Zitat:

Zitat von chaosman

@Aves

automatische Auswertung in http://www.hijackthis.de/

wobei es immer wieder ausnahmen gibt, wie ich heute abend gelernt habe.

es sind hier im board einige experten unterwegs, die immer wieder vorbei schauen.

werte dein log doch mal selber aus..
du wirst sehen es macht spaß

chaosman

Sache erkannt, nicht schlecht, aber ich glaube, ich bin mehr, auf der anderen Seite, wie immer du es auch sehen möchtest.
Lese mal bitte meinen ersten Beitrag.
LG; Charlie

Nachtrag; Danke.

Zitat:

Zitat von MountainKing

Patche erst mal dein System, weder das Betriebssystem noch der IE sind auf dem aktuellen Stand und beide müssen es sein, eine Grundvoraussetzung für ein halbwegs sicheres System. Da braucht es gar keinen weiteren Trojaner zu geben, die bordeigenen Angriffsfelder reichen völlig.

Was Heike meint, ist, dass dein Rechner wohl eine Sicherheitslücke aufweist, die von der Firewall nicht geschlossen, sondern nur verdeckt wird. Schliesst du die Lücke an der Basis, beispielsweise mit einem Patch, brauchst du auch keine Firewall mehr, um dieses Loch notdürftig zu flicken. Und so ist es mit allen anderen Schädlingen auch, verhindert man eine Infektion, braucht man auch keine Zusatzsoftware, um deren Folgen zu verhindern (was sowieso nicht 100% klappt).

Da hast du einfach recht.
LG; Charlie, und die H. auch!

ich will ja hier nix sagen, aber patchen is nicht so einfach wenn ein paar voraussetzungen nicht erfüllt sind -.-

PN; OK, nein besser eine Mail, denn ich kenne die Board-S
LG; Charlie
prochaskakh@web.de

kannste haben!

was kann ich haben Ò.ó ...

Angriffe hab ich immernoch, ich glaub ich installiere wieder Win98 ...

Das wird an den "Angriffen" nichts ändern.

Ich hatte Dir einen Link zu einer FAQ gepostet, lies sie bitte genau und versuche auch, sie zu verstehen. Solche "Angriffe" sind nun wirklich nicht schlimm, wenn Dein Rechner sicher konfiguriert ist.

Aber ist verrate Dir jetzt mal ein Geheimnis, es gab Zeiten, da dachte ich wie Du, zu der Zeit, als ich hier Mitglied wurde, machten mir Protscanns auch Angst und ich dachte, ich hätte mir einen Trojaner eingefangen.

Hier und auf anderen Boards habe ich gelernt, diese Dinge mit viel mehr Sicherheit zu beurteilen, deshalb kann mich so etwas schon lange nicht mehr ängstigen. Informiere Dich, dann wirst Du diese Sicherheit, das beurteilen zu können, auch erlangen.

Viel Erfolg dabei,
Heike

bin ja grad dabei mich zu informieren ;D

PS: ich hab grad den Security Task Manager drüber laufen lassen und nen Prozess gelöscht, seitdem is nix mehr mit angriffe

Zitat:

nen Prozess gelöscht, seitdem is nix mehr mit angriffe

Wahrscheinlich diesen => C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Nee, im Ernst:
Welchen Prozess hast du gelöscht?

naja, wie gesagt, ich hab ihn gelöscht deshalb kp wie der genau hieß.

das war irgend n überwachunsteil von dem ich noch nie was gehört habe.

PS: seitdem, wenn ich ZoneAlarm beende dauerts n paar minuten wo mir der PC vorkommt als wäre der Arbeitsspeicher voll (obwohl nichts läuft nebenbei) und dann gibts ne fehlermeldung. Wenig später les ich n lustiges Popup das mir erzählt ich soll meine Daten sichern da sich der PC in 1 Minute neustartet. ..... Ahja, und die Angriffe sind immernoch teilweise, aber nichmehr so oft.

Damit ich meine Glaskugel nicht bemühen muß, poste doch nochmal ein neues HJT Log-File.

Hast du dein System jetzt gepatcht?

Lies dir das mal durch und du wirst feststellen, daß eine Desktop Firewall überflüssig ist:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Hmm, klingt nach Blaster, bitte patchen./falls Blaster -> entfernen.
LG; Charlie

Logfile of HijackThis v1.98.2
Scan saved at 00:36:24, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Oleco\_Oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thunderbeavers.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095625775884
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03717536-ED96-4FFC-BECB-13D5D3717367}: NameServer = 213.61.191.70 213.61.191.198
O17 - HKLM\System\CCS\Services\Tcpip\..\{344E7EDE-BC34-46F5-BE83-9C39CF66196D}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{03717536-ED96-4FFC-BECB-13D5D3717367}: NameServer = 213.61.191.70 213.61.191.198

hier is nochmal der log, die beiden "eventuell böse" lösche ich gleich

Hallo Aves,

falls Du überfordert sein solltest, empfehle ich Dir zum Thema 'Angriffe aus dem Netz', Dich hier zu informieren. Unter dem Stichwort "Portscans" findest Du, was Du suchst, und einiges mehr an Information.

Dein System ist noch immer nicht auf dem aktuellen Stand. Bitte besuche www.windowsupdate.com, installiere das neue Service Pack und die aktuelle Version des IE.

Fixe bitte folgende Einträge mit Hijack This im abgesicherten Modus und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst/brauchst, bitte gleichfalls fixen:

(*) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thunderbeavers.com/
(*) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
(*) O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
(*) O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
(*) O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
(*) O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
(*) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
(*) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

(*) O17 - HKLM\System\CCS\Services\Tcpip\..\{03717536-ED96-4FFC-BECB-13D5D3717367}: NameServer = 213.61.191.70 213.61.191.198
(*) O17 - HKLM\System\CCS\Services\Tcpip\..\{344E7EDE-BC34-46F5-BE83-9C39CF66196D}: NameServer = 192.168.121.252,192.168.121.253
(*) O17 - HKLM\System\CS1\Services\Tcpip\..\{03717536-ED96-4FFC-BECB-13D5D3717367}: NameServer = 213.61.191.70 213.61.191.198

Erstelle ein neues Logfile mit Hijack This und poste.

Gruss
Shadowdance

Wie ich unten schon gepostet habe ist das mit dem Updaten nicht so einfach. Damit hat es sich.

Logfile of HijackThis v1.98.2
Scan saved at 13:03:19, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Oleco\_Oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thunderbeavers.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095625775884

@ Aves,

wenn Du nicht updaten kannst, solltest Du Deinen Rechner formatieren und windows neu installieren. Ich zitiere dazu mal wieder MountainKing:

Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

Alles andere als ein Formatieren und Neuaufsetzen des Systems wäre nahezu fahrlässig. Zudem musst du UNBEDINGT dein Surfverhalten überdenken (da du offenbar auch regelmäßig Viren bekommst) und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

Hier noch einige Links:

- PC-Sicherheit
- www.windowsupdate.com
- Browserwechsel
- Entfernungstools von Spyware und Adware


Wenn Du diese Einträge nicht kennst, kannst Du sie noch fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thunderbeavers.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm

Mehr sehe ich momentan nicht auf Deinem Rechner.

Gruss
Shadowdance