Hilfe! DCOM Exploit attacken!

fix · 16.11.2004, 19:48

Hallo Leute,

wer kann mir helfen??? Seit zwei Tagen wanrnt mich mein avast!-Virenscanner halbminütlich mit folgendem Text:

Network Shield: blocked "DCOM Exploit" attack from 80.185.xxx.xxx:135/tcp

Im Protokoll sieht das dann ungefähr folgendermaßen aus:

16.11.2004 19:26:13 DCOM Exploit attack
from 80.185.246.32:135
16.11.2004 19:26:34 DCOM Exploit attack
from 80.185.246.32:135
16.11.2004 19:26:58 DCOM Exploit attack
from 80.185.31.253:135
16.11.2004 19:27:00 DCOM Exploit attack
from 80.185.246.32:135
16.11.2004 19:27:36 DCOM Exploit attack
from 80.185.179.190:135
16.11.2004 19:28:50 DCOM Exploit attack
from 80.185.246.32:135
16.11.2004 19:29:40 DCOM Exploit attack
from 80.228.48.117:135
16.11.2004 19:32:16 DCOM Exploit attack
from 80.185.206.68:135
16.11.2004 19:32:19 DCOM Exploit attack
from 80.185.110.118:135
16.11.2004 19:32:21 DCOM Exploit attack
from 80.185.5.172:135

Usw., usw....

Habe HijackThis mal drüber laufen lassen. Hier das log:

Logfile of HijackThis v1.98.2
Scan saved at 19:33:24, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\clevercache\OOCCSVC.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093021818140
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://Z:\Content\include\msSecUcd.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73867A94-8BE3-47B8-8D9D-F546BA5B5392}: NameServer = 194.97.173.124 194.97.173.125

Was ist zu tun?

Vielen Dank im Voraus!!!

chaosman · 16.11.2004, 20:02

@fix

hast du den virenscanner schon mal in abgesicherten modus scannen lassen?

chaosman

Yopie · 16.11.2004, 20:12

Ohne jetzt das HJT-Logfile näher zu begutachten:
Das war eine Meldung von der sog. "lightweight firewall (or more precisely, an IDS (Intrusion Detection System))" von Avast. Sie meldet sich so lautstark, damit Du denkst, dass sie Dich schützt.

Aber auch ohne Leichtgewicht-Brandschutzmauer sollte Dir bei diesem "Kontaktversuch" nichts passieren, wenn Du Dein Netzwerk sicher eingerichtet hast. Alle Patchs (oder Patche?) hast Du ja installiert.

Das dürfte übrigens ein Netzwerkwurm wie z.B. Sasser gewesen sein, der mal bei Dir anklopfte und wissen wollte, ob er sich in Deinem Rechner wohlfühlen würde.

Gruß

Yopie

charlie1 · 16.11.2004, 20:42

Jau, genau, so ist es und wenn sie es nicht machen würde, konntest du ja denken sie ist völlig überflüssig.
Liebe Grüße, Charlie

Dein Log ist ok.

fix · 16.11.2004, 21:35

Danke, danke Leute. Habe trozdem im abgesicherten Modus den Virenscanner mal drüberlaufen lassen. Ergebnis: nix.

Wenn ihr mir also alle sagt, dass ich mich nicht dran stören soll, tu ich das auch nicht. Obwohl es mich nervt. Und vor allem, die Meldungen kommen erst seit vorgestern. Und was ich da schlimmes gemacht haben woll, weiß ich nicht...

Also bis demnächst mal

fix · 16.11.2004, 21:43

Jetzt habe ich mal bei http://combat.uxn.com/
einige IP-Adressen angegeben, die mir der Scanner meledet. Und zum allergrößten Teil sind die von meinem Provider "freenet". Also, was soll das ganze???

Shadowdance · 16.11.2004, 21:58

Servus fix,

wie Yopie schon schrieb: falscher Alarm .. wenn man schon eine Firewall hat, muss man doch auch bemerken, dass man sie hat ;-) Lies Dich mal hier ein: --> Firewall - Rubrik.

Pflichtlektüre zu sicherem Surfen im Netz:

- Vorbeugende Maßnahmen
- Entfernungs-Tools
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de
- faq.underflow.de

SD

charlie1 · 17.11.2004, 02:15

Zitat:

Zitat von fix

Jetzt habe ich mal bei http://combat.uxn.com/
einige IP-Adressen angegeben, die mir der Scanner meledet. Und zum allergrößten Teil sind die von meinem Provider "freenet". Also, was soll das ganze???

Natürlich, da laufen die Scans auf und der schickt sie mit seiner IP zu dir!
LG, Charlie
Ist halt wie eine Anrufumleitung.

fix · 17.11.2004, 16:13

Vielen Dank Euch allen!!!

Hilfe! DCOM Exploit attacken!

Plagegeister aller Art und deren Bekämpfung: Hilfe! DCOM Exploit attacken!