Trojaner-Board - McAfee-1600 blockierte Ereignisse heute!

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - McAfee-1600 blockierte Ereignisse heute! (https://www.trojaner-board.de/22635-mcafee-1600-blockierte-ereignisse-heute.html)

McAfee-1600 blockierte Ereignisse heute!

Hallo!
Hoffe hier kennt sich jemand mit McAfee aus....
Also, ich habe letzte Woche mein System auf Vordermann gebracht. War auch nichts "wildes" drauf außer ein paar Adwares.
So weit alles bereinigt und okay (... mit Hilfe v. HJT Support-board )
Aber seitdem alles okay ist (ca 3 Tage) habe ich ungewöhnliche "Aktivitäten", die mir meine McAfee Firewall blockt.

Nun wollte ich mich mal um noch mehr Sicherheit kümmern und die mir angezeigten Ereignisse genauer anschauen.
So richtig komme ich damit aber nicht klar. Woher bekomme ich die Info, was gut oder schlecht (also zu sperren) ist?
Erstmal muss ich ja davon ausgehen, dass alles was McAfee an Ereignissen blockt schlecht ist, oder?
Was hat es mit den ICM Pings auf sich. Was bedeutet es, wenn jemand an meinen PC ein Pingsignal schickt?

Nun, seit gestern habe ich also ein paar IP Adressen gesperrt.
Unter anderem eine, die alle 10- 30 Sekunden (!) was anderes sendet und alle Anschlüsse numerisch durchprobiert.
Heute hat meine Firewall alleine unter dieser IP 1600 !!! (bis jetzt) Ereignisse geblockt
Was um Himmels Willen tickert den ganzen Tag hier und will an meinen PC???
Erst hab ich gedacht, ein wichtiges Programm sucht jetzt nach nem offenen Eingang, aber eine IP die sowas als Ereignistext hat kann doch nicht okay sein, oder?
(unter anderem, das ist nur ein Beispiel)
2005/10/10 11:05:58 - 205.188.7.144 - BackDoor G Trojan / SubSeven Trojan/Apocalypse Trojan

Das was in der McAfee eigenen Hilfe steht ist ja wohl mehr als ärmlich.

Vielleicht hat ja jemand eine Anleitung/Erklärung für mich ;-)

Ich sage es gleich, ich habe nur mäßig Ahnung vom PC ....also nicht lachen, wenn das "Problem" für Euch Profis lächerlich erscheint ;-)

LG
DoWhat?

@DoWhat
hört sich nicht gut an.
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493
und scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492
ergebnisse wie in der anleitung beschrieben posten.

chaosman

@chaosman: Servus!!

@DoWhat & @ chaosman:
Komisch, das ist eine AOL-IP.
cacatoa

@cacatoa
Was ist daran komisch?
Vielleicht Zufall, dass ich auch bei AOL bin?

Code:

Logfile of HijackThis v1.99.1

Scan saved at 21:33:02, on 10.10.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Programme\CPUCooL\CooLSrv.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE

C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe

C:\Programme\PestPatrol\PPMemCheck.exe

C:\Programme\PestPatrol\CookiePatrol.exe

C:\Programme\ZyXEL\Odyssey Client for ZyXEL\OdTray.exe

C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\system32\atwtusb.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\TBLMOUSE.EXE

C:\Programme\ZyXEL Technology Corporation\ZyAIR G-220 Utility\ZDWlan.exe

C:\Programme\BHODemon 2\BHODemon.exe

C:\Dokumente und Einstellungen\Bianca\Eigene Dateien\Meine empfangenen Dateien\hijackthis_199\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://junikids2002.de/juniboard/portal.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe

O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\ZyXEL\Odyssey Client for ZyXEL\OdTray.exe"

O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
 
 

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe

O4 - Startup: hpothb07.dat

O4 - Startup: hpothb07.tif

O4 - Global Startup: ZDWlan.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Odyssey Client for ZyXEL (odClientService) - Funk Software, Inc. - C:\Programme\ZyXEL\Odyssey Client for ZyXEL\odClientService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

eScan:

Code:

System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.

System found infected with 007guard.com hijacker Spyware/Adware (plugin.dll)! Action taken: Keine Aktion vorgenommen.

