|
svchost spielt verrückt Hallo , ich hab seit 4 Tagen ein spezial Problem , meine Firewall (Outpost 1.x Free) meldet ca. alle 5 - 10 min. einen Verbindungsversuch von svchost auf die Wahnwitzigsten Adressen z.b. a.relaunch.focus.de,ak.tfag.de,cdn.valueclick.com um die drei häufigsten zu nennen. Meine bisherige Vorgangsweiße Antivirus Kaspersky findet nichts. Ad-Aware und Spybot finden nichts. Hijackthis logfile ist auch in Ordnung. Googeln -> Erfolglos Windows ist up2date ich bin mittlerweile echt ratlos weil ich mir Sorgen mache einen Trojaner oder ähnlich eingfangen zu haben. Bitte um Eure Hilfe ! DANKE |
Hi, erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This |
Logfile of HijackThis v1.99.0 Scan saved at 19:16:19, on 15.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\bcmwltry.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe D:\Programme\TVgenial\TVgenial.exe C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE D:\Programme\GetRight\getright.exe D:\Programme\GetRight\getright.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\alg.exe C:\WINNT\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\test\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Mir :) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU) O9 - Extra 'Tools' menuitem: &PicGrab starten - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU) O9 - Extra button: PicGrab - {B43D0B5A-1E6A-4DBA-8155-70F45D404C40} - C:\Programme\PicGrab\iestarter.exe (HKCU) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}: NameServer = 195.70.224.45 213.90.38.3 O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\system32\NMSSvc.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
*correcture* ich habe aufgrund dieses durcheinanderen postings nicht den Troj/Delf-BZ gesehen. er hat backdoor funktionalität. dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig. installiere windows neu und beachte diese Anleitung |
was weißt denn auf diesen trojaner hin ? |
na an O4 - Global Startup: GetRight - Tray Icon.lnk = |
getright ist ein downloadmanager der bei mir im tray liegt, oder tarnt sich das ding ? wie kann man sich das einfangen ? |
Zitat:
Wo hast Du denn gelesen, dass das ein Starteintrag für Trojaner ist? Gruß :daumenhoc Yopie |
@Chris14 bitte vertraue nicht auf die automatische Auswertung, v.a. nicht, wenn es um die Erkennung von spezifischer Malware geht... Im Zweifelsfall eScan o.ä. zu Rate ziehen. mfg Haui |
moment mal... kann es sein das ich mich irre? argh... ich habe mich geirrt. das kann ja garnet sein... sorry für meine 2. fehlanalyse.. dann nehme ich das ganze zurück mit dem backdoor^^ lag daran, dass du das log so komisch gepostet hast und ich wiedermals auf autom.log vertraut hab (das ding erkennt solche krummen logs natürlich nicht, und hält alles dann für verschiedene trojaner.. nargh, noch ein grund, darauf nicht zu vertrauen) aber ok.. 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit hijackthis diesen eintrag: O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}: 3.dateien löschen -lösche natürlich alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues hijackthis log @haui45 & yopie thx für die korrektur. bisher habe ich mich teils eben auf den autom.log verlassen und dann nachgeprüft, ob es der wahrheit entspricht.diesmal habe ich den 2.part übergangen. nya noch ein grund, nicht mehr darauf zu vertrauen. |
Zitat:
Gruß :daumenhoc Yopie |
bist dir sicher das es gut ist 017 zu fixen,dann hab ich doch keinen dns mehr oder ?? schön langsam bin ich ein wenig verzweifelt :( escan läuft aber mals,aber findet nix.zwischenzeitlich hat meine firewall kurz gestreikt und prompt hatte ich die datei bla.exe auf c:\ ich google grade, aber ich denk das hilft mir vl. weiter ? |
