Hallo!

Ich habe bei IDS Details meiner Kerio Firewall in der Klasse "successful-user" mehrere Einträge, auch bei "successful-admin", heißt das, daß sich bei mir ein Trojaner eingenistet hat und jemand Zugriff auf meinen Comp besitzt?

Unter anderem bei "successful-user" viele Backdoor-Einträge und bei "successful-admin" Einträge wie "ATTACK-RESPONSES Microsoft cmd.exe banner" etc.

Im Standard hijack ist nichts und sowohl Antivir wie McAfee haben nichts gefunden.

Übrigens bietet Ad-aware keine updates mehr an, gibt es einer vergleichbare free ware die den gleichen Zweck erfüllt?

Zitat:

Zitat von Albino II.

Übrigens bietet Ad-aware keine updates mehr an, gibt es einer vergleichbare free ware die den gleichen Zweck erfüllt?

Wahrscheinlich hast du noch eine alte Version von Adaware. Aktuell ist Adaware SE, da habe ich gerade noch ein Update geladen!

Zitat:

Zitat von Sagamore

Wahrscheinlich hast du noch eine alte Version von Adaware. Aktuell ist Adaware SE, da habe ich gerade noch ein Update geladen!

Wo kann man die downloaden?

Sonst noch comments zu meinem "Problem"?

Zitat:

Zitat von Albino II.

Wo kann man die downloaden?

http://www.lavasoft.com/

Zitat:

Sonst noch comments zu meinem "Problem"?

Kenn ich mich nicht mit aus, sorry.

Zitat:

Zitat von Sagamore

http://www.lavasoft.com/



Kenn ich mich nicht mit aus, sorry.

Auf jeden Fall Danke für die Hilfe!

Kennt sich wirklich niemand mit IDS Details aus?

Hast du schonmal die Hilfe bemüht. Außerdem gibt es auf http://www.kerio.com/supp_kpf_manual.html FAQs und Manuals zum runterladen.

Wenn IDS für dich völlig neu sind - was ich nicht weiß - dann solltest du vielleicht erstmal googlen, damit du dir einen Überblick verschaffst, was die Dinger eigentlich machen.

Hilfreich sind vielleicht:
http://de.wikipedia.org/wiki/Intrusion_Detection_System
http://www.emsisoft.de/de/kb/articles/tec030702/

Poste mal den gesamten Eintrag, da müsste eigentlich auch eine URL dabeistehen.

Naja, ich habe diesen Screenshot gemacht, weiß nicht wie ich die weiteren Infos erhalten sollte, aber die Kerio Hilfe, jedenfalls das was ich gelesen habe, hat mir nicht die erhoffte Info geben können.

Dazu auch mein hijack auf dem ich nichts finden konnte...:

Logfile of HijackThis v1.99.0
Scan saved at 20:26:13, on 20.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...4/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12e061f5...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102353319501
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/sh...21/mcgdmgr.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15009/CTPID.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hallo Leute
Habe mir auch gerade die Kerio installiert und finde nun unter IDS-Details jede menge Trojaner-Angriffe, genau wie bei dir Albino.
Unter dem Button Logs & Warnungen ist allerdings nur ein einziger portscan verzeichnet.
Jetzt ist die frage ob die unter dem Button Angriffe/IDS-Details verzeichneten trojaner einträge vielleicht so eine art signaturmaske von kerio sind oder ob unter IDS-Details tatsächlich Angriffe auf den jeweiligen PC protokolliert werden?
Wenn das so wäre würde mich wundern das die Kerio kein datum und Uhrzeit des Angriffes verzeichnet.
Außerdem würde ich mir dann ernsthafte sorgen um meinen Rechner machen.
Bitte erkläre uns doch mal jemand der sich mit der kerio auskennt was da genau dahintersteckt.
Und wie sieht es bei euch anderen kerio nutzern im Protokoll IDS-Details aus?

Greets raven