Hi,
Hast du nicht Lust hier ein kleines Workarount zu posten... es gibt einige Leute mit demselben Problem...
Regards
Edgar
Hi,
Hast du nicht Lust hier ein kleines Workarount zu posten... es gibt einige Leute mit demselben Problem...
Regards
Edgar
Aaaalso:
Nervige Norton Firewall-Meldung sinnvoll loswerden in 4 einfachen Schritten:
1. Symptome: Norten Internetsecurity 2005 oder artähnlich gibt im Minutentakt zu Protokoll, dass der PC von außen Attakiert wurde. Die IP des Angreifers wechselt immer.
Beispiel:
Uhrzeit: 16:50
Datum: 11.03.2005
Zugriffsversuch: MS_WINDOWS_LSASS_RPC_DS_Request
Angreifer: 217.82.65.151 (2581)
Risikostufe: Hoch.
Angegriffene IP: *Name* (217.82.*x*.*x*)
Angegr. Port: microsoft-ds(445)
1a. Scannen auf Sasser/Sorber (das kann es nämlich, glaubt man der google-Suche, auch sein)& allgemeiner Viruscheck bleiben ohne Befund.
2. HiJackthis: Starte HiJackThis, mach nen Systemscan
2a. In meinem Fall verursachte die Datei "alrsvc.exe" die ständigen Angriffe, wenn ihr diese im Log findet, fixt sie. Genauso zu fixen ist alles was DSNX enthält und verdächtig erscheint. Denkt auch hier daran, den logfile zu safen.
2b. Bei mir sahen Einträge im log so aus, die habe ich gefixt:
C:\WINDOWS\system32\alrsvc.exe
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\system32\alrsvc.exe
2c. Es handelt sich hierbei um einen Trojaner, genannt "Troj/DSNX-05" (info)
3. Search and Destroy: Wie hier beschrieben vorgehen:
Windows NT/2000/XP
Unter Windows NT/2000/XP müssen Sie folgenden Registrierungseintrag bearbeiten. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. .
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinDSNX =
<Windows System>\<Name des Trojaners>
und löschen Sie ihn, sofern er existiert.
Schließen Sie den Registrierungseditor.
3a.Außerdem habe ich noch sämtliche Verweise auf "alrsvc.exe" aus der Registrierung gelöscht. Am besten exportiert man die Registry vorher sicherheitshalber, falls man was falsches löscht.
4. Hopes and Fears: Neustarten, Internet wieder an und die Firewall müsste Ruhe geben.
Bei Rückfragen/Unklarheiten postet hier rein, ich stehe euch mit Rat und Tat zur Seite!
Gruß, powdergod_ab
Hi,
... hab ich also recht gehabt...Orginal von powdergod_ab
... In meinem Fall verursachte die Datei "alrsvc.exe" die ständigen Angriffe, wenn ihr diese im Log findet, fixt sie...
Aber auf jeden Fall mal THX für das Posting... das sollte die Vorgehensweise jetzt deutlich machen...
Regards
Edgar
habe das gleiche problem mit outpost
dauernde angriffe auf port 135-139 und 445 immer laufendes
scannen mit einer fortlaufenden ip z.b 87.145*** 87.146.***
und dann kommt auf irgendeinen port der verbindungsversuch
z.b 1025 oder so mit der richtigen ip z.b 217.blablabla
im obigen genannten tutoriel,dieser prozess läuft net bei mir
system winxp
virus: gdata
firewall. outpost
jemand ne idee?
PS: habe versucht das netzwerk von den port 445 zu entbinden mit einer anleitung,hat aber nix gebracht.
Hi,
... einfach mal Spybot Search and Destroy und Hijackthis das System überprüfen lassen... und schauen was die beiden Programme finden...
Regards
Edgar
nichts!
hab ewido drüber laufen lassen und hijackthis ausgeführt,
da ist kein verdächtiger starteintrag,alles bestens!
prozesse sind auch keine verdächtigen am laufen!
noch ne andere idee?
Berechtigungen
Zitieren