|
verstellte System Uhr - aber alle Scans ohne Befund Hallo. Ich musste heute morgen feststellen das die Systemuhr meines Rechners verstellt war. Statt des aktuellen Datums war das Jahr auf 2080 eingestellt. Das führte dazu das einige Programme, namentlich ZoneAlarm AntiVirus, Icq und java nicht mehr funktionierten. Nachdem ich die Zeit wieder korrigiert habe läuft auch alles wieder einwandfrei. Ich habe daraufhin alle auf meinem System vorhandenen Scanner: ZoneAlarm Antivirus, Spybot und AdAware über mein System laufen lassen und eine Onlineauswertung eines aktuellen Hijackthis-Logs durchgeführt, aber nichts davon ergab einen Befall. Ich führe diese Scans sowieso regelmäßig durch und hab eigentlich seit langem keinerlei Angriffe erkennen können. Ich kann mir nicht vorstellen, dass sich die Systemuhr einfach von selber verstellt haben könnte. Was kann ich noch tun um etwaige Eindringlinge dingfest zu machen? Ich hänge mein hijackthis-log mal an, vielleicht ist ja doch was drin, was dem online-scan nicht auffällt. Logfile of HijackThis v1.99.1 Scan saved at 13:30:42, on 11.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\Program Files\FreePDF_XP\fpassist.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Program Files\Mozilla1.7.5\mozilla.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\dommers\Desktop\HijackThis.exe O1 - Hosts: 88.198.23.134 doomsday.nali.at O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mmtask] "D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKLM\..\Run: [UniUploader] D:\***\privat\WoW\Spiel\World of Warcraft\UniUploader\UniUploader.exe Name entfernt O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [BLASC] "D:\***\privat\WoW\Spiel\World of Warcraft\BLASC\BLASC.exe" Name entfernt O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155821733513 O17 - HKLM\System\CCS\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA838160-2A47-415D-856A-D6FE944C9FE0}: NameServer = 129.217.129.42 O17 - HKLM\System\CS1\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42 O17 - HKLM\System\CS2\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42 O17 - HKLM\System\CS3\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo nochmal, wenn ich mir umsonst Sorgen mache, würd mir das als Antwort auch schon genügen. Ansonsten wär ich auch für jeden anderen Vorschlag zur Überprüfung der Sichheit meines Systems dankbar. Liebe Grüße Sternenschwester |
Also, ich hab den Thread hier schon gestern gelesen und war so ratlos, dass ich die Finger davon gelassen habe. Aber gut. Zur Systemüberprüfung eignet sich am besten eScan. Anleitung findest du in meiner Signatur. f-Secure Blacklight könntest du auch mal laufen lassen. mfg Undoreal |
e-scan ist ebenfalls ohne Befund, f-secure werd ich als nächstes ausprobieren. |
wenn eScan und Blacklight ohne Befunde sind kannst du dein System noch auf ShieldsUp überprüfen lassen und einen scan mit TCP-View machen und uns das logFile posten. Danach halte ich es für einen Fehler im Microsoft Zeitsynchronisationsserver (was aber eigentlich nicht vorkommen darf) oder einen Windoof Bug.. mfg Undoreal |
Ok, also f-secure hat nichts gefunden und bei ShieldsUp hat mein System auch nur brilliert. Ich muss aber gestehen das ich nicht weiß wie ich ein log-file von tcp-view bekomme. Wenn du mir da noch kurz auf die Sprünge helfen könntest wär das super, wobei es mittlerweile wohl echt nach einem Bug aussieht. *hoff |
Hallo, dann gehen wir jetzt die Sache mal richtig an....:Boogie: Also... Ist es seither wieder vorgekommen,das deine Systemzeit verdreht war bzw.nicht die korrekte Uhrzeit angezeigt hat.Minütliche Abweichungen zählen nicht. War der Rechner längere Zeit(Tage,Wochen) aus gewesen,als du die verdrehte Systemzeit bemerkt hast ? Stimmt die Stundenanzeige,wenn du eine längere Rechnerpause hattest(über Nacht beispielsweise) ? Hast du einen Laptop ? Irrlicht |
Hallo, danke für deine Anteilnahme an meinem Problem. 1. Nein, seither hat sich die Systemzeit nicht wieder verstellt, auch keine Minutenabweichungen. 2. Nein, der Rechner war nur über Nacht aus. Und hatte beim morgendlichen hochfahren diese verstellte Jahreszahl. 3. Ich habe seither den Rechner jeden Abend ausgemacht und es ist zu keinen Problemen, auch nicht mit der Stundenanzeige gekommen. 4. Dies hier ist ein Desktop-Rechner und ich besitze keinen Lap-Top, wohl aber einen weiteren Desktop-PC daheim. (Ich weiß nicht worauf die Laptop frage abzielte, deswegen die ausführliche Info.) Und bevor die Frage jetzt ausfkommt, das hier ist kein Firmencomputer, sondern ein Uni-Rechner für den ich selbst verantwortlich bin. Es gibt also keinen Firmen-Netzwerk-Admin dem ich hier ins Werk pfusche. Ich bin jetzt fürs Wochenende erst mal off und werd mal sehen was euch schlauen Köpfen bis dahin eingefallen ist. Gruß Sternenschwester |
just my 2 cents: 1. Änderung der Systemzeit protokollieren (gpedit.msc; Ereignis 520) 2. Schnapp Dir einen Mojito und mache dir erstmal exakt genau keine Gedanken über diesen Vorgang. 3. Kommt es wieder zu einer Änderung der Systemzeit, kontaktiere das Eventlog. Gruß Marc |
Hallo, ich würde jetzt mal den Doktorspruch bringen wollen,der immer dann kommt wenn du deinen Arzt vom Golfspielen abhältst... ..."nehmen sie eine Aspirin und beobachten sie das weiter"...:D Meine Fragen zielten auf die Batterie. Wenn die nämlich anfängt zu schwächeln,ist als erstes meist die Systemzeit am kollabieren..... Das kommt dann gehäuft vor.Da dem aber nicht so zu sein scheint,würde ich von einem unkontrollierten Fingerzucker ausgehen...einfach mal die falsche Taste getroffen..... Die Laptopfrage kam wegen der Einfachheit der Entdeckung der Batterie in einem Towergehäse."Blechkleid" runter und schon siehste alles...:D Beim Lappi ist die Batterie gerne gut versteckt....und der Lappi ebenso gut verschraubt.... Wenn sonst keine Auffälligkeiten sind...> Aspirin.........:) Irrlicht |
Danke Leute, soviel krieg ich auch von zu Hause aus noch dazu beigetragen. *g Dann schütt ich mir mal ein Gläschen Eiswein ein und genieß das Wochenede ganz entspannt. Nachdem mir dann drei Leute gesagt haben es wär wohl nichts, fühl ich mich doch schon fast sicher... Ihr seid einfach dufte. |
*verschieb* :rolleyes: GUA |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board