|
Hilfe! DCOM Exploit attacken! Hallo Leute, wer kann mir helfen??? Seit zwei Tagen wanrnt mich mein avast!-Virenscanner halbminütlich mit folgendem Text: Network Shield: blocked "DCOM Exploit" attack from 80.185.xxx.xxx:135/tcp Im Protokoll sieht das dann ungefähr folgendermaßen aus: 16.11.2004 19:26:13 DCOM Exploit attack from 80.185.246.32:135 16.11.2004 19:26:34 DCOM Exploit attack from 80.185.246.32:135 16.11.2004 19:26:58 DCOM Exploit attack from 80.185.31.253:135 16.11.2004 19:27:00 DCOM Exploit attack from 80.185.246.32:135 16.11.2004 19:27:36 DCOM Exploit attack from 80.185.179.190:135 16.11.2004 19:28:50 DCOM Exploit attack from 80.185.246.32:135 16.11.2004 19:29:40 DCOM Exploit attack from 80.228.48.117:135 16.11.2004 19:32:16 DCOM Exploit attack from 80.185.206.68:135 16.11.2004 19:32:19 DCOM Exploit attack from 80.185.110.118:135 16.11.2004 19:32:21 DCOM Exploit attack from 80.185.5.172:135 Usw., usw.... Habe hijackthis mal drüber laufen lassen. Hier das log: Logfile of HijackThis v1.98.2 Scan saved at 19:33:24, on 16.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\clevercache\OOCCSVC.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093021818140 O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://Z:\Content\include\msSecUcd.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{73867A94-8BE3-47B8-8D9D-F546BA5B5392}: NameServer = 194.97.173.124 194.97.173.125 Was ist zu tun? Vielen Dank im Voraus!!! |
@fix hast du den virenscanner schon mal in abgesicherten modus scannen lassen? chaosman |
Ohne jetzt das HJT-Logfile näher zu begutachten: Das war eine Meldung von der sog. "lightweight firewall (or more precisely, an IDS (Intrusion Detection System))" von Avast. Sie meldet sich so lautstark, damit Du denkst, dass sie Dich schützt. Aber auch ohne Leichtgewicht-Brandschutzmauer sollte Dir bei diesem "Kontaktversuch" nichts passieren, wenn Du Dein Netzwerk sicher eingerichtet hast. Alle Patchs (oder Patche?) hast Du ja installiert. Das dürfte übrigens ein Netzwerkwurm wie z.B. Sasser gewesen sein, der mal bei Dir anklopfte und wissen wollte, ob er sich in Deinem Rechner wohlfühlen würde. Gruß :daumenhoc Yopie |
Jau, genau, so ist es und wenn sie es nicht machen würde, konntest du ja denken sie ist völlig überflüssig. Liebe Grüße, Charlie Dein Log ist ok. :D |
Danke, danke Leute. Habe trozdem im abgesicherten Modus den Virenscanner mal drüberlaufen lassen. Ergebnis: nix. Wenn ihr mir also alle sagt, dass ich mich nicht dran stören soll, tu ich das auch nicht. Obwohl es mich nervt. Und vor allem, die Meldungen kommen erst seit vorgestern. Und was ich da schlimmes gemacht haben woll, weiß ich nicht... Also bis demnächst mal |
Jetzt habe ich mal bei http://combat.uxn.com/ einige IP-Adressen angegeben, die mir der Scanner meledet. Und zum allergrößten Teil sind die von meinem Provider "freenet". Also, was soll das ganze??? |
Servus fix, wie Yopie schon schrieb: falscher Alarm .. wenn man schon eine Firewall hat, muss man doch auch bemerken, dass man sie hat ;-) Lies Dich mal hier ein: --> Firewall - Rubrik. Pflichtlektüre zu sicherem Surfen im Netz: - Vorbeugende Maßnahmen - Entfernungs-Tools - IE sicher konfigurieren und Browser-Sicherheit - Einschränktes Benutzerkonto: www.ntsvcfg.de. - www.mathematik.uni-marburg.de - faq.underflow.de SD |
Zitat:
LG, Charlie Ist halt wie eine Anrufumleitung. |
Vielen Dank Euch allen!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board