Nein, den O17-Eintrag solltest du nicht fixen :) Das Log schaut sauber aus, jedoch wäre es schön, wenn du mal eines ohne die ganze Absätze posten könntest, dann schau ich's mir nochmal an. Zitat:
|
hier nochmal mein logfile, keine ahnung was da vorhin schief gangen ist. also kaspersky sagt das mein pc sauber ist. Logfile of HijackThis v1.99.0 Scan saved at 19:16:19, on 15.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\bcmwltry.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe D:\Programme\TVgenial\TVgenial.exe C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE D:\Programme\GetRight\getright.exe D:\Programme\GetRight\getright.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\alg.exe C:\WINNT\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\test\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Mir O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU) O9 - Extra 'Tools' menuitem: &PicGrab starten - {A4816EC1-47D5-4E3E-BA71-DD8FF549A302} - C:\Programme\PicGrab\iestarter.exe (HKCU) O9 - Extra button: PicGrab - {B43D0B5A-1E6A-4DBA-8155-70F45D404C40} - C:\Programme\PicGrab\iestarter.exe (HKCU) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binar...ro.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binar...ot.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{990F8B21-6D8F-4CD5-92D2-8167FF023ECE}:NameServer = 195.70.224.45 213.90.38.3 O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\KasperskyAnti-Virus Personal\kavsvc.exe O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\system32\NMSSvc.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
Ich kann im Log nichts gefährliches entdecken. Den MessengerPlus würde ich deinstallieren, aber das hat nichts mit deinem Problem zu tun. Hast du diese "bla.exe" überprüft? Ergebnis? Du kannst ja mal mit eScan scannen, für den Fall, dass dein Virenscanner schon "zerschossen" wurde. Hast du schonmal die Verbindungen deines PC's nach außen geprüft, z.B. mit TCPView oder netstat (Win-Taste+R -> "cmd" -> "netstat -?" für Hilfestellung) |
ich kann eben auch nix erkennen. hat der auch so spyware zeugs drin oder ? hab ich überprüft mehrfach, alles sauber. ich hab weiters mit housecall und kaspersky ist eig. auch schon der ersatzscanner ich hab normal avg auch a² liefert ein negatives ergebnis :( irgendwie stimmt mich das alles nachdenklich, ein bug in der outpost ? was könnte es sein ? tcpview liefert, soweit ich das beurteilen kann,keine bedenklichen ergebnisse. |
escan meldet meint,das alles sauber ist :( |
naja gut. dein system sieht wieder sauber aus auch vom log her. das escan nix gefunden hat, ist doch gut ;) bedeutet für dich, dass keine bekannten trojaner auf deinem system sind. für die zukunft: -anderen browser wie firefox oder opera verwenden -nachdem du mit progs wie von www.dingens.org oder www.ntsvcfg.de windows sicher konfiguriert hast, die firewall deinstallieren (wenn du die progs benutzt hast, passiert auch sowas mit "bla.exe" nicht mehr, da ja dann alle ports geschlossen sind) |
Zitat:
|
nargh.. zuviele threads auf einmal.. das ist ja nicht das mit istsvc sondern der mit dem autom.log.. argh ;) ich verwechsle auch mal was^^ |
ich verwende firefox, mein windows ist mit www.ntsvcfg.de konfiguriert und ich verwende eine firewall die mir jahre lang gute dienste geleistet hat,also kanns von daher nix sein oder ? manchmal wünsch ich mir wirklich , es würd nur mehr linux geben *ärgern tu* |
ist mein system nun kompromittiert ? :( kann mir noch wer helfen ? sollt ich neu aufsetzten,oder darf ich mich wieder ins inet trauen ? fragen über fragen :heulen: |
Neu aufsetzen ist immer gut :blabla: Ernsthaft, HijackThis und eScan sind negativ ausgefallen. Das, was mich beunruhigt, ist diese bla.exe, zu der du leider nichts mehr geschrieben hast. |
