|
Log-Analyse und Auswertung: Bitte Logfile auswerten!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.01.2005, 14:58 | #1 | |
| Bitte Logfile auswerten! Hallo, bei mir bricht öfters die Verbindung einfach ab... Außerdem erhalte ich öfters von Norton ein Hinweis über "MS_Windows_LSASS_RPC_DS_Request", was ist das? LSASS beunruhigt mich... Hier das HiJack Logfile: Zitat:
|
29.01.2005, 15:04 | #2 |
Bitte Logfile auswerten! LSASS ist der lokale sicherheitsdienst.
__________________er überprüft die zugriffsrechte und die gültigkeit der benutzeranmeldungen. gehört außerdem zu windows xp. zum thema norton: firewalls sind nutzlos, wenn sie auf dem zu schützenden computer laufen. führe lieber einmal ein sicherheitsprogramm wie von www.dingens.org aus und konfiguriere windows richtig, statt dich auf eine firewall zu verlassen. dann sind auch die ports geschlossen. außerdem sollte noch das getan werden: 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit HijackThis diese einträge: O4 - HKLM\..\Run: [Tools1] C:\Programme\surfbar.exe O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm 3.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log achja und -lade dir das Windows XP Service Pack 2 runter und installiere es. |
02.02.2005, 16:49 | #3 |
| Bitte Logfile auswerten! Also was kann ich machen ausser diese Meldung auszublenden?
__________________Wenn ich mich nicht irre gibt es doch auch FireWalls die auf dem zu schützenden Computer selbst laufen!? Das Programm von www.dingens.org habe ich mehrmals ausprobiert aber danach funktioniert dann GAR KEINE verbindung zum internet mehr! Kein ICQ, kein FireFox! 1. Escan habe ich laufen lassen und es wurde nichts gefunden! 2. Bei HijackThis habe ich die Einträge nicht gelöscht da das alles Programme sind die ich selber installiert habe und auch benutze! Installation von SP2 bricht IMMER (auch wenn FireWall aus) ab! Weißt du warum? |
02.02.2005, 16:55 | #4 | ||
Bitte Logfile auswerten!Zitat:
wenn, dann musst du eine andere einstellung von dem prog verwenden. ich kanns dir nur immer wieder sagen firewall = unsicher Zitat:
|
02.02.2005, 16:58 | #5 | |
| Bitte Logfile auswerten!Zitat:
Windows wurde richtig aktiviert! EIne andere Frage ich hab mir mal meien Ports "angeschaut" (*gg*) und herausgefunden, dass da einige Ports, die oft von Trojaner verwendet werden noch offen sind! WIe kann ich die denns schliessen? |
02.02.2005, 17:01 | #6 | |
Moderator, a.D. | Bitte Logfile auswerten!Zitat:
Gruß Yopie |
02.02.2005, 17:02 | #7 |
Bitte Logfile auswerten! der escan brachte ja keine infected dateien heraus. es wäre also mit etwas neuerem zu rechnen. poste mal die ports, die offensichtlich offen sind. das mit winxp sp2..: ich kann nicht mit sicherheit sagen, worum es sich hier handeln könnte. fazit aber: du hast auf deinem system ports trotz deiner so wertgeschätzen firewall offen. das sollte dir langsam zu denken geben. wenn du nämlich jetzt pech hast, hast du einen backdoor trojaner drauf, da kannste vergessen, das dich die firewall beschützt (jede firewall ist umgehbar, auch wenn überall die 100%-sicherheit garantiert wird) das skript von yopie genannt, sollte dir da weiterhelfen können^^ |
02.02.2005, 17:08 | #8 |
| Bitte Logfile auswerten! nun tu aber mal nicht so als ob ich denken würde dass eine firewall mich 100%ig schützt. 100%igen Schutz gibts ja leider nicht ^^ 24,110,389,1002,1025,1027,1027,... Die Ports sind offen |
