Hallo!
Hoffe hier kennt sich jemand mit McAfee aus....
Also, ich habe letzte Woche mein System auf Vordermann gebracht. War auch nichts "wildes" drauf außer ein paar Adwares.
So weit alles bereinigt und okay (... mit Hilfe v. HJT Support-board )
Aber seitdem alles okay ist (ca 3 Tage) habe ich ungewöhnliche "Aktivitäten", die mir meine McAfee Firewall blockt.

Nun wollte ich mich mal um noch mehr Sicherheit kümmern und die mir angezeigten Ereignisse genauer anschauen.
So richtig komme ich damit aber nicht klar. Woher bekomme ich die Info, was gut oder schlecht (also zu sperren) ist?
Erstmal muss ich ja davon ausgehen, dass alles was McAfee an Ereignissen blockt schlecht ist, oder?
Was hat es mit den ICM Pings auf sich. Was bedeutet es, wenn jemand an meinen PC ein Pingsignal schickt?

Nun, seit gestern habe ich also ein paar IP Adressen gesperrt.
Unter anderem eine, die alle 10- 30 Sekunden (!) was anderes sendet und alle Anschlüsse numerisch durchprobiert.
Heute hat meine Firewall alleine unter dieser IP 1600 !!! (bis jetzt) Ereignisse geblockt
Was um Himmels Willen tickert den ganzen Tag hier und will an meinen PC???
Erst hab ich gedacht, ein wichtiges Programm sucht jetzt nach nem offenen Eingang, aber eine IP die sowas als Ereignistext hat kann doch nicht okay sein, oder?
(unter anderem, das ist nur ein Beispiel)
2005/10/10 11:05:58 - 205.188.7.144 - BackDoor G Trojan / SubSeven Trojan/Apocalypse Trojan

Das was in der McAfee eigenen Hilfe steht ist ja wohl mehr als ärmlich.

Vielleicht hat ja jemand eine Anleitung/Erklärung für mich ;-)

Ich sage es gleich, ich habe nur mäßig Ahnung vom PC ....also nicht lachen, wenn das "Problem" für Euch Profis lächerlich erscheint ;-)

LG
DoWhat?

@DoWhat
hört sich nicht gut an.
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493
und scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492
ergebnisse wie in der anleitung beschrieben posten.

chaosman

@chaosman: Servus!!

@DoWhat & @ chaosman:
Komisch, das ist eine AOL-IP.
cacatoa

@cacatoa
Was ist daran komisch?
Vielleicht Zufall, dass ich auch bei AOL bin?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 21:33:02, on 10.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\ZyXEL\Odyssey Client for ZyXEL\OdTray.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\ZyXEL Technology Corporation\ZyAIR G-220 Utility\ZDWlan.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\Dokumente und Einstellungen\Bianca\Eigene Dateien\Meine empfangenen Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://junikids2002.de/juniboard/portal.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\ZyXEL\Odyssey Client for ZyXEL\OdTray.exe"
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"


O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Startup: hpothb07.dat
O4 - Startup: hpothb07.tif
O4 - Global Startup: ZDWlan.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Odyssey Client for ZyXEL (odClientService) - Funk Software, Inc. - C:\Programme\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
         

eScan:

Code: Alles auswählenAufklappen

ATTFilter

System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with 007guard.com hijacker Spyware/Adware (plugin.dll)! Action taken: Keine Aktion vorgenommen.
Mon Oct 10 23:38:44 2005 => ***** Scan vollständig. *****
 
Mon Oct 10 23:38:44 2005 => Gescannte Dateien: 94789
Mon Oct 10 23:38:44 2005 => Gefundene Viren: 2
Mon Oct 10 23:38:44 2005 => Anzahl der desinfizierten Dateien: 0
Mon Oct 10 23:38:44 2005 => Umbenannte Dateien: 0
Mon Oct 10 23:38:44 2005 => Anzahl der gelöschten Dateien: 0
Mon Oct 10 23:38:44 2005 => Anzahl Fehler: 76
Mon Oct 10 23:38:44 2005 => Zeit vergangen: 01:45:19
Mon Oct 10 23:38:44 2005 => Virus Datenbank Datum: 2005/10/10
Mon Oct 10 23:38:44 2005 => Virus Datenbank Zähler: 153309
 
Mon Oct 10 23:38:44 2005 => Scan vollständig.
         

Meine Güte, dass ist gar nichts, Helfer, macht doch bitte mal nicht die neuen Hilfesuchenden verrückt!
Da hat einfach mal einer, da ja Ferienzeit, einen IP/Portscanner gefunden und den gestartet.
Jede PsFW, meldet die Pings.
Aber, dass ist ja keine Gefahr, da hat nur einer an die Türklinke gedrückt und gemerkt, die Tür ist zu, also, weiter zur nächsten.

Das ist doch alles Kinderei und keine Gefahr, einfach nur ärgerlich und nervend.
Ihr könnt das auch an der eigenen IP testen.

Für Microsoft:

@ echo off
set count =%x
start / b ping IP -/ 65500 -h 30
if not “%count% = =” xxxxx “ goto loop
; end

Für Linux.

- f < ip >
Syntaxfehler sind beabsichtigt, damit ich mit den Moderatoren keinen Ärger bekomme!

Liebe Grüße, Charlie

Nachtrag: bitte die Linuxversion nicht antesten, denn mit der richtigen Bandbreite, geht jeder angewählte Win- PC in Knie, haben wir gerade getestet, im LAN.
LG, Charlie

Hallo @charlie1
Heisst das ich muss nur abwarten bis derjenige das endlich aufgibt?
Das geht nun schon 3 Tage so *heul*

Ja, erreichen kann er eh nix.
LG, Charlie
Du hast ja hoffentlich, die Exe nicht aufgamacht, da dir ja auch keine angeboten wurde?!

*lol* eine exe die mir nicht mal angeboten wurde kann ich auch schwerlich öffnen

Nein, mal im Ernst: hab da nix bekommen zum Öffnen!
Mach ich sowieso generell nicht...nix von unbekannten...nicht mal wegen nem Klassentreffen

ALso warte ich ab.
Stoppen kann ich sowas dann ja wohl nicht ....
Mal nebenbei, was und wozu ist ein Portscanner gut? Nur für böse Absichten ?

Lies folgendes:
http://de.wikipedia.org/wiki/Portscan

@ cronos
Danke für den Link ... aber bei soviel Fachchinesisch hab ich nicht wirklich eine
für mich akzeptable Antwort daraus ziehen können.

In Cronos Link, steht alles was man über Scanner wissen sollte.
LG,Charlie

@DoWhat
lade spybot, updaten, in den abgesicherten modus scannen lassen, müßte CWS finden und löschen.

007guard.com hijacker Spyware/Adware (plugin.dll)
http://securityresponse.symantec.com...e.2search.html
datei in den abgesicherten modus löschen, neu booten

chaosman

Danke erstmal an alle.
Ich habe gerade mal ein bissi herumprobiert. Vielleicht kann jemand dazu auch was sagen.
"Es" fängt nur an bei einem bestimmten AOL Namen.
Ich dachte so ein Portscan hängt mit dem PC (IP Adresse?) zusammen und nicht mit einem bestimmten Usernamen....

LG
DoWhat

@chaosman
Habe beide Punkte abgearbeitet und nichts gefunden.
Mittlerweile denke ich, das sind klassische Fehlmeldungen.
waol gehört ja zu AOL
und die plugin.dll zu meinem grafikprogramm