Hallo.

Ich musste heute morgen feststellen das die Systemuhr meines Rechners verstellt war. Statt des aktuellen Datums war das Jahr auf 2080 eingestellt. Das führte dazu das einige Programme, namentlich ZoneAlarm AntiVirus, Icq und java nicht mehr funktionierten. Nachdem ich die Zeit wieder korrigiert habe läuft auch alles wieder einwandfrei.

Ich habe daraufhin alle auf meinem System vorhandenen Scanner: ZoneAlarm Antivirus, Spybot und AdAware über mein System laufen lassen und eine Onlineauswertung eines aktuellen Hijackthis-Logs durchgeführt, aber nichts davon ergab einen Befall.
Ich führe diese Scans sowieso regelmäßig durch und hab eigentlich seit langem keinerlei Angriffe erkennen können.

Ich kann mir nicht vorstellen, dass sich die Systemuhr einfach von selber verstellt haben könnte. Was kann ich noch tun um etwaige Eindringlinge dingfest zu machen?

Ich hänge mein hijackthis-log mal an, vielleicht ist ja doch was drin, was dem online-scan nicht auffällt.


Logfile of HijackThis v1.99.1
Scan saved at 13:30:42, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Mozilla1.7.5\mozilla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\dommers\Desktop\HijackThis.exe

O1 - Hosts: 88.198.23.134 doomsday.nali.at
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] "D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [UniUploader] D:\***\privat\WoW\Spiel\World of Warcraft\UniUploader\UniUploader.exe Name entfernt
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [BLASC] "D:\***\privat\WoW\Spiel\World of Warcraft\BLASC\BLASC.exe" Name entfernt
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155821733513
O17 - HKLM\System\CCS\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA838160-2A47-415D-856A-D6FE944C9FE0}: NameServer = 129.217.129.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CS2\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CS3\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo nochmal,
wenn ich mir umsonst Sorgen mache, würd mir das als Antwort auch schon genügen.
Ansonsten wär ich auch für jeden anderen Vorschlag zur Überprüfung der Sichheit meines Systems dankbar.

Liebe Grüße
Sternenschwester

Also, ich hab den Thread hier schon gestern gelesen und war so ratlos, dass ich die Finger davon gelassen habe. Aber gut. Zur Systemüberprüfung eignet sich am besten eScan. Anleitung findest du in meiner Signatur. f-Secure Blacklight könntest du auch mal laufen lassen.

mfg

Undoreal

e-scan ist ebenfalls ohne Befund, f-secure werd ich als nächstes ausprobieren.

wenn eScan und Blacklight ohne Befunde sind kannst du dein System noch auf ShieldsUp überprüfen lassen und einen scan mit TCP-View machen und uns das logFile posten.

Danach halte ich es für einen Fehler im Microsoft Zeitsynchronisationsserver (was aber eigentlich nicht vorkommen darf) oder einen Windoof Bug..

mfg

Undoreal

Ok, also f-secure hat nichts gefunden und bei ShieldsUp hat mein System auch nur brilliert. Ich muss aber gestehen das ich nicht weiß wie ich ein log-file von tcp-view bekomme.
Wenn du mir da noch kurz auf die Sprünge helfen könntest wär das super, wobei es mittlerweile wohl echt nach einem Bug aussieht. *hoff

Hallo,
dann gehen wir jetzt die Sache mal richtig an....
Also...
Ist es seither wieder vorgekommen,das deine Systemzeit verdreht war bzw.nicht die korrekte Uhrzeit angezeigt hat.Minütliche Abweichungen zählen nicht.
War der Rechner längere Zeit(Tage,Wochen) aus gewesen,als du die verdrehte Systemzeit bemerkt hast ?
Stimmt die Stundenanzeige,wenn du eine längere Rechnerpause hattest(über Nacht beispielsweise) ?
Hast du einen Laptop ?
Irrlicht

Hallo, danke für deine Anteilnahme an meinem Problem.

1. Nein, seither hat sich die Systemzeit nicht wieder verstellt, auch keine Minutenabweichungen.
2. Nein, der Rechner war nur über Nacht aus. Und hatte beim morgendlichen hochfahren diese verstellte Jahreszahl.
3. Ich habe seither den Rechner jeden Abend ausgemacht und es ist zu keinen Problemen, auch nicht mit der Stundenanzeige gekommen.
4. Dies hier ist ein Desktop-Rechner und ich besitze keinen Lap-Top, wohl aber einen weiteren Desktop-PC daheim. (Ich weiß nicht worauf die Laptop frage abzielte, deswegen die ausführliche Info.)

Und bevor die Frage jetzt ausfkommt, das hier ist kein Firmencomputer, sondern ein Uni-Rechner für den ich selbst verantwortlich bin. Es gibt also keinen Firmen-Netzwerk-Admin dem ich hier ins Werk pfusche.

Ich bin jetzt fürs Wochenende erst mal off und werd mal sehen was euch schlauen Köpfen bis dahin eingefallen ist.

Gruß
Sternenschwester

just my 2 cents:

1. Änderung der Systemzeit protokollieren (gpedit.msc; Ereignis 520)
2. Schnapp Dir einen Mojito und mache dir erstmal exakt genau keine Gedanken über diesen Vorgang.
3. Kommt es wieder zu einer Änderung der Systemzeit, kontaktiere das Eventlog.

Gruß

Marc

Hallo,
ich würde jetzt mal den Doktorspruch bringen wollen,der immer dann kommt wenn du deinen Arzt vom Golfspielen abhältst...
..."nehmen sie eine Aspirin und beobachten sie das weiter"...
Meine Fragen zielten auf die Batterie.
Wenn die nämlich anfängt zu schwächeln,ist als erstes meist die Systemzeit am kollabieren.....
Das kommt dann gehäuft vor.Da dem aber nicht so zu sein scheint,würde ich von einem unkontrollierten Fingerzucker ausgehen...einfach mal die falsche Taste getroffen.....
Die Laptopfrage kam wegen der Einfachheit der Entdeckung der Batterie in einem Towergehäse."Blechkleid" runter und schon siehste alles... Beim Lappi ist die Batterie gerne gut versteckt....und der Lappi ebenso gut verschraubt....
Wenn sonst keine Auffälligkeiten sind...> Aspirin.........
Irrlicht

Danke Leute,

soviel krieg ich auch von zu Hause aus noch dazu beigetragen. *g

Dann schütt ich mir mal ein Gläschen Eiswein ein und genieß das Wochenede ganz entspannt.

Nachdem mir dann drei Leute gesagt haben es wär wohl nichts, fühl ich mich doch schon fast sicher...

Ihr seid einfach dufte.

*verschieb*

GUA