|
services.exe möchte ins internet ... Hallo zusammen, seit ein paar Tagen möchte eine 'services.exe' eine verbindung per udp ins internet. Per Firewall (Outpots Pro) verhindere ich das ganze. Blocke ich die 'services.exe' ganz, geht das internet nicht mehr, blocke ich den zugriff pro Anfrage einmalig, geht das Internet weiter. Weiterhin wird konstant alle 30 sekunden (!) ein udp-zugriff geblockt, gelegentlich meldet Outpost einen Angriff auf exakt die udp-ports, über die die 'services.exe' eine verbindung haben möchte ... Ich habe vieles ausprobiert: Kaspersky Antivirus Personal Pro = nichts, F-Prot Trial = nichts, HiJack This -automatische Auswertung = zumindest für mich nichts erkennbares. Hat jemand eine Idee zu meinem Problem? I use Win2k mit SP02, Opera 7.54, Outpost Pro, Kaspersky Antivirus Personal Pro 5 |
Schau mal hier: http://frankn.com/html/services_exe.php Also eigentlich ein wichtiger Windows-Prozess. Poste aber mal bitte ein HijackThis-Log zur Sicherheit. Direktdownload: http://filepony.de/download-hijackthis/ Anleitung: http://www.trojaner-board.de/51130-anleitung-hijackthis.html Um "überflüssige" Dienste und Ports zu deaktivieren, schau Dir diese Seiten mal an: http://ntsvcfg.de/ und: http://dingens.org/ Gruß Andy |
Hallo, hier ist das Teil: Logfile of HijackThis v1.99.1 Scan saved at 00:34:07, on 17.02.2005 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\DRIVERS\dcfssvc.exe C:\WINNT\System32\svchost.exe d:\Programme\FSI\F-Prot\fpavupdm.exe D:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe D:\Programme\Adobe\Acrobat\Distillr\AcroTray.exe D:\Programme\HP OfficeJet G Series\bin\hpodev07.exe D:\Programme\Fritz!\IWatch.exe D:\Programme\PQ\DataKeeper\DataKeeper.exe D:\Programme\SpamPal\spampal.exe D:\Programme\combit\amw\tm.exe d:\PROGRA~1\HPOFFI~1\bin\hpoevm07.exe C:\WINNT\System32\hpoipm07.exe d:\programme\HP OfficeJet G Series\bin\HPOSTS07.exe d:\programme\HP OfficeJet G Series\bin\HPOFXM07.exe D:\Programme\wincmd\TOTALCMD.EXE C:\WINNT\system32\NOTEPAD.EXE D:\Programme\Opera\opera.exe C:\WINNT\system32\ntvdm.exe D:\Programme\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [diagx] C:\WINNT\System32\runservice.exe %srun% O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [F-StopW] d:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKCU\..\Run: [runservicex] C:\WINNT\System32\runservice.exe %srun% O4 - Startup: DataKeeper.lnk = D:\Programme\PQ\DataKeeper\DataKeeper.exe O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: FRITZ!fax.lnk = D:\Programme\Fritz!\FriFax32.exe O4 - Global Startup: HPAiODevice.lnk = D:\Programme\HP OfficeJet G Series\bin\hpodev07.exe O4 - Global Startup: ISDNWatch.lnk = D:\Programme\Fritz!\IWatch.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{13509507-3E99-468B-8958-6A2DFD945107}: NameServer = 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C2DC742-1FA6-4E38-BEEE-947274013714}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{13509507-3E99-468B-8958-6A2DFD945107}: NameServer = 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{13509507-3E99-468B-8958-6A2DFD945107}: NameServer = 194.25.2.129 O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINNT\System32\DRIVERS\dcfssvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - d:\Programme\FSI\F-Prot\fpavupdm.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - D:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe Ich hoffe du findest etwas ... :o) |
Ich hoffe immer, dass ich nichts finde.... Du solltest zuerst Dein System updaten! http://www.windowsupdate.com/ Falls nicht geschehen, den Hintergrundwächter Deines AV-Programmes aktivieren und ggf. das Programm updaten. Danach bitte erneut ein HijackThis-Log posten. |
Oha, ich weiß, das Win2k-Servicepack 02 ist nicht mehr so ganz up-to-date ... das mache ich morgen. (Viel müd jetzt :o) ) Meine verwendeten Scanner sind allerdings immer up-to-date, sonst könnte ich das ja auch lassen. Aber informativ wollte ich euch noch mitteilen, daß das angewählte Ziel immer die udp-Adresse 194.25.2.161 ist ... in google fand ich nichts darüber, aber vielleicht kennt ihr das ja Schöne Grüße notroja :o) |
Das KÖNNTE die Adresse Deiner Fritz-Box sein, schau mal in die Einstellungen derselben. Bzw. im Browser mal "fritz.box" eingeben (ohne ""). |
Zitat:
|
Zitat:
Deswegen www.windowsupdate.com (das bitte mit dem veralteten 5er machen) |
@cronos hast ja Recht... Zitat:
|
Ihr schaut mir aber auch überall hin, he? Naja, der ist fast nur noch aus kompatibilitätsgründen drauf, ansonsten verwende ich opera ... Vielen Dank an euch für heute :o) |
nochmal ich: Habe ich das richtig gelesen? Hinter 194.25.2.161 steckt die Telekom? Ich habe DSL von denen ... wie sollte ich das alles verstehen? |
Na, dann ist doch prima! Dein Browser muss sich doch wo "einwählen" und ne Telekom-IP ist doch dann genau richtig. |
Nee, jetzt komm ich doch noch nicht in die Federn! Der PC hängt hinter einem Router im LAN paralell zu einem ausstattungs- und baugleichen PC. Dort spielte die services.exe nie eine Rolle, Wie schon gesagt - sein ein paar Tagen meldete sich hier immer die Firewall mit der services.exe, und im Firewall-Log steht alle 30 sekunden ein Verbindungsversuch ... da komm ich nicht mehr ganz mit! Was hat sich denn auf diesem PC verändert? Und woher weiß ich, daß hinter dieser IP wirklich mein Provider Telekom steckt? Wo kann ich das nachsehen? Hmmm... |
Also, Du bist anscheinend gut geschützt durch den Router. Zur IP sieh Dir mal die Liste an: http://www.fx3.org/faq/t-online.dns.txt Auch die andere IP in Deinem Log gehört der Telekom. Mach Dir mal keine so großen Sorgen. Nu, ab in die Federn.... Gruß Andy |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:22 Uhr. |
Copyright ©2000-2024, Trojaner-Board