|
Log-Analyse und Auswertung: DCOM Exploit und LSASS in Windows 7Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.09.2010, 21:07 | #1 |
| DCOM Exploit und LSASS in Windows 7 Hallo, das erste mal, dass sich mein PC einen Schädling zugezogen hat. Mein avast! Free Edition meldet mir seit heute Mittag ständig Angriffe. Erst waren es nur DCOM Exploit-Meldungen, grad eben kam auch auch eine LSASS-Meldungen hinzu. Ungefähr alle 5 Minuten ein Angriff. Sehr nervig! Habe mal meine System-Partition gescannt, mit dem Ergebniss, das nichts gefunden wurde. Was kann man da denn machen? Habe mal HijackThis drüberlaufen lassen. Hier das Ergebniss: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:48:55, on 07.09.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe C:\Program Files\Alwil Software\Avast5\AvastUI.exe C:\Program Files (x86)\iTunes\iTunesHelper.exe C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\acrotray.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe G:\Firefox\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: Locate32 Autorun.lnk = ? O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6D4E30F6-32F8-41F2-BC69-70492B2742E9}: NameServer = 213.191.74.19 62.109.123.196 O17 - HKLM\System\CS1\Services\Tcpip\..\{6D4E30F6-32F8-41F2-BC69-70492B2742E9}: NameServer = 213.191.74.19 62.109.123.196 O17 - HKLM\System\CS2\Services\Tcpip\..\{6D4E30F6-32F8-41F2-BC69-70492B2742E9}: NameServer = 213.191.74.19 62.109.123.196 O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: PhenomMsrTweaker service (PhenomMsrTweaker) - Unknown owner - C:\Program Files\PhenomMsrTweaker\PhenomMsrTweakerService.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 9256 bytes Automatische Updates von Windows und avast! sind aktiv. Auch Java, Firefox, Thunderbird, Flash etc. halte ich stets auf dem neuesten Stand. Bin jetzt unsicher, wie ich weiter vorgehen soll. Hatte noch nie nen Computer-Virus (wenns denn einer ist). Vielen Dank fürs lesen ;-) Grüsse |
08.09.2010, 14:22 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | DCOM Exploit und LSASS in Windows 7Zitat:
__________________ |
08.09.2010, 15:42 | #3 |
| DCOM Exploit und LSASS in Windows 7 Diese Warnmeldung erhalte ich andauernd:
__________________Hier mal ein Auszug aus der Logfile: 07.09.2010 21:08:49 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:09:11 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:13:52 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:24:31 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:28:01 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:33:11 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:36:30 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:41:38 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:52:46 DCOM Exploit attack, from 85.xxx.xxx.xx:135 07.09.2010 21:56:36 LSASS Exploit (E2K) attack, from 95.xx.xx.xxx:445 08.09.2010 09:53:10 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 10:01:45 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 14:18:46 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 14:18:59 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 14:42:09 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 14:52:17 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:15:48 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:22:32 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:29:30 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:32:37 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:38:49 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:39:24 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:41:00 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:41:07 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:45:32 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:46:29 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:47:00 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:50:01 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 15:58:39 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 16:01:55 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 16:08:55 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 16:21:50 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 16:23:54 DCOM Exploit attack, from 92.xxx.xxx.xx:135 08.09.2010 16:27:09 DCOM Exploit attack, from 92.xxx.xxx.xx:135 Hilft das weiter? Ich hab heute mal einen Intensivscan im abgesicherten Modus mit avast gemacht und danach Windows Defender drüberlaufen lassen. Ergebniss: Nix. Dennoch erhalte ich andauernd diese Meldungen seit gestern. Vorher hatte ich immer Ruhe. MfG |
08.09.2010, 19:40 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | DCOM Exploit und LSASS in Windows 7 Ist das eine Firewall von Avast? Solche Komponenten kannst Du meist in die Tonne treten, weil solche Meldungen nicht von Belang sind. Zugriff auf Port 135/tcp würde man von außen nur hinbekommen, wenn weder Router verhanden bzw. falsch eingestellt ist noch die Windows-Firewall läuft und Windows auch nicht gepatcht wäre. Ich würde Dir empfehlen, nur einen reinen Virenscanner ohne Desktop-Firewall (Netzwerkschutz wie sich das bei Avast nennt) zu verwenden. Filteraufgaben macht dann ein Router falls noch nicht vorhanden und die Windows-Firewall. Das ist mehr als ausreichender Schutz. Lies einfach mal hier, ich denke dann sollte es etwas klarer werden: Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei? personal firewalls ? Wiki ? ubuntuusers.de NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de microsoft.public.de.security.heimanwender FAQ Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?
__________________ Logfiles bitte immer in CODE-Tags posten |
08.09.2010, 20:31 | #5 |
| DCOM Exploit und LSASS in Windows 7 Habe keine Router, bin bislang mit der Kombination avast + Windows-FW immer gut gefahren. Immer schön alle aktuellen Updates installiert, das hat bisher gelangt. Wuste gar nicht, das avast auch eine Netzwerschutzkomponente hat. Wieder was dazugelernt. Ich "musste" mir leider jetzt erstmal Zone Alarm installieren und die Win-FW deaktivieren. Dann hab ich auch meine Ruhe vor den elenden Meldungen alle 10 Minuten. Nicht schön, aber es läuft halt alles. Was mich wundert, ist die Tatsache, dass ich bisher meine Ruhe hatte und jetzt andauernd diese Meldungen von avast kamen. Von heute auf morgen, ohne jeglichen Grund dafür. MfG Edit: Danke übrigens für deine Antworten |
08.09.2010, 20:59 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | DCOM Exploit und LSASS in Windows 7Zitat:
__________________ --> DCOM Exploit und LSASS in Windows 7 |
08.09.2010, 22:33 | #7 |
| DCOM Exploit und LSASS in Windows 7 So wäre es mir auch lieber. Aber dann habe ich wieder diese nervigen Meldungen. Mal sehe, ob ich bei eBay nen billigen gebrauchten Router finde. |
08.09.2010, 22:56 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | DCOM Exploit und LSASS in Windows 7 Aäh, warum deinstallierst Du nicht einfach diese McAfee Netzwerkkomponente? Die erzeugt diesen sinnfreien Meldungen!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu DCOM Exploit und LSASS in Windows 7 |
5 minuten, adobe, antivirus, avast, avast!, bho, bonjour, erste mal, excel, explorer, firefox, hijack, hijackthis, hängen, internet, internet explorer, lsass.exe, micro, microsoft, mozilla, pdf, plug-in, schädling, software, system32, syswow64, update, windows, windows media player, wmp |