Hallo zusammen,

seit ein paar Tagen möchte eine 'services.exe' eine verbindung per udp ins internet. Per Firewall (Outpots Pro) verhindere ich das ganze. Blocke ich die 'services.exe' ganz, geht das internet nicht mehr, blocke ich den zugriff pro Anfrage einmalig, geht das Internet weiter. Weiterhin wird konstant alle 30 sekunden (!) ein udp-zugriff geblockt, gelegentlich meldet Outpost einen Angriff auf exakt die udp-ports, über die die 'services.exe' eine verbindung haben möchte ...

Ich habe vieles ausprobiert: Kaspersky Antivirus Personal Pro = nichts, F-Prot Trial = nichts, HiJack This -automatische Auswertung = zumindest für mich nichts erkennbares.

Hat jemand eine Idee zu meinem Problem?

I use Win2k mit SP02, Opera 7.54, Outpost Pro, Kaspersky Antivirus Personal Pro 5

Schau mal hier:

http://frankn.com/html/services_exe.php

Also eigentlich ein wichtiger Windows-Prozess.

Poste aber mal bitte ein HijackThis-Log zur Sicherheit.
Direktdownload:
http://filepony.de/download-hijackthis/
Anleitung:
http://www.trojaner-board.de/51130-anleitung-hijackthis.html

Um "überflüssige" Dienste und Ports zu deaktivieren, schau Dir diese Seiten mal an:
http://ntsvcfg.de/ und: http://dingens.org/

Gruß
Andy

Hallo, hier ist das Teil:

Logfile of HijackThis v1.99.1
Scan saved at 00:34:07, on 17.02.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\dcfssvc.exe
C:\WINNT\System32\svchost.exe
d:\Programme\FSI\F-Prot\fpavupdm.exe
D:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\Programme\Adobe\Acrobat\Distillr\AcroTray.exe
D:\Programme\HP OfficeJet G Series\bin\hpodev07.exe
D:\Programme\Fritz!\IWatch.exe
D:\Programme\PQ\DataKeeper\DataKeeper.exe
D:\Programme\SpamPal\spampal.exe
D:\Programme\combit\amw\tm.exe
d:\PROGRA~1\HPOFFI~1\bin\hpoevm07.exe
C:\WINNT\System32\hpoipm07.exe
d:\programme\HP OfficeJet G Series\bin\HPOSTS07.exe
d:\programme\HP OfficeJet G Series\bin\HPOFXM07.exe
D:\Programme\wincmd\TOTALCMD.EXE
C:\WINNT\system32\NOTEPAD.EXE
D:\Programme\Opera\opera.exe
C:\WINNT\system32\ntvdm.exe
D:\Programme\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [diagx] C:\WINNT\System32\runservice.exe %srun%
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [F-StopW] d:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [runservicex] C:\WINNT\System32\runservice.exe %srun%
O4 - Startup: DataKeeper.lnk = D:\Programme\PQ\DataKeeper\DataKeeper.exe
O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!fax.lnk = D:\Programme\Fritz!\FriFax32.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Programme\HP OfficeJet G Series\bin\hpodev07.exe
O4 - Global Startup: ISDNWatch.lnk = D:\Programme\Fritz!\IWatch.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13509507-3E99-468B-8958-6A2DFD945107}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C2DC742-1FA6-4E38-BEEE-947274013714}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{13509507-3E99-468B-8958-6A2DFD945107}: NameServer = 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{13509507-3E99-468B-8958-6A2DFD945107}: NameServer = 194.25.2.129
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINNT\System32\DRIVERS\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - d:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - D:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

Ich hoffe du findest etwas ... )

Ich hoffe immer, dass ich nichts finde....

Du solltest zuerst Dein System updaten!
http://www.windowsupdate.com/

Falls nicht geschehen, den Hintergrundwächter Deines AV-Programmes aktivieren und ggf. das Programm updaten.

Danach bitte erneut ein HijackThis-Log posten.

Oha,

ich weiß, das Win2k-Servicepack 02 ist nicht mehr so ganz up-to-date ... das mache ich morgen. (Viel müd jetzt ) )
Meine verwendeten Scanner sind allerdings immer up-to-date, sonst könnte ich das ja auch lassen. Aber informativ wollte ich euch noch mitteilen, daß das angewählte Ziel immer die udp-Adresse 194.25.2.161 ist ... in google fand ich nichts darüber, aber vielleicht kennt ihr das ja

Schöne Grüße

notroja )

Das KÖNNTE die Adresse Deiner Fritz-Box sein, schau mal in die Einstellungen derselben. Bzw. im Browser mal "fritz.box" eingeben (ohne "").

Zitat:

Zitat von notroja

Oha,
ich weiß, das Win2k-Servicepack 02 ist nicht mehr so ganz up-to-date ... das mache ich morgen. (Viel müd jetzt ) )

Auch der IE ist recht altertümlich (bald kommt Version 7). Und Du surfst noch mit dem 5-er....

Zitat:

Zitat von Feierfox

Auch der IE ist recht altertümlich (bald kommt Version 7). Und Du surfst noch mit dem 5-er....

Aber aktuell ist halt immer noch der 6er

Deswegen

www.windowsupdate.com

(das bitte mit dem veralteten 5er machen)

@cronos
hast ja Recht...

Zitat:

194.25.2.161

ist wohl Dein Betreiber....Telekom-IP

Ihr schaut mir aber auch überall hin, he? Naja, der ist fast nur noch aus kompatibilitätsgründen drauf, ansonsten verwende ich opera ...

Vielen Dank an euch für heute )

nochmal ich: Habe ich das richtig gelesen? Hinter 194.25.2.161 steckt die Telekom? Ich habe DSL von denen ... wie sollte ich das alles verstehen?

Na, dann ist doch prima!

Dein Browser muss sich doch wo "einwählen" und ne Telekom-IP ist doch dann genau richtig.

Nee, jetzt komm ich doch noch nicht in die Federn! Der PC hängt hinter einem Router im LAN paralell zu einem ausstattungs- und baugleichen PC. Dort spielte die services.exe nie eine Rolle, Wie schon gesagt - sein ein paar Tagen meldete sich hier immer die Firewall mit der services.exe, und im Firewall-Log steht alle 30 sekunden ein Verbindungsversuch ... da komm ich nicht mehr ganz mit! Was hat sich denn auf diesem PC verändert? Und woher weiß ich, daß hinter dieser IP wirklich mein Provider Telekom steckt? Wo kann ich das nachsehen?

Hmmm...

Also, Du bist anscheinend gut geschützt durch den Router.

Zur IP sieh Dir mal die Liste an:
http://www.fx3.org/faq/t-online.dns.txt
Auch die andere IP in Deinem Log gehört der Telekom.
Mach Dir mal keine so großen Sorgen.

Nu, ab in die Federn....

Gruß
Andy

Zitat:

Zitat von Feierfox

Also, Du bist anscheinend gut geschützt durch den Router.

Gut geschützt durch einen Router ist man auch erst, wenn die integrierte Hardwarefirewall überhaupt erst einmal konfiguriert ist.