DCOM Exploit und LSASS in Windows 7

Relax12 · 07.09.2010, 21:07

Hallo,

das erste mal, dass sich mein PC einen Schädling zugezogen hat. Mein avast! Free Edition meldet mir seit heute Mittag ständig Angriffe. Erst waren es nur DCOM Exploit-Meldungen, grad eben kam auch auch eine LSASS-Meldungen hinzu. Ungefähr alle 5 Minuten ein Angriff. Sehr nervig! Habe mal meine System-Partition gescannt, mit dem Ergebniss, das nichts gefunden wurde. Was kann man da denn machen?

Habe mal HijackThis drüberlaufen lassen. Hier das Ergebniss:
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:48:55, on 07.09.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
 
Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
G:\Firefox\HiJackThis204.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Locate32 Autorun.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D4E30F6-32F8-41F2-BC69-70492B2742E9}: NameServer = 213.191.74.19 62.109.123.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{6D4E30F6-32F8-41F2-BC69-70492B2742E9}: NameServer = 213.191.74.19 62.109.123.196
O17 - HKLM\System\CS2\Services\Tcpip\..\{6D4E30F6-32F8-41F2-BC69-70492B2742E9}: NameServer = 213.191.74.19 62.109.123.196
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PhenomMsrTweaker service (PhenomMsrTweaker) - Unknown owner - C:\Program Files\PhenomMsrTweaker\PhenomMsrTweakerService.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
 
--
End of file - 9256 bytes

--- --- ---

Automatische Updates von Windows und avast! sind aktiv. Auch Java, Firefox, Thunderbird, Flash etc. halte ich stets auf dem neuesten Stand.

Bin jetzt unsicher, wie ich weiter vorgehen soll. Hatte noch nie nen Computer-Virus (wenns denn einer ist).

Vielen Dank fürs lesen ;-)

Grüsse

cosinus · 08.09.2010, 14:22

Zitat:

Mein avast! Free Edition meldet mir seit heute Mittag ständig Angriffe. Erst waren es nur DCOM Exploit-Meldungen, grad eben kam auch auch eine LSASS-Meldungen hinzu. Ungefähr alle 5 Minuten ein Angriff.

Wir wärs mal wenn Du die Meldungen wortgenau postest?

Relax12 · 08.09.2010, 15:42

Diese Warnmeldung erhalte ich andauernd:

Hier mal ein Auszug aus der Logfile:

07.09.2010 21:08:49 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:09:11 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:13:52 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:24:31 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:28:01 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:33:11 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:36:30 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:41:38 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:52:46 DCOM Exploit attack, from 85.xxx.xxx.xx:135
07.09.2010 21:56:36 LSASS Exploit (E2K) attack, from 95.xx.xx.xxx:445
08.09.2010 09:53:10 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 10:01:45 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 14:18:46 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 14:18:59 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 14:42:09 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 14:52:17 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:15:48 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:22:32 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:29:30 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:32:37 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:38:49 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:39:24 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:41:00 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:41:07 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:45:32 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:46:29 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:47:00 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:50:01 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 15:58:39 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 16:01:55 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 16:08:55 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 16:21:50 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 16:23:54 DCOM Exploit attack, from 92.xxx.xxx.xx:135
08.09.2010 16:27:09 DCOM Exploit attack, from 92.xxx.xxx.xx:135

Hilft das weiter?

Ich hab heute mal einen Intensivscan im abgesicherten Modus mit avast gemacht und danach Windows Defender drüberlaufen lassen. Ergebniss: Nix. Dennoch erhalte ich andauernd diese Meldungen seit gestern. Vorher hatte ich immer Ruhe.

MfG

cosinus · 08.09.2010, 19:40

Ist das eine Firewall von Avast?
Solche Komponenten kannst Du meist in die Tonne treten, weil solche Meldungen nicht von Belang sind. Zugriff auf Port 135/tcp würde man von außen nur hinbekommen, wenn weder Router verhanden bzw. falsch eingestellt ist noch die Windows-Firewall läuft und Windows auch nicht gepatcht wäre.

Ich würde Dir empfehlen, nur einen reinen Virenscanner ohne Desktop-Firewall (Netzwerkschutz wie sich das bei Avast nennt) zu verwenden. Filteraufgaben macht dann ein Router falls noch nicht vorhanden und die Windows-Firewall. Das ist mehr als ausreichender Schutz.

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Relax12 · 08.09.2010, 20:31

Habe keine Router, bin bislang mit der Kombination avast + Windows-FW immer gut gefahren. Immer schön alle aktuellen Updates installiert, das hat bisher gelangt.

Wuste gar nicht, das avast auch eine Netzwerschutzkomponente hat. Wieder was dazugelernt.

Ich "musste" mir leider jetzt erstmal Zone Alarm installieren und die Win-FW deaktivieren. Dann hab ich auch meine Ruhe vor den elenden Meldungen alle 10 Minuten. Nicht schön, aber es läuft halt alles.

Was mich wundert, ist die Tatsache, dass ich bisher meine Ruhe hatte und jetzt andauernd diese Meldungen von avast kamen. Von heute auf morgen, ohne jeglichen Grund dafür.

MfG

Edit: Danke übrigens für deine Antworten

cosinus · 08.09.2010, 20:59

Zitat:

Ich "musste" mir leider jetzt erstmal Zone Alarm installieren und die Win-FW deaktivieren.

Andersrum wärs definitiv besser. Also ZoneAlerm deinstallieren, Windows-Firewall aktivieren.

Relax12 · 08.09.2010, 22:33

So wäre es mir auch lieber. Aber dann habe ich wieder diese nervigen Meldungen. Mal sehe, ob ich bei eBay nen billigen gebrauchten Router finde.

cosinus · 08.09.2010, 22:56

Aäh, warum deinstallierst Du nicht einfach diese McAfee Netzwerkkomponente?

Die erzeugt diesen sinnfreien Meldungen!

08.09.2010, 22:56	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	DCOM Exploit und LSASS in Windows 7 Aäh, warum deinstallierst Du nicht einfach diese McAfee Netzwerkkomponente? Die erzeugt diesen sinnfreien Meldungen! __________________ Logfiles bitte immer in CODE-Tags posten

DCOM Exploit und LSASS in Windows 7

Log-Analyse und Auswertung: DCOM Exploit und LSASS in Windows 7