| |
| |||||||
Log-Analyse und Auswertung: HiJackThis Log - könnt ihr euch das mal bitte ansehen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.07.2009, 18:05
| #1 |
| |  HiJackThis Log - könnt ihr euch das mal bitte ansehen? Ich hab das Gefühl mir einen Trojaner eingefangen zu haben, aber weder Norton AntiVirus, noch Combofix haben etwas gefunden.. Und aus dem HJT-Log werd ich irgendwie nicht schlau... Norton AV bzw Firewall zeigt auch immer kuriose Meldungen. z.B: Regel "Default Block EPMAP" blockierte (88.76.181.18,epmap(135)) Eingehende TCP-Verbindung Lokale Adresse, Dienst ist (NETBIOSNAME,epmap(135)) Remote-Adresse, Dienst ist (88.76.181.18,37482) Prozessname ist "C:\WINXP\system32\svchost.exe" oder Ein unberechtigter Zugriffsversuch "MS ASN1 Integer Overflow TCP" auf Ihren Rechner wurde erkannt und blockiert. Angreifer: 88.76.108.147(33164). Risikostufe: Hoch. Protokoll: TCP. Angegriffene IP-Adresse: NETBIOSNAME. Angegriffener Port: netbios-ssn(139). Ein unberechtigter Zugriffsversuch "MSRPC SrvSvc NetApi Buffer Overflow (2)" auf Ihren Rechner wurde erkannt und blockiert. Angreifer: 84.62.211.31(52347). Risikostufe: Hoch. Protokoll: TCP. Angegriffene IP-Adresse: NETBIOSNAME. Angegriffener Port: netbios-ssn(139). Und die IP's gehörten Definitiv nicht zu mir. Ich danke euch schonmal im voraus für eure Hilfe ---------------------------------------------------------------- Hier das LogFile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:43:35, on 03.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\TUProgSt.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINXP\system32\vmnat.exe C:\WINXP\system32\vmnetdhcp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINXP\RTHDCPL.EXE C:\WINXP\system32\LVCOMSX.EXE C:\WINXP\system32\ElkCtrl.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe D:\Programme\RhinoSoft.com\Serv-U\ServUTray.exe C:\WINXP\system32\wbem\wmiapsrv.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\mIRC\mirc.exe C:\Programme\TrueCrypt\TrueCrypt.exe C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe C:\WINXP\System32\svchost.exe C:\Programme\Java\jre6\bin\java.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\WINXP\explorer.exe C:\WINXP\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINXP\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1C7BBC3E-A298-4A9F-A379-F5BC127ABF40}: NameServer = 192.168.1.1 O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINXP\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINXP\system32\vmnat.exe -- End of file - 7697 bytes |
|
03.07.2009, 19:22
| #2 |
| /// AVZ-Toolkit Guru   | HiJackThis Log - könnt ihr euch das mal bitte ansehen? Der Rechner ist sauber.
__________________Warum glaubst du einen Trojaner zu haben?
__________________ |
|
03.07.2009, 19:46
| #3 |
| | HiJackThis Log - könnt ihr euch das mal bitte ansehen? Aufgrund der Meldungen die Norton Anti-Virus ausgespuckt hat. Weil keiner meine IP-Adresse kennen kann (Kein DynDNS o-ä.) und es permanent seit einigen Wochen solche Angriffversuche gibt. Und weil meine HardwareFirewall alle verbindungen von außen blockiert und deshalb die Verbindung von innen "aufgemacht" werden müsste damit der Angriffversuch überhaupt stattfinden kann.
__________________Hier nochmal die Norton AV bzw Firewall Warnungen: Code:
ATTFilter Regel "Default Block EPMAP" blockierte (88.76.181.18,epmap(135))
Eingehende TCP-Verbindung
Lokale Adresse, Dienst ist (NETBIOSNAME,epmap(135))
Remote-Adresse, Dienst ist (88.76.181.18,37482)
Prozessname ist "C:\WINXP\system32\svchost.exe"
oder
Ein unberechtigter Zugriffsversuch "MS ASN1 Integer Overflow TCP" auf Ihren Rechner wurde erkannt und blockiert.
Angreifer: 88.76.108.147(33164).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP-Adresse: NETBIOSNAME.
Angegriffener Port: netbios-ssn(139).
