Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   verstellte System Uhr - aber alle Scans ohne Befund (https://www.trojaner-board.de/37864-verstellte-system-uhr-alle-scans-ohne-befund.html)

Sternenschwester 11.04.2007 12:41

verstellte System Uhr - aber alle Scans ohne Befund
 
Hallo.

Ich musste heute morgen feststellen das die Systemuhr meines Rechners verstellt war. Statt des aktuellen Datums war das Jahr auf 2080 eingestellt. Das führte dazu das einige Programme, namentlich ZoneAlarm AntiVirus, Icq und java nicht mehr funktionierten. Nachdem ich die Zeit wieder korrigiert habe läuft auch alles wieder einwandfrei.

Ich habe daraufhin alle auf meinem System vorhandenen Scanner: ZoneAlarm Antivirus, Spybot und AdAware über mein System laufen lassen und eine Onlineauswertung eines aktuellen Hijackthis-Logs durchgeführt, aber nichts davon ergab einen Befall.
Ich führe diese Scans sowieso regelmäßig durch und hab eigentlich seit langem keinerlei Angriffe erkennen können.

Ich kann mir nicht vorstellen, dass sich die Systemuhr einfach von selber verstellt haben könnte. Was kann ich noch tun um etwaige Eindringlinge dingfest zu machen?

Ich hänge mein hijackthis-log mal an, vielleicht ist ja doch was drin, was dem online-scan nicht auffällt.


Logfile of HijackThis v1.99.1
Scan saved at 13:30:42, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Mozilla1.7.5\mozilla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\dommers\Desktop\HijackThis.exe

O1 - Hosts: 88.198.23.134 doomsday.nali.at
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] "D:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [UniUploader] D:\***\privat\WoW\Spiel\World of Warcraft\UniUploader\UniUploader.exe Name entfernt
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [BLASC] "D:\***\privat\WoW\Spiel\World of Warcraft\BLASC\BLASC.exe" Name entfernt
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155821733513
O17 - HKLM\System\CCS\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA838160-2A47-415D-856A-D6FE944C9FE0}: NameServer = 129.217.129.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CS2\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O17 - HKLM\System\CS3\Services\Tcpip\..\{11FDE0A8-31BB-4E54-AA8C-85AADCB82CAD}: NameServer = 129.217.129.42,129.217.159.42
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sternenschwester 12.04.2007 14:38

Hallo nochmal,
wenn ich mir umsonst Sorgen mache, würd mir das als Antwort auch schon genügen.
Ansonsten wär ich auch für jeden anderen Vorschlag zur Überprüfung der Sichheit meines Systems dankbar.

Liebe Grüße
Sternenschwester

undoreal 12.04.2007 14:53

Also, ich hab den Thread hier schon gestern gelesen und war so ratlos, dass ich die Finger davon gelassen habe. Aber gut. Zur Systemüberprüfung eignet sich am besten eScan. Anleitung findest du in meiner Signatur. f-Secure Blacklight könntest du auch mal laufen lassen.

mfg

Undoreal

Sternenschwester 13.04.2007 10:47

e-scan ist ebenfalls ohne Befund, f-secure werd ich als nächstes ausprobieren.

undoreal 13.04.2007 15:09

wenn eScan und Blacklight ohne Befunde sind kannst du dein System noch auf ShieldsUp überprüfen lassen und einen scan mit TCP-View machen und uns das logFile posten.