Mon Oct 10 23:38:44 2005 => ***** Scan vollständig. *****

 

Mon Oct 10 23:38:44 2005 => Gescannte Dateien: 94789

Mon Oct 10 23:38:44 2005 => Gefundene Viren: 2

Mon Oct 10 23:38:44 2005 => Anzahl der desinfizierten Dateien: 0

Mon Oct 10 23:38:44 2005 => Umbenannte Dateien: 0

Mon Oct 10 23:38:44 2005 => Anzahl der gelöschten Dateien: 0

Mon Oct 10 23:38:44 2005 => Anzahl Fehler: 76

Mon Oct 10 23:38:44 2005 => Zeit vergangen: 01:45:19

Mon Oct 10 23:38:44 2005 => Virus Datenbank Datum: 2005/10/10

Mon Oct 10 23:38:44 2005 => Virus Datenbank Zähler: 153309

 

Mon Oct 10 23:38:44 2005 => Scan vollständig.

Meine Güte, dass ist gar nichts, Helfer, macht doch bitte mal nicht die neuen Hilfesuchenden verrückt!
Da hat einfach mal einer, da ja Ferienzeit, einen IP/Portscanner gefunden und den gestartet.
Jede PsFW, meldet die Pings.
Aber, dass ist ja keine Gefahr, da hat nur einer an die Türklinke gedrückt und gemerkt, die Tür ist zu, also, weiter zur nächsten.

Das ist doch alles Kinderei und keine Gefahr, einfach nur ärgerlich und nervend.
Ihr könnt das auch an der eigenen IP testen.

Für Microsoft:

@ echo off
set count =%x
start / b ping IP -/ 65500 -h 30
if not “%count% = =” xxxxx “ goto loop
; end

Für Linux.

- f < ip >
Syntaxfehler sind beabsichtigt, damit ich mit den Moderatoren keinen Ärger bekomme!

Liebe Grüße, Charlie

Nachtrag: bitte die Linuxversion nicht antesten, denn mit der richtigen Bandbreite, geht jeder angewählte Win- PC in Knie, haben wir gerade getestet, im LAN.
LG, Charlie

Hallo @charlie1
Heisst das ich muss nur abwarten bis derjenige das endlich aufgibt?
Das geht nun schon 3 Tage so *heul*

Ja, erreichen kann er eh nix.
LG, Charlie
Du hast ja hoffentlich, die Exe nicht aufgamacht, da dir ja auch keine angeboten wurde?!

*lol* eine exe die mir nicht mal angeboten wurde kann ich auch schwerlich öffnen ;)

Nein, mal im Ernst: hab da nix bekommen zum Öffnen!
Mach ich sowieso generell nicht...nix von unbekannten...nicht mal wegen nem Klassentreffen :lach:

ALso warte ich ab.
Stoppen kann ich sowas dann ja wohl nicht ....
Mal nebenbei, was und wozu ist ein Portscanner gut? Nur für böse Absichten ?

@ cronos
Danke für den Link ... aber bei soviel Fachchinesisch hab ich nicht wirklich eine
für mich akzeptable Antwort daraus ziehen können. :)

In Cronos Link, steht alles was man über Scanner wissen sollte.
LG,Charlie

@DoWhat
lade spybot, updaten, in den abgesicherten modus scannen lassen, müßte CWS finden und löschen.

007guard.com hijacker Spyware/Adware (plugin.dll)
http://securityresponse.symantec.com...e.2search.html
datei in den abgesicherten modus löschen, neu booten

chaosman

Danke erstmal an alle.
Ich habe gerade mal ein bissi herumprobiert. Vielleicht kann jemand dazu auch was sagen.
"Es" fängt nur an bei einem bestimmten AOL Namen.
Ich dachte so ein Portscan hängt mit dem PC (IP Adresse?) zusammen und nicht mit einem bestimmten Usernamen....

LG
DoWhat

@chaosman
Habe beide Punkte abgearbeitet und nichts gefunden. :)
Mittlerweile denke ich, das sind klassische Fehlmeldungen.
waol gehört ja zu AOL
und die plugin.dll zu meinem grafikprogramm