02.02.2005, 17:18 | #9 |
Bitte Logfile auswerten! das entnahm ich deinen worten, dass du dich durch ne firewall 100% sicher fühlst. aber ok, da hab ich offenbar den sinn net verstanden^^ ok.. dann identifizieren wir die ports mal: 24 = privmail (wird von mailprogrammen benutzt) 110 = pop3 (ebenfalls mailprogramme) 389 = LDAP (netmeeting sitzungen, auch verursacht durch ICS) 1002 = ms-ils (das gleiche wie LDAP) 1025 = vermutlich mehrere ursachen (taskplaner, rpc (systemports ) ) 1027 = (ebenso wie 1025) hm.. ich sehe da, das die firewall offenbar die ports nicht blockt.. also da würde eventuell der dcombombulator helfen, der die ports 1025 und 1027 schließt (mittlerweile weiß ich, dass die rpc und dcom-ports irgendwie die gefährdesten sind) dann am besten den taskplaner deaktivieren. und zwar so: -start, einstellungen, systemsteuerung, verwaltung, dienste -rechtsklick auf taskplaner, eigenschaften -automatisch auf deaktiviert stellen -fertig lass mal außerdem einen portscan bei grc.com machen. so kannste am besten feststellen, welche ports wirklich nach außen offen sind. |
02.02.2005, 17:25 | #10 | |
Moderator, a.D. | Bitte Logfile auswerten!Zitat:
Gruß Yopie |
02.02.2005, 17:27 | #11 |
Bitte Logfile auswerten! hm.. da is was dran. allerdings wird dieser port zum übertragen von mails benutzt, also wäre es möglich das in diesem moment eine mail gesendet wurde. wenn das nicht der fall ist, könnte das was ernsteres sein.. |
02.02.2005, 17:44 | #12 |
| Bitte Logfile auswerten! Also meine Mails sende ich grundsätzlich immer nur über Webmail, nie über Outlook oder ähnliches! [EDIT] Aber ich entwickle Scripts und habe dazu einen Homeserver installiert, jetzt gerade ist der aber eigentlich abgeschalten, denk ich... Postscan: Wenn FireWall deaktiviert: Alle Ports geschlossen, außer: 111, 135, 201-208, 445 <-- Sind "stealth" (was heist das?^^) 1025 <-- ist OFFEN (!!) Wenn FireWall aktiv: Alle Ports "stealth"! (hmm, grade vorher war 1025 da auch noch offen O.o) Der Taskplaner war schon auf "deaktiviert" geschalten! |
02.02.2005, 18:07 | #13 | ||
Moderator, a.D. | Bitte Logfile auswerten!Zitat:
Zitat:
Bzgl. 1025 ist es mysteriös: http://board.protecus.de/showtopic.php?threadid=5027 http://www.trojaner-board.de/showthread.php?t=2080 lässt sich afaik nicht wirklich schließen. Gruß Yopie |
02.02.2005, 18:20 | #14 |
Bitte Logfile auswerten! interessant. Ich wusste doch, das irgendwas nicht stimmt. Dann wundert das mich aber. Es muss ein trojaner oder ein programm da sein, dass den port 110 und 25 aufhält. Aber escan hat nix gefunden... (Naja schon klar, escan findet viel aber net alles) Wenn dann ist das aber ein trojaner oder prog, dass mir und escan unbekannt ist. Einzige möglichkeit wäre der homeserver. Aber ob der was damit zu tun hat?... |
02.02.2005, 19:04 | #15 | |
| Bitte Logfile auswerten!Zitat:
Ist mir nur eingefallen da die Rede von einem Mailserver war hmm... was kann das denn für ein Programm sein? O.o |
Themen zu Bitte Logfile auswerten! |
.inf, adobe, antivirus, antivirus scan, askbar, auswerten, bho, dll, drivers, explorer, google, hijack, hijackthis, internet, internet explorer, internet security, logfile, logfile auswerten, monitor, nvcpl.dll, nvidia, object, programme, rundll, security, security center, settings manager, software, sun java, symantec, system, temp, windows, windows xp |