitabstand selbstverständlich, wie ich schon berichtet habe, ca. alle 30 Sekunden *heul* ich halte das nicht mehr aus, was is das für nen Mist... SVCHOST.EXE TCP local:192.*.*.* DCOM 84.*.*.* 3323 Durch Intrusion Detector blockiert EIN ABGELEHNT 19:55:04 1 Minute(n) 28 Sekunde(n) 60 Byte 72 Byte 1 Bps --- Vielleicht könnt ihr ja damit mehr anfangen, wäre zumindest sehr nett wenn ihr mir weiterhin helfen könntet!!! Danke! Greetz! Robby |
| |
|
10.11.2005, 23:42
| # 4 |
| Ehemaliger Moderator  Registriert seit: 01.10.2002 Ort: bei Bamberg
Beiträge: 1.933
| @r0bsw!Ft hier nochmal ne kleine "anleitung" wie man den log selbst auswerten kann http://www.netzwelt.de/news/71825-tu...auswerten.html |
| |
|
11.11.2005, 10:38
| # 5 |
 Registriert seit: 31.03.2004 Ort: Bonn
Beiträge: 958
| ... oder man benutzt einfach das Auswertungs-Fenster auf http://www.hijackthis.de  In Deinem Fall kommt nicht viel rum, die meisten "Angriffe" sind nicht weiter der Rede wert. |
| |
|
11.11.2005, 18:23
| # 6 |
| Threadstarter Registriert seit: 09.11.2005
Beiträge: 4
| Nabend, heißt das jetzt in meinem Fall, das ich einfach damit leben muss, das meine Firewall alle 30 Sek. einen Angriff blockiert? Wenn das von Anfang an so gewesen wäre, würde ich wahrscheinlich nichtmal ein Problem damit haben, aber es ist ja erst seit kurzem so mit den Angriffen. Also schließe ich doch automatisch daraus, dass da irgendetwas faul sein muss. Und ich kann mir auch nicht vorstellen, dass das bei jedem von euch so läuft *lmao* es muss doch einen Weg geben das ganze zu beseitigen bzw. die Ursache hierfür ausfindig zu machen. Also falls einer von euch Erfahrenen auf dem Gebiet einen Tip hat, sagt es mir "Bitteeee". For so long! Robby |
| |
|
11.11.2005, 20:02
| # 7 | ||
| Gastposter | Zitat:
Die IP.Nummern sind aus verschiedenen Ländern,es weisst auf eine Anfrage in Bezug von P2P-Software. Also,wenn ich die Software benutze werden diverse Daten bei mir gespeichert. Beende ich das P2P-Programm,und starte es neu versucht es zu den alten IP-nr zu verbinden.Es klopft also zb. bei dir an und schaut ob dein P2P-programm läuft. Zitat:
Sorry,mehr kann ich dazu nicht sagen. M.f.G. | ||
| |
|
11.11.2005, 20:24
| # 8 |
| Threadstarter Registriert seit: 09.11.2005
Beiträge: 4
| Ja, das ist ein Dienst der ähnlich der Remoteunterstützung ist. Jedenfalls habe ich hier noch sehr seltsame dinge rausgefunden. Da der Angriff ja von Outpost geblockt wurde, habe ich geschaut welches Feature von Outpost dies tut. Es ist der "Intrusion Detector", also habe ich im Internet geschaut, was dieser genau macht: Manche Firewalls verfügen über ein „Einbrucherkennungs- und -abwehrsystem“. Im Fachjargon wird dieses Intrusion Detection System oder kurz IDS genannt. Dieses kennt bestimmte Angriffsmuster, deren Auftreten gemeldet wird. Schadsoftware versucht oft die Filterung durch die Firewall zu umgehen. Dies könnte geschehen, indem die Schadsoftware den Dienst der Personal Firewall beendet. Ein möglicher Trick für Schadsoftware die Personal Firewall zu umgehen ist es, ein vertrauenswürdiges Programm (beispielsweise den Browser) zu starten und über dieses die Verbindung herzustellen. Ebenso kann versucht werden, ein vertrauenswürdiges Programm oder eine davon genutzte Bibliothek zu verändern oder sich als Erweiterung für ein solches Programm einzuschleusen. Manche Firewalls erkennen einige solcher Tricks und warnen den Benutzer. Soweit so gut, was mir aber dabei sofort eingefallen ist... als ich meinen Rechner startete, kam eine Meldung von wegen Dateiausführungsverhinderung will Outpost beenden oder so irgendwas, jedenfalls habe ich dann erstma gesagt das er das lassen soll. OK, geschlossen das ganze und dann kam Outpost hat einen Fehler verursacht und wurde beendet, komisch ist nur das Outpost ganz normal weiter läuft bis auf diese komischen Angriffe eben. Vielleicht habt ihr ja jetzt eine Idee mit was das ganze zusammenhängen tut! Greetz! Robby |
| |
|
13.11.2005, 10:52
| # 9 | |
 Registriert seit: 19.10.2002
Beiträge: 3.109
| Zitat:
Zu deinem Verdacht das auf deinem Rechner etwas nicht mehr koscher ist - Manche Schädlinge besitzen die Fähigkeit als Dienst zu laufen und ihre Dateien auszublenden. Deshalb ist es möglich das sich ein Schadprogramm eingeschlichen hat das vom Virenscanner nicht gefunden wird und die Firewall verändert hat. Wenn du einen solchen Verdacht hast hilft nur formatieren und neu aufsetzen denn du wirst vermutlich die Schadsoftware trotz aller Bemühungen nicht finden. Der Umkehrschluß bedeutet aber auch das dich deine Firewall nicht vor der Infektion geschützt hat und somit sinnlos ist, du solltest also dein Sicherheitskonzept überdenken. hyrican | |
| |
28.05.2012, 14:20
| # -- |
| News Flash  | Das könnte Dich auch noch interessieren:
Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen. |
