seltsames Verhalten |
||
|---|---|---|
| #0
| ||
|
30.12.2003, 08:43
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
30.12.2003, 18:48
...neu hier
Themenstarter Beiträge: 3 |
#2
Hi Raman,
sorry das es so lange gedauert hat aber es gibt Leute ide auch heute noch arbeiten ;-) Also der Onlinevirenncheck von Bitdefender war negativ (es wurde nichts gefunden). Hier das Log von Hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 18:41:51, on 30.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Jana2\janad.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\program files\lotus\notes\ntmulti.exe C:\mysql\bin\mysqld-nt.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\ctfmon.exe C:\Temp\DynDNS.exe C:\mysql\bin\winmysqladmin.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\System32\taskmgr.exe C:\Dokumente und Einstellungen\Torsten\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [DynDNS Updater] "C:\Temp\DynDNS.exe" O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://webmail.dainese.com/iNotes.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37870.117650463 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8524889-2FDE-4E4D-A26E-BBEEC24C8575}: NameServer = 145.253.2.203 145.253.2.139 Ich hab nichts verdächtiges entdeckt aber das Tool ist mir ja auch noch neu :-) Danke im vorab für das prüfen |
|
|
|
|
|
|
30.12.2003, 18:54
Moderator
Beiträge: 7805 |
#3
Das Log ist sauber, ergo Rechner neu aufsetzen!
 Kein "rumdoktorn" an einem Server. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
30.12.2003, 19:30
...neu hier
Themenstarter Beiträge: 3 |
#4
Danke für das checken
Ich hab befürchtet das du sowas sagen würdest. Na ja dann muß ich noch ein zwei Tage damit leben und dann den Plattenkauf vorziehen (jetzt hab ich wenigstens einen Grund ;-) ) Nochmals danke |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich hab seit einiger Zeit ein seltsames Verhalten auf meinem Server. Die Kiste hat eine Wndows XP -Prof. Installation mit allen verfügbaren Servicepacks und Patches etc. die es bei MS gibt. Ich benutze diesen Rechner als Webserver, Mailserver und FTP-Server. Anfänglich gab es auch keine Probleme doch als ich mit einen dyndns eintrag geholt habe fing die Kiste an zu spinnen. Das war vor ca vier Wochen. Es begann damit das die Kiste unendlich viele Fehlermeldungen (als Popups) produzierte und meine sie könnte die Mail "xyz" nicht versenden. Da der Server von der Performance am Abrauchen war hab ich ihn neu gestartet und anschließend mit Noten Antivirus , SpyBot und Ad Aware gecheckt aber nichts gefunden. Einige Tage später hatte ich das selbe Verhalten. Ich hab den Admin des Webservers geöffnet und im Monitor gesehen das über 200 Verbindugen offen waren. Also hab ich den Server wieder neu gestartet und erneut gecheckt aber nichts gefunden. Ich war mir schon ziemlich sicer das es ein Hackerangriff gewesen war und hab mir hilfe im Serverforum gesucht (ich benutze einen Jana2-Server). Nach einen checkup der Konfiguration durch einen der Entwickler des Jana-Servers konnten wir ausschließen das diese Mailgeschichte über meinen Mailserver lief.
Als Reaktion auf diesen "angriff" wechselte ich die Firewall von Sygate 5.x auf Kerio 4.x. Seit dieser zeit habe ich keine Angriffe (wenn es denn welche waren) mehr erlebt.
Nun zu meinen aktuellen Problem:
Auf diesem Server läuft auch ein Mysql-Server. Ich wollte gestern über die Eingabeaufforderung einen neue Datenbank einspielen und mußte feststellen das sich XP Standhaft weiget mir mit den Kommando "cmd" einen Eingabeaufforderung zu öffnen. Ich werde darauf hingewiesen das ich zuwenig Rechte besitze (ich hab Adminrechte auf den Server). Interessanterweise funktioniert das Kommando "command" welches ja unter Win98 die Eingabeaufforderung öffnete ohne Probleme. Ich bekomme eine Eingabeaufforderung doch alle Befehle die ich absetze verschwinden im Nirgendwo (werden nicht bestätigt und es passiert auch nichts).
Also hab ich wieder das System gecheckt aber nichts gefunden. Auf meinem Entwicklungssystem (ebenfalls Win-XP aber ohne die Serveraufsätze) läuft der Befehl "CMD".
Hat jemand ne Idee was das sein könnte ? Ich hab den Server erstmal wieder vom Netz genommen (*grummel* schon das vierte Mal in 6 Wochen ).
Für jede Idee oder Hilfe währe ich dankbar.