Probleme mit Angriffen eines Wurms namens Lovesan,Logfile an
2 Beiträge • Seite 1 von 1
Probleme mit Angriffen eines Wurms namens Lovesan,Logfile an
von I_Robot am 22.05.2005, 12:05
Hallo an alle,
ich habe probleme mit angriffen, von einem wurm namens LOVESAN. Sobald ich ins netz gehe meldet mir Kaspersky Anti-Virus:
"Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt."
Wenn ich diese meldung wegklicke kommt immer wieder eine neue und das hört nicht mehr auf, dabei wechselt die ip des angreifers.
Habe schon mein Antivirus Progi (Kaspersky AntiVirus Personal) durchlaufen lassen ohne erfolg, kein virus gefunden. Das Tool fixblast habe ich auch durchlaufen lassen ebenfalls ohne erfolg.
Ich hatte 2 Prozesse mit dem namen svchost.exe blockiert. Der eine Prozess mit der remote adresse ...dip.t-dialin.net und der andere mit einer ip addy.
Die Meldung von Kaspersky " Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt blieb aus.
Die Prozesse versuchten mehrmals in der minute zuzugreifen wurden aber von meiner firewall blockiert.
Nachdem ich auf eine interseite mit dem namen ogame gegangen bin, meldete antivir sofort wieder einen angriff.
Jetzt habe ich das selbe problem wie vorher, ich glaube nicht das es an dieser oben genannten site liegt, bin tage zuvor auch ohne probleme auf dieser site gewesen.
Kann es sein das ein port bei mir offen ist und dieser wurm versucht auf meinen rechner zuzugreifen?
Ich kenne mich mit meiner firewall noch nicht so gut aus bzw wenn meine firewall ein prog nennt was eine eingehende/ausgehende verbindung benötigt kann ich nicht immer bestimmen was das genau für eine anwendung ist. Soll man die blockieren oder nicht.
Hatte vorher die Personal Firewall von norton die anwender freundlicher ist.
Habe unter ausführen---> cmd--->netstat noch einige eigenartige remoteadressen gefunden
Hier meine Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:18:43, on 22.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX20.838\HijackThis.exe
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3337233794
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B019F0B-072D-4191-A809-B2310CE09700}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Ich hoffe ihr könnt mir weiterhelfen!
Ich danke schon einmal im vorraus!!!
ich habe probleme mit angriffen, von einem wurm namens LOVESAN. Sobald ich ins netz gehe meldet mir Kaspersky Anti-Virus:
"Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt."
Wenn ich diese meldung wegklicke kommt immer wieder eine neue und das hört nicht mehr auf, dabei wechselt die ip des angreifers.
Habe schon mein Antivirus Progi (Kaspersky AntiVirus Personal) durchlaufen lassen ohne erfolg, kein virus gefunden. Das Tool fixblast habe ich auch durchlaufen lassen ebenfalls ohne erfolg.
Ich hatte 2 Prozesse mit dem namen svchost.exe blockiert. Der eine Prozess mit der remote adresse ...dip.t-dialin.net und der andere mit einer ip addy.
Die Meldung von Kaspersky " Der Netztangriff Lovesan von der Adresse (Ip des angreifers) wurde erfolgreich abgewehrt blieb aus.
Die Prozesse versuchten mehrmals in der minute zuzugreifen wurden aber von meiner firewall blockiert.
Nachdem ich auf eine interseite mit dem namen ogame gegangen bin, meldete antivir sofort wieder einen angriff.
Jetzt habe ich das selbe problem wie vorher, ich glaube nicht das es an dieser oben genannten site liegt, bin tage zuvor auch ohne probleme auf dieser site gewesen.
Kann es sein das ein port bei mir offen ist und dieser wurm versucht auf meinen rechner zuzugreifen?
Ich kenne mich mit meiner firewall noch nicht so gut aus bzw wenn meine firewall ein prog nennt was eine eingehende/ausgehende verbindung benötigt kann ich nicht immer bestimmen was das genau für eine anwendung ist. Soll man die blockieren oder nicht.
Hatte vorher die Personal Firewall von norton die anwender freundlicher ist.
Habe unter ausführen---> cmd--->netstat noch einige eigenartige remoteadressen gefunden
Hier meine Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:18:43, on 22.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX20.838\HijackThis.exe
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3337233794
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B019F0B-072D-4191-A809-B2310CE09700}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Ich hoffe ihr könnt mir weiterhelfen!
Ich danke schon einmal im vorraus!!!
- I_Robot
- Beiträge: 25
- Registriert: 10.09.2004, 14:06
von Nikita am 23.05.2005, 14:11
Hallo@I_Robot
ich bin mir nicht sicher, aber hast du auch im Protecus-Forum dein Problem geschildert? Ist es dort geloest worden?
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
ich bin mir nicht sicher, aber hast du auch im Protecus-Forum dein Problem geschildert? Ist es dort geloest worden?
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
2 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste