Hallo,

bei mir bricht öfters die Verbindung einfach ab...
Außerdem erhalte ich öfters von Norton ein Hinweis über "MS_Windows_LSASS_RPC_DS_Request", was ist das?
LSASS beunruhigt mich...


Hier das HiJack Logfile:

Zitat:

Logfile of HijackThis v1.99.0
Scan saved at 14:57:20, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
C:\Programme\Trillian\trillian.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\groe\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=134786
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.chello.at/autoproxy/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.chello.at:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Tools1] C:\Programme\surfbar.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\Foxserv\mysql\bin\winmysqladmin.exe
O4 - Global Startup: 3D!Turbo Experience.lnk = C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/288644c337b9991e4e19/netzip/RdxIE601_de.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1122.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http://www.flatcast.de/objects/NpFp412.dll
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

LSASS ist der lokale sicherheitsdienst.
er überprüft die zugriffsrechte und die gültigkeit der benutzeranmeldungen.
gehört außerdem zu windows xp.

zum thema norton:
firewalls sind nutzlos, wenn sie auf dem zu schützenden computer laufen.
führe lieber einmal ein sicherheitsprogramm wie von www.dingens.org aus und konfiguriere windows richtig, statt dich auf eine firewall zu verlassen.
dann sind auch die ports geschlossen.

außerdem sollte noch das getan werden:

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
O4 - HKLM\..\Run: [Tools1] C:\Programme\surfbar.exe
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm

3.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

achja und
-lade dir das Windows XP Service Pack 2 runter und installiere es.

Also was kann ich machen ausser diese Meldung auszublenden?

Wenn ich mich nicht irre gibt es doch auch FireWalls die auf dem zu schützenden Computer selbst laufen!?
Das Programm von www.dingens.org habe ich mehrmals ausprobiert aber danach funktioniert dann GAR KEINE verbindung zum internet mehr! Kein ICQ, kein FireFox!

1. Escan habe ich laufen lassen und es wurde nichts gefunden!

2. Bei HijackThis habe ich die Einträge nicht gelöscht da das alles Programme sind die ich selber installiert habe und auch benutze!


Installation von SP2 bricht IMMER (auch wenn FireWall aus) ab! Weißt du warum?

Zitat:

Wenn ich mich nicht irre gibt es doch auch FireWalls die auf dem zu schützenden Computer selbst laufen!?

das gibt es, ja. aber das ist nutzlos. siehe auch 10 Gründe, keine Firewall zu benutzen
wenn, dann musst du eine andere einstellung von dem prog verwenden. ich kanns dir nur immer wieder sagen firewall = unsicher

Zitat:

Installation von SP2 bricht IMMER (auch wenn FireWall aus) ab! Weißt du warum?

Wird eine Fehlermeldung angezeigt? es ist möglich, dass das windows nicht richtig aktiviert wurde.

Zitat:

Zitat von Chris14

Wird eine Fehlermeldung angezeigt? es ist möglich, dass das windows nicht richtig aktiviert wurde.

Nein es wirtd nur angezeigt dass es abbricht...
Windows wurde richtig aktiviert!


EIne andere Frage ich hab mir mal meien Ports "angeschaut" (*gg*) und herausgefunden, dass da einige Ports, die oft von Trojaner verwendet werden noch offen sind!

WIe kann ich die denns schliessen?

Zitat:

Zitat von groe

EIne andere Frage ich hab mir mal meien Ports "angeschaut" (*gg*) und herausgefunden, dass da einige Ports, die oft von Trojaner verwendet werden noch offen sind!

WIe kann ich die denns schliessen?

http://www.ntsvcfg.de/

Gruß
Yopie

der escan brachte ja keine infected dateien heraus. es wäre also mit etwas neuerem zu rechnen. poste mal die ports, die offensichtlich offen sind.
das mit winxp sp2..:
ich kann nicht mit sicherheit sagen, worum es sich hier handeln könnte. fazit aber:
du hast auf deinem system ports trotz deiner so wertgeschätzen firewall offen.
das sollte dir langsam zu denken geben. wenn du nämlich jetzt pech hast, hast du einen backdoor trojaner drauf, da kannste vergessen, das dich die firewall beschützt (jede firewall ist umgehbar, auch wenn überall die 100%-sicherheit garantiert wird)
das skript von yopie genannt, sollte dir da weiterhelfen können^^

nun tu aber mal nicht so als ob ich denken würde dass eine firewall mich 100%ig schützt.

