Hallo.

Ich musste heute morgen feststellen das die Systemuhr meines Rechners verstellt war. Statt des aktuellen Datums war das Jahr auf 2080 eingestellt. Das führte dazu das einige Programme, namentlich ZoneAlarm AntiVirus, Icq und java nicht mehr funktionierten. Nachdem ich die Zeit wieder korrigiert habe läuft auch alles wieder einwandfrei.

Ich habe daraufhin alle auf meinem System vorhandenen Scanner: ZoneAlarm Antivirus, Spybot und AdAware über mein System laufen lassen und eine Onlineauswertung eines aktuellen Hijackthis-Logs durchgeführt, aber nichts davon ergab einen Befall.
Ich führe diese Scans sowieso regelmäßig durch und hab eigentlich seit langem keinerlei Angriffe erkennen können.

Ich kann mir nicht vorstellen, dass sich die Systemuhr einfach von selber verstellt haben könnte. Was kann ich noch tun um etwaige Eindringlinge dingfest zu machen?

Ich hänge mein hijackthis-log mal an, vielleicht ist ja doch was drin, was dem online-scan nicht auffällt.


Logfile of HijackThis v1.99.1
Scan saved at 13:30:42, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Mozilla1.7.5\mozilla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\dommers\Desktop\HijackThis.exe

O1 - Hosts: 88.198.23.134 doomsday.nali.at
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] "D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [UniUploader] D:\***\privat\WoW\Spiel\World of Warcraft\UniUploader\UniUploader.exe Name entfernt
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [BLASC] "D:\***\privat\WoW\Spiel\World of Warcraft\BLASC\BLASC.exe" Name entfernt
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155821733513
O17 - HKLM\System\CCS\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA838160-2A47-415D-856A-D6FE944C9FE0}: NameServer = 129.217.129.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CS2\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CS3\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo nochmal,
wenn ich mir umsonst Sorgen mache, würd mir das als Antwort auch schon genügen.
Ansonsten wär ich auch für jeden anderen Vorschlag zur Überprüfung der Sichheit meines Systems dankbar.

Liebe Grüße
Sternenschwester

Also, ich hab den Thread hier schon gestern gelesen und war so ratlos, dass ich die Finger davon gelassen habe. Aber gut. Zur Systemüberprüfung eignet sich am besten eScan. Anleitung findest du in meiner Signatur. f-Secure Blacklight könntest du auch mal laufen lassen.

mfg

Undoreal

e-scan ist ebenfalls ohne Befund, f-secure werd ich als nächstes ausprobieren.

wenn eScan und Blacklight ohne Befunde sind kannst du dein System noch auf ShieldsUp überprüfen lassen und einen scan mit TCP-View machen und uns das logFile posten.

Danach halte ich es für einen Fehler im Microsoft Zeitsynchronisationsserver (was aber eigentlich nicht vorkommen darf) oder einen Windoof Bug..

mfg

Undoreal

Ok, also f-secure hat nichts gefunden und bei ShieldsUp hat mein System auch nur brilliert. Ich muss aber gestehen das ich nicht weiß wie ich ein log-file von tcp-view bekomme.
Wenn du mir da noch kurz auf die Sprünge helfen könntest wär das super, wobei es mittlerweile wohl echt nach einem Bug aussieht. *hoff