Danach halte ich es für einen Fehler im Microsoft Zeitsynchronisationsserver (was aber eigentlich nicht vorkommen darf) oder einen Windoof Bug..

mfg

Undoreal

Sternenschwester 13.04.2007 17:54

Ok, also f-secure hat nichts gefunden und bei ShieldsUp hat mein System auch nur brilliert. Ich muss aber gestehen das ich nicht weiß wie ich ein log-file von tcp-view bekomme.
Wenn du mir da noch kurz auf die Sprünge helfen könntest wär das super, wobei es mittlerweile wohl echt nach einem Bug aussieht. *hoff

irrlicht 13.04.2007 18:29

Hallo,
dann gehen wir jetzt die Sache mal richtig an....:Boogie:
Also...
Ist es seither wieder vorgekommen,das deine Systemzeit verdreht war bzw.nicht die korrekte Uhrzeit angezeigt hat.Minütliche Abweichungen zählen nicht.
War der Rechner längere Zeit(Tage,Wochen) aus gewesen,als du die verdrehte Systemzeit bemerkt hast ?
Stimmt die Stundenanzeige,wenn du eine längere Rechnerpause hattest(über Nacht beispielsweise) ?
Hast du einen Laptop ?
Irrlicht

Sternenschwester 13.04.2007 19:24

Hallo, danke für deine Anteilnahme an meinem Problem.

1. Nein, seither hat sich die Systemzeit nicht wieder verstellt, auch keine Minutenabweichungen.
2. Nein, der Rechner war nur über Nacht aus. Und hatte beim morgendlichen hochfahren diese verstellte Jahreszahl.
3. Ich habe seither den Rechner jeden Abend ausgemacht und es ist zu keinen Problemen, auch nicht mit der Stundenanzeige gekommen.
4. Dies hier ist ein Desktop-Rechner und ich besitze keinen Lap-Top, wohl aber einen weiteren Desktop-PC daheim. (Ich weiß nicht worauf die Laptop frage abzielte, deswegen die ausführliche Info.)

Und bevor die Frage jetzt ausfkommt, das hier ist kein Firmencomputer, sondern ein Uni-Rechner für den ich selbst verantwortlich bin. Es gibt also keinen Firmen-Netzwerk-Admin dem ich hier ins Werk pfusche.

Ich bin jetzt fürs Wochenende erst mal off und werd mal sehen was euch schlauen Köpfen bis dahin eingefallen ist.

Gruß
Sternenschwester

MightyMarc 13.04.2007 19:35

just my 2 cents:

1. Änderung der Systemzeit protokollieren (gpedit.msc; Ereignis 520)
2. Schnapp Dir einen Mojito und mache dir erstmal exakt genau keine Gedanken über diesen Vorgang.
3. Kommt es wieder zu einer Änderung der Systemzeit, kontaktiere das Eventlog.

Gruß

Marc

irrlicht 13.04.2007 19:37

Hallo,
ich würde jetzt mal den Doktorspruch bringen wollen,der immer dann kommt wenn du deinen Arzt vom Golfspielen abhältst...
..."nehmen sie eine Aspirin und beobachten sie das weiter"...:D
Meine Fragen zielten auf die Batterie.
Wenn die nämlich anfängt zu schwächeln,ist als erstes meist die Systemzeit am kollabieren.....
Das kommt dann gehäuft vor.Da dem aber nicht so zu sein scheint,würde ich von einem unkontrollierten Fingerzucker ausgehen...einfach mal die falsche Taste getroffen.....
Die Laptopfrage kam wegen der Einfachheit der Entdeckung der Batterie in einem Towergehäse."Blechkleid" runter und schon siehste alles...:D Beim Lappi ist die Batterie gerne gut versteckt....und der Lappi ebenso gut verschraubt....
Wenn sonst keine Auffälligkeiten sind...> Aspirin.........:)
Irrlicht

Sternenschwester 13.04.2007 20:21

Danke Leute,

soviel krieg ich auch von zu Hause aus noch dazu beigetragen. *g

Dann schütt ich mir mal ein Gläschen Eiswein ein und genieß das Wochenede ganz entspannt.

Nachdem mir dann drei Leute gesagt haben es wär wohl nichts, fühl ich mich doch schon fast sicher...

Ihr seid einfach dufte.

GUA 14.04.2007 06:36

*verschieb* :rolleyes:

GUA


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131