100%igen Schutz gibts ja leider nicht ^^


24,110,389,1002,1025,1027,1027,...
Die Ports sind offen

das entnahm ich deinen worten, dass du dich durch ne firewall 100% sicher fühlst. aber ok, da hab ich offenbar den sinn net verstanden^^

ok.. dann identifizieren wir die ports mal:


24 = privmail (wird von mailprogrammen benutzt)
110 = pop3 (ebenfalls mailprogramme)
389 = LDAP (netmeeting sitzungen, auch verursacht durch ICS)
1002 = ms-ils (das gleiche wie LDAP)
1025 = vermutlich mehrere ursachen (taskplaner, rpc (systemports ) )
1027 = (ebenso wie 1025)

hm.. ich sehe da, das die firewall offenbar die ports nicht blockt..
also da würde eventuell der dcombombulator helfen, der die ports 1025 und 1027 schließt (mittlerweile weiß ich, dass die rpc und dcom-ports irgendwie die gefährdesten sind)
dann am besten den taskplaner deaktivieren. und zwar so:
-start, einstellungen, systemsteuerung, verwaltung, dienste
-rechtsklick auf taskplaner, eigenschaften
-automatisch auf deaktiviert stellen
-fertig

lass mal außerdem einen portscan bei grc.com machen. so kannste am besten feststellen, welche ports wirklich nach außen offen sind.

Zitat:

Zitat von Chris14

110 = pop3 (ebenfalls mailprogramme)

Ich glaube nicht, dass er einen Mailserver betreiben sollte. Ein Mailclient hält diesen Port nicht offen!

Gruß
Yopie

hm.. da is was dran. allerdings wird dieser port zum übertragen von mails benutzt, also wäre es möglich das in diesem moment eine mail gesendet wurde.
wenn das nicht der fall ist, könnte das was ernsteres sein..

Also meine Mails sende ich grundsätzlich immer nur über Webmail, nie über Outlook oder ähnliches!

[EDIT] Aber ich entwickle Scripts und habe dazu einen Homeserver installiert, jetzt gerade ist der aber eigentlich abgeschalten, denk ich...


Postscan:

Wenn FireWall deaktiviert:
Alle Ports geschlossen, außer:
111, 135, 201-208, 445 <-- Sind "stealth" (was heist das?^^)
1025 <-- ist OFFEN (!!)

Wenn FireWall aktiv:
Alle Ports "stealth"!

(hmm, grade vorher war 1025 da auch noch offen O.o)



Der Taskplaner war schon auf "deaktiviert" geschalten!

Zitat:

Zitat von Chris14

allerdings wird dieser port zum übertragen von mails benutzt, also wäre es möglich das in diesem moment eine mail gesendet wurde

Trotzdem ist dann lokal nicht Port 110 oder Port 25 offen.

Zitat:

Zitat von groe

111, 135, 201-208, 445 <-- Sind "stealth" (was heist das?^^)
1025 <-- ist OFFEN (!!)

http://de.wikipedia.org/wiki/Personal_Firewall

Bzgl. 1025 ist es mysteriös:
http://board.protecus.de/showtopic.php?threadid=5027
http://www.trojaner-board.de/showthread.php?t=2080
lässt sich afaik nicht wirklich schließen.

Gruß
Yopie

interessant. Ich wusste doch, das irgendwas nicht stimmt. Dann wundert das mich aber. Es muss ein trojaner oder ein programm da sein, dass den port 110 und 25 aufhält. Aber escan hat nix gefunden... (Naja schon klar, escan findet viel aber net alles)
Wenn dann ist das aber ein trojaner oder prog, dass mir und escan unbekannt ist.
Einzige möglichkeit wäre der homeserver. Aber ob der was damit zu tun hat?...

Zitat:

Zitat von Chris14

Einzige möglichkeit wäre der homeserver. Aber ob der was damit zu tun hat?...

glaube ich nicht.
Ist mir nur eingefallen da die Rede von einem Mailserver war



hmm... was kann das denn für ein Programm sein? O.o