Ein unberechtigter Zugriffsversuch "MSRPC SrvSvc NetApi Buffer Overflow (2)" auf Ihren Rechner wurde erkannt und blockiert.
Angreifer: 84.62.211.31(52347).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP-Adresse: NETBIOSNAME.
Angegriffener Port: netbios-ssn(139).
|
|
03.07.2009, 22:09
| #4 | ||
| /// AVZ-Toolkit Guru | HiJackThis Log - könnt ihr euch das mal bitte ansehen? Das sind keine Angriffe. Genau aus dem Grund rate ich von Sicherheits Software Suiten ab. Sie bieten nicht mehr Schutz als ein normaler AV Scanner, machen die Leute mit dämlichen Meldungen nevös und wiegen sie in Sicherheit weil ja alles abgewehrt wurde. So ein Schwachsinn. Der "Angreifer" ist die Arcor AG. Zitat:
Diese Meldung: Zitat:
EPMAP (Port tcp 135) ist der sogenannte Endpoint Mapper. Er wird vom DCOM Dienst verwendet. Hosts fragen auf dem Zielrechner dort nach den Diensten und Versionen nach, z.B. DHCP-Server, DNS-Server, WINS-Server. Du kannst DCOM abschalten, wenn du es nicht benötigst. http://support.microsoft.com/kb/825750/de Lass dich nicht verrückt machen und investiere das Geld was du für eine aufgeblasene Security Suite ausgibst lieber in was anderes. Taugen tuen die alle nichts. Und hier noch ein paar Sachen damit der Rechner auch sauber bleibt.. 
Häufig gestellte Fragen: XP | Vista Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
05.07.2009, 12:21
| #5 |
| | HiJackThis Log - könnt ihr euch das mal bitte ansehen? Ich denke schon das es ein Angriff war, denn das die IP's zu Arcor gehören hab ich allein schon an den IP-Adressen gesehen. Code:
ATTFilter Ein unberechtigter Zugriffsversuch "MS ASN1 Integer Overflow TCP" auf Ihren Rechner wurde erkannt und blockiert.
Angreifer: 88.76.108.147(33164).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP-Adresse: NETBIOSNAME.
Angegriffener Port: netbios-ssn(139).
Ein unberechtigter Zugriffsversuch "MSRPC SrvSvc NetApi Buffer Overflow (2)" auf Ihren Rechner wurde erkannt und blockiert.
Angreifer: 84.62.211.31(52347).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP-Adresse: NETBIOSNAME.
Angegriffener Port: netbios-ssn(139).
 Vielen Dank trotzdem für deine Hilfe.. |
|
05.07.2009, 16:22
| #6 |
| /// AVZ-Toolkit Guru | HiJackThis Log - könnt ihr euch das mal bitte ansehen? Verstehe ich jetzt nicht so ganz. Wer soll dich denn mit der IP Addi von Arcor angreifen?Wenn du deinen Rechner in einem DMZ gesteckt hattes (was übrigens eine sau blöde Idee ist) dann ist es doch klar, dass dein Provider direkt zu deinem Rechner verbindet...
__________________ --> HiJackThis Log - könnt ihr euch das mal bitte ansehen? |
|
05.07.2009, 18:03
| #7 | |
| | HiJackThis Log - könnt ihr euch das mal bitte ansehen?Zitat:
Und seit wann bedeutet eine DMZ das mein Rechner sich direkt mit Arcor verbindet? Nach wie vor bezieht der Router IP-Adresse und DNS-Server von Arcor, nicht mein Rechner. Es sei denn im Router wäre die Durchlassfunktion aktiviert und ich würde mich per PPPoE vom Rechner bei Arcor einwählen (was ich nicht getan habe!). Danke trotzdem für die kaum geleistete Hilfe... |
|
| Themen zu HiJackThis Log - könnt ihr euch das mal bitte ansehen? |
| .com, antivirus, bho, cdburnerxp, combofix, excel, explorer, firefox, gefunden.., helper, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, intrusion prevention, ip-adresse, logfile, magix, monitor, mozilla, plug-in, port, realtek, rundll, software, solution, svchost.exe, symantec, system, trojaner, trojaner eingefangen, tuneup.defrag, windows, windows xp |
Linear-Darstellung
