bekomme immer wieder die meldung von meiner kerio firewall das sie einen eindringversuch blokiert hat
das ziel wäre gewesen c:\windows\system32\svchost.exe
habe schon 2mal vieren drauf gehabt hab danach formatiert hatte den aber dann gleich wieder drauf als ich online ging weil einmal keine firewall und bei 2ten mal hatte ich keine antivir drauf
hier ist mal der hijackthis.log
Logfile of HijackThis v1.99.1
Scan saved at 14:11:39, on 16.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\heini\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DECE9F00-B2FC-4E9E-8F18-91DAFD86CC30}: NameServer = 217.237.149.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe



hier noch mal die meldung die kerio ausgibt

http://img207.imageshack.us/img207/4959/unbenannt2rq.jpg

thx

hallo,
also ich kann dich beruhigen..
dein file ist sauber..
aber damit das auch in zukunft so bleibt würde ich dir raten sofort auf SP2 updaten.
denn SP1 ist sehr leichtsinnig..

gruß

ehmm kann mann das service pack auch nehmen wenn mann ja wie soll ich sagen, also ich dachte immer das wäre nicht so gut weill dann mein sys nicht mehr will.
aber was kann ich gegen die versuche tun die es auf meinen svchost.exe abgesehen haben ?

du sooltest eigentlich immer original software benutzen.
du hast ein system mit großen sicherheitslücken.
die mit dem update auf SP 2 geschlossen werden.
also kommst nicht drumherum das system apzudaten.

sry das mit der pn wuste ich nicht
muste gerade wieder booten weil mein rechner einfach runtergefahren ist "rpc"
wobei ich den rpc-locator dienst ausgestellt habe
da scheint mich doch irgendwer die ganze zeit anzugreifen
weill wenn der pc mit dem rpc fehler neustartet is das nicht ein zeichen dafür das der angriff fehlgeschlagen ist?

ich habe dir nun gesagt was du dringend machen sollst..
sonst ist es nur eine frage der zeit wann du dein system komplett Neuaufsetzen musst weil es total verseucht ist..
was du nun daraus machst ist allein deine sache.