ich weiß ;) laut online av und kaspersky am pc ist die bla.exe sauber, aber wo kommt sie her ? ich mein irgendwas musst das ding ja runtergeladen haben ? p.s. ich dachte ich habs schon erwähnt gehabt,das die datei sauber is ? :dummguck: p.p.s jez hab ich gerade versucht mich ins internet zu bewegen und hab keine ip adresse vom dhcp bekommen, zufall oder kann das was aussagen ? nach einem neustart hats funktioniert. :balla: |
ich vermute, dass ein hacker kurzzeitigen zugriff zu deinem system hatte. dies war bei mir damals der fall; in windows 98 hatte ich durch einen hacker diverse parite's bekommen. ich öffnete keinerlei mails, mit denen drin. der aber unmittelbare beweis für den hacker war der ordner "Du N0000b" - ich habe sofort neuinstalliert und diverse Sicherheitsseiten durchgeschaut. Es war ganz einfach, Port 139 war offen - und somit das system offen für jeden. es wäre gut möglich, dass sich ungefähr dieses Szenario aufgrund einer funktionsstörung der Agnitum Outpost Firewall eingetreten ist. Denn auch Windows XP hat nach der installation die netbios-ports sowie andere diverse Ports geöffnet. Eine firewall schließt die ports, aber durch einen wurm von außen oder eine sicherheitslücke in der firewall selbst, ist es möglich, in das system einzudringen. sicherer ist es, gleich windows zu konfigurieren, dass er erst garkeine ports fürs internet zur verfügung stellt. deswegen rate ich auch von den desktop-firewalls ab. nun zur bla.exe selbst: ich habe verschiedene vermutungen der datei: -sie ist eine neue selbstprogrammierte backdoorart. -sie ist einfach nur ein witz, wie bei mir den ordner "du N00B" -nun eine die eventuell nicht auf hacker sondern auf malware zutrifft - durch den port 135 auf den computer gelangt (wie der rbot und solche backdoors) |
aber wenn ich mich an www.ntsvcfg.de halte ,dann sollten doch die gefährlichsten sachen ausgeschalten sein ? dazu noch ein wenig xpantispy und die sache schaut eig. recht gut aus,oder lieg ich falsch ? zum thema desktop firewall, ich weiß das das ding nicht das gelbe vom ei ist,aber sind wir uns mal ehrlich wer hier im forum hat schon das nötige kleingeld für eine ipx o.ä. ?? also ich hätts gern ;) p.s. kurz zeitiger zugriff erklärt aber nicht,das die svchost zu verschiedenste adressen auf aberwitzige ports conecten will oder ?? |
mit desktop-firewalls meine ich sowas wie norton internet security nur damit wir uns nicht missverstehen^^ router sind natürlich immernoch sicherer. und jep, das beides sollte die systemsicherheit erhöhen. allerdings ist aufgrund fehlender anhaltspunkte nicht festzustellen, ob dritte zugriff auf deinen PC haben, oder du eine unbekannte neue malware-backdoor art drauf hast. die bla.exe macht mir eben sorgen.. doch und das ist meine größte sorge dabei; wenn meine theorie stimmt, dann hat der hacker oder was auch immer die svchost.exe eventuell durch eine virusinfizierte ersetzt. nachprüfen der gesamten datei wäre nur für microsoft möglich, alle viren und trojaner erkennt escan nie und nimmer.. es wäre also möglich, dass wir es mit neueren trojaner oder anderer neuerer malware zutun haben. ich würde bei diesem risiko mein windows neuinstallieren. |
hm,d.h. nachtschicht und neuaufsetzn *schauder* :pfui: ja,mir machts auch sorgen,drum wollt ich hier im board nachfragen,weil ich mit meinem latein so ziemlich am ende bin,vorallem wo das ding herkommt ist mir ein rätsel, ie nie benutzt, kein mailclient drauf, system so weit wie möglich sicher konfiguriert und doch so ein sch.... backdoor drauf ? :( ich sags ja man sollt sich nicht auf windows einlassen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board