Blaster Effekt Kein Scanner findet was. [HijackThis Check]

#1 Hallo Leute,

ich habe seit langem mal wieder ein Problem, besser gesagt ein Freund hat es.

Er hatte also den Blaster Effekt. Rechner muß heruntergefahren werden. Sie haben 15 sekunden Zeit... . Nun haben sämtliche Viren/Adwarechecker (AV Pe, EScan, Norton, Adaware, AVG) nix gefunden auch keine verdächtigen Prozesse finden sich im Taskmanager bzw. in diesem Taskmanagertool was noch mehr als die üblichen Prz. auflistet. Nur AVG hat folgenden Trojaner gefunden. "Trojan Horse AH/Dialer" versteckt in der "Information.exe" Kann es an diesem Trojaner geleden haben? Wohl eher nicht oder? Seit dem (gestern) ist es noch nicht wieder passiert ich möchte aber schon jetzt vorbeugen da ich nicht glaube das dieser Trojaner der Grund war.

Deshalb hier ein HijackThis Log von meinem Kollegen mit der Bitte falls etwas nicht i.O. ist uns zu helfen?

Thx @ all

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 22:11:14, on 22.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\GetRight\GETRIGHT.EXE
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\PROGRA~1\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\PROGRA~1\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{188756B3-CD73-4EAD-8C07-2CACD44C448A}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{188756B3-CD73-4EAD-8C07-2CACD44C448A}: NameServer = 217.237.151.33 217.237.149.225




No virus found in this outgoing message.
Checked by AVG Anti-Virus.
Version: 7.0.289 / Virus Database: 265.4.1 - Release Date: 19.11.2004

#2 Die typischen Blaster-(oder z.B. auch Sasser-) Symptome müssen nicht unbidingt bedeuten, dass der Rechner tatsächlich infiziert ist. Der Buffer Overflow, der zum besagten Absturz-Countdown führt, wird ja "von außen" vom Internet aus hervorgerufen. Zu einer Infektion kommt es dabei nicht immer.

Jedenfalls muss dein Freund die Sicherheitslücken seines Rechners schließen, um das Problem zu beheben. D.h. Patches installieren, verwundbare Dienste beenden und/oder jeglichen eingehenden Netzverkehr an die verwundbaren Dienste blockieren (durch Firewall oder Router).

edit: ich sehe gerade, dass die Kerio4 installiert ist... das sollte eigentlich reichen, sofern sie richtig konfiguriert ist. Überprüf mal, ob die Kerio richtig arbeitet.

Das Log sieht übrigens erfrischend sauber aus.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Ich denke er ist auf jeden Fall so versiert das die Kerio sauber arbeitet. Gerade darum ist es ja unverständlich.
Ich werde ihn mal fragen ob er alle Patches drauf hat aheb ich doch gestern glatt vergessen.

Mir fällt ein; müßte nicht in der Ereognisanzeige evtl was drin stehen? Gibt es ander Möglichkeiten Crash´s nachzuvollziehen?

MfG

#4 Ja, in der Ereignisanzeige könnte was drinstehen.

Also wenn die Kerio korrekt läuft und konfiguriert ist, kann eigentlich nix "von außen" den Rechner zum Absturz bringen (sprich kein Blaster, Sasser etc.)
Ich würde an deiner Stelle seinen Rechner mal mit einem Portscanner durchscannen, um zu schauen, ob trotz Kerio irgendein Port offen ist.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 Ich glaube er hat Emule auf diesem Rechner zu laufen. Sprich ein paar Ports sind definitv offen. Ich werde mal den symantec Online Portscan machen das sollte reichen ?

MfG

#6 Tja also der Kollege hat sich entschieden sein System neu aufzusetzen. Damit hat sich das Problem natürlich erstmal erledigt.

Ich danke an dieser Stelle und falls sich nun wieder so etwas ereignen sollte werde ich mich hier wieder melden.

THX @ forge77


MfG