Seltsamer vorfall gestern abend. War es ein Angriff?

#0
29.10.2004, 21:17
...neu hier

Beiträge: 8
#1 Hallo zusammen.

war schon komisch gestern. Mein Bruder surfte im Netz und plötzlich wechselte windows in das klassische Design um. Alle Programme beendeten die Verbindung mit dem Internet, aber de Rechner selbst blieb online, wie an den beiden Monitoren im Systemtry zu erkennen war. Es ließ sich kein Programm mehr starten. Windos reagierte auf rein gar nichts mehr. Neugestartet wurde letztlich mit reset.

Ich poste hier die letzen 3 Minuten vor dem Vorfall und hoffe, dass ihr mich aufklären könnt. Habe doch zu wenig Erfahrung:

Zitat

22:36:31: \Device\avgntdd: Filename cache cleared by client!.
22:37:46: Port A is down
22:37:54: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.
22:37:54: Der Ereignisprotokolldienst wurde gestartet.
22:37:54: Der Ereignisprotokolldienst wurde gestartet.
22:38:59: Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 000EA6544830 wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist IPadresse.
22:39:28: Bei DCOM ist der Fehler "Die Dienstdatenbank ist gesperrt. " aufgetreten, als der Dienst "ImapiService" mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden: {520CCA63-51A5-11D3-9144-00104BA11C5E}
22:39:28: Bei DCOM ist der Fehler "Die Dienstdatenbank ist gesperrt. " aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
22:39:28: Bei DCOM ist der Fehler "Die Dienstdatenbank ist gesperrt. " aufgetreten, als der Dienst "netman" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E}
22:39:29: Bei DCOM ist der Fehler "Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden. " aufgetreten, als der Dienst "upnphost" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {204810B9-73B2-11D4-BF42-00B0D0118B56}
22:39:29: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode.
22:29:29: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode.
22:29:35: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Terminaldienste" gesendet.
22:39:35: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".
22:39:35: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.
22:39:35: Dienst "AntiVir Service" befindet sich jetzt im Status "Beendet".
22:39:35: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".
22:39:56: Der Benutzer "einwahlnummer@t-online.de" hat eine Verbindung mit "T-Online" hergestellt, unter Verwendung des Geräts "PPPoE8-0".
22:39:58: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode.
22:39:58: Bei DCOM ist der Fehler "Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden. " aufgetreten, als der Dienst "upnphost" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {204810B9-73B2-11D4-BF42-00B0D0118B56}
22:40:00: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode.
22:40:00: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode.
22:40:00: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode.
22:40:08: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "HWIONT" gesendet.
Gruß Memfis
Dieser Beitrag wurde am 30.10.2004 um 12:45 Uhr von Memfis editiert.
Seitenanfang Seitenende
31.10.2004, 02:02
...neu hier

Themenstarter

Beiträge: 8
#2 Danke für deine Antwort.

Naja, gegen das SP2 habe ich bissel was, weil es neben Patchs auch neue, nervige Dinge enthält. Außerdem zocke ich sehr gerne alte Spiele und habe Angst, dass die danach nimmer laufen.

Habe aber alle Patchs von winupdate drauf und zusätzlich das SP1.8 vom Winboard, das erstaunlicherweise nochmal NEUE Patchs aufspielte, die vorher, laut log nicht drauf waren.

Wie kann ich nun rausfinden, ob sich ein Trjaner oder ähnliches eingeschlichen hat?
AntiVir und housecall.antivirus fanden nichts. Kann ich jetzt darauf vertrauen, dass das System noch sauber ist, oder würdet ihr eine Neuinstallation von Windows empfehlen? Können die anderen Partitionen so bleiben wie sind?
Was kann ich tun um sowas zu verhindern? Alle Patchs habe ich, Terminaldienste sind jetzt deaktiviert, Zone Alarm 4.5 habe ich auf "Mittel" stehen (weil sonnst der Zweitrechner net ins Netz kommt)
Ich nutze außerdem hin und wieder Tauschbörsen (Bit Torrent), beispielsweise um die Demo von Topknallern, wie NFS-Underground 2 zu saugen (aktuell), weil die Server ja beim Realise hoffnungslos überlastet waren.

Gruß Memfis

P.S. Was kann man eigentlich daraus lesen:

Zitat

{204810B9-73B2-11D4-BF42-00B0D0118B56}
Wird ja für irgendwas stehen.
Dieser Beitrag wurde am 31.10.2004 um 02:11 Uhr von Memfis editiert.
Seitenanfang Seitenende
31.10.2004, 02:51
Member

Beiträge: 14
#3 also : hab mal nen kumpel gefragt er meinte dass windows brenn funktion
auf treiber zu greifen will die auch nero burning rom benutzt (haste gell?)

also : die empfelung : www.xp-antispy.org wählen, dad tool downloaden.......
un den müll deaktivieren .... ImapiService deaktivieren
oder windows brenn funktion ... dann gehts ;)
Seitenanfang Seitenende
31.10.2004, 17:29
...neu hier

Themenstarter

Beiträge: 8
#4 Öhm, ja, Nero 5.5. aber das habe ich schon Jahren und da ab es nie Probleme. Glaube ehrlich auch nicht, dass Nero daran schuld sein soll, weil was will Nero mit dem Terminaldienst anfangen?

Zitat

22:39:35: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".
Noch eine Frage: Was ist Port A?
Da finden ab und an Aktionen statt. (mal up, mal diwn)
Dieser Beitrag wurde am 31.10.2004 um 17:32 Uhr von Memfis editiert.
Seitenanfang Seitenende
31.10.2004, 21:01
Member

Beiträge: 686
#5 In so einem Fall könnte ein HijackThis - Logfile helfen.

http://www.hijackthis.de/hijackthis_198.zip

Runterladen-Starten-Logfile hier rein.

R.
Seitenanfang Seitenende
31.10.2004, 22:19
Member

Beiträge: 14
#6 also: nero un der terminal dienst nutzen die selben treiber :also wir dad ding weg (WER NERO HAT BRENNT NET MIT WINDOOF)
Seitenanfang Seitenende
01.11.2004, 02:52
...neu hier

Themenstarter

Beiträge: 8
#7 Ähm, tja. Habe das Programm gestartet und auf "scan" geklickt. Zeigt ne ganze Latte an, aber ich weis ehrlich nichts damit anzufangen. Einiges kommt mir bekannt vor, aber nicht alles. Einige Programme kenne ich vom autostart her und sind wichtig, andere sind mir nichtssagend. Was kann ich den mit dem Teil jetzt anfangen?
Seitenanfang Seitenende
01.11.2004, 12:13
Member

Beiträge: 686
#8 Hier hin kopieren. Wenn du mal in die Rubrik "Viren, Trojaner..." kuckst, da findest du nur solche Logs.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: