Forum
Tipps
News
Menu-Icon

MS ANS1 Integer Overflow TCP

Hallo .Norton Internet Worm Prodection alamiert plötzlich die ganze Zeit mit der Meldung das jemand versucht auf meinen Port netbios-ssn 139 zuzugreifen ? ??? Als Angreifer nennt er MS ANS1 Integer Overflow TCP ?Risikostufe hoch.Soweit ich sehen konnte wechselt die IP Nummer immer etwas. Was wollen die nur.Hab doch nichts :D Kann evtl. jemand von euch was damit anfangen ? Habe schon gegoogelt,aber leider nur etwas auf englisch gefunden-was ich nicht so wirklich gut kann. Wäre für Hilfe sehr dankbar. mfg campos

« Letzte Änderung: 27.03.06, 21:28:04 von campos »


Antworten zu MS ANS1 Integer Overflow TCP:

Hallo,

prüfe zur Kontrolle deinen PC mal mit einen Online-Scanner.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bieten die folgenden Online-Scanner gute Dienste und liefern zudem eine zweite Meinung. Übrigens, alle laufen nur unter dem Microsoft Internet Explorer und besitzen eine Reinigungsfunktion.

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)

Wenn die Malwarescanner was finden, dann Poste bitte die Scan-Protokolle.

Trend Micro Anti-Spyware, Free Online Spyware Removal Utility,
Nur in Englisch und für Windows XP und 2000
http://www.trendmicro.com/spyware-scan/
(Findet und bereinigt nur Spyware und Adware)
Und wenn möglich poste die Ergebnisse wieder.

Auch der HijackThis-Log ist sehr nützlich.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Bitte erstelle mal ein HijackThis-Log.
Gehe dazu auf die Webseite
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Logfile hier.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Hallo. Danke für die Tipps. Habe alle online Scanner laufen lassen. Haben aber nur zwei Cookies unter Spy gefunden. Habe diese löschen lassen. Das Problem besteht aber weiterhin. Norton alamiert,meldet einen Zugriffsversuch auf port 139,blockiert diesen dann für 30 Minuten.Habe mal hijackthis ausgeführt. Hier die Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 11:36:01, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hoffe ihr könnt damit was anfangen ? Danke für eure bemühungen. mfg campos

Hallo Campos,

du kannst dein Logfile auch selbst überprüfen:

h**p://www.hijackthis.de/ (einfach kopieren und einfügen - danach auf Auserten klicken)

Gruß

Hallo,

dein Log sieht sauber aus.
Da auch die Online-Scanner nichts besonderes finden, sollte keine Gefahr in Verzug sein.
Ich gehe davon aus, das eine legale Anwendung auf deinen PC mit und über netbios reden möchte.
Hast du eine Router zwischen deinen PC und dem Internet?
Wenn ja und eine vorhandene NAT Firewall auf dem Router ist aktiv,
dann bist du recht sicher im Internet unterwegs.
 
Nur diese Norton Meldung
Port netbios-ssn 139 zuzugreifen / Angreifer = MS ANS1 Integer Overflow TCP
ist keine echte Hilfe. Gehen wir mal davon aus, das es hier sich um einen Fehlalarm von Norton handelt.

Die IP-Adresse wäre sehr interessant, hier kann man gut erkennen ob es sich um einen externen oder internen Möchtegern Angreifer handelt.

Lade dir zwecks einer weiteren Kontrolle die ebenfalls kostenlose Software von Ewido herunter und scanne deinen PC damit.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Wenn der Scanner was finden, dann bitte wieder die ausführlichen Ergebnisse hier posten.

Hallo. Danke für deine Bemühungen. Werde den letzten Tipp nochmal ausprobieren. Melde mich dann nochmal-muß gerade arbeiten. Nochmals Danke. mfg campos

Hallo. Also seit ein paar Tagen läuft alles gut. Kein Alarm von Norton mehr.Aber vieleicht weiß einer von euch was es gewesen ist ? Würde mich schon sehr interessieren.Habe mal die Warnung von Norton gepostet.Und nochmals Danke für die Hilfe. mfg campos

 Details: Ein unberechtigter Zugriffsversuch "MS ASN1 Integer Overflow TCP" auf Ihren Rechner wurde erkannt und blockiert.
Angreifer: 80.145.91.132(2543).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP-Adresse: 192.168.2.xxx.
Angegriffener Port: netbios-ssn(139).
 
 

Hmm.. ich als totaler laie muß mich jetzt auch mit dem Problem rumärgern. Gibt es neue Erkenntnise zu dem Problem? Hab leider über Google nichts gefunden was mir geholfen hat. Ein Link zum Thema bei symantec auf ein windows-update brachte leider auch keinen erfolg.
weiss jemand rat?

hallo,
bekomme diese Meldung im Moment auch ständig und habe absolut keine Ahnung von der ganzen Materie.
Wer steckt denn hinter dieser IP-Adresse ? Es ist dieselbe wie oben schon angegeben mit dem Angreifer MS ASN 1.... !
Vielleicht wollen die mit der Warnung nur, dass man ein Virus-Programm kauft, und die schreiben das vielleicht bei vielen Anwendern ? Keine Ahnung !
Gruss
Sabine

hallo ich habe dieses prob auch aber ich denke es hat irgendwas mit MSN windows live messenger und vielleicht das plus paket zu tun weil er mir in meiner meldung auch den genauen knotenpunkt des msn server zeigt und sagt über den ich eingeloggt bin bei msn

Hallo zusammen, ich bin noch ein Ahnungsloser, mit dem selben Problem. "MS ANS1 Integer Overflow TCP" greift meinen PC ca. im Fünf-Minuten-Takt an, mit wechselnder (aber ähnlicher) IP. Ich habe kurz bevor das losging Windows XP neu installiert, auch Norton und den Internet Explorer. Außerdem habe ich ein neues Modem (bin gerade zu Kabel-Deutschland. gewechselt). Sollte jemand die Ursache finden, habe auch ich großes Interesse daran! Beteilige mich auch gern an einer Rache-Aktion ;) Nein, aber freue mich, wenn dieser Nerv endlich wieder weg ist. Vielen Dank und Gruß
Ken

Deinstalliere ihn komplett (Software)
Plattenbereinigung und löschen des Browserverlaufs..
Alle Systemwiederherstellungpunkte löschen und einen neuen erstellen.
Neustart..
Temp Ordner beobachten/kein Eintrag
Alle Systemwiederherstellungpunkte löschen und einen neuen erstellen.
Norton erneut installieren, alle nötigen Online Updates downloaden und einen Vollscan durchführen.
Systemtest.

Hallo ich via Google dieses Thema hier gefunden.

Ich hab vor ca. 20min die Meldung von Norton erhalten das ich von MS ASN1 Integer Overflow TCP angegriffen wurde und das bis jetzt 4 mal. ca im 5 min abstand.
Und jetzt grad kam noch ein "MSRCP SrvSvc NetApi Buffer Overflow (2)" dazu.

Die IPs der beiden ähneln sich, sind aber am schluss leicht verändert, so auch unter den ASN1, da auch immer leicht verändert. Allerdings sind sie mit meiner ähnlich.
Die ersten 5 Ziffern stimmen überein:

80.171.x.xxx

Heute Morgen kam vom Windows die Meldung das ein Update verfügbar ist, was ich runtergeladen hab. War das SP" für Vista.
Könnte es was damit zu tun haben?

Bin echt ratlos was ich machen soll.
Nen Router hab ich nicht, werd ich mir wohl aber bald zulegen wenn das so weiter geht.

Hat vllt. jemand tipps was man machen könnte?

..hast du dir, schon den ganzen Thread von Anfang an durchgelesen..
Norton deinstallieren...noch nicht kapiert.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Von 2006 - 2009 kann sich viel geändert haben, ob es immernoch ein Fehlalarm ist, steht in den sternen.

Sinnvoll wäre es wenn du mal die komplette IP des "Angreifers" postest.

80.171.67.61

Das ist die vom ersten Alarm.

Von MSRCP SrvSvc NetApi Buffer Overflow (2) ist 80.171.87.182 die IP

Und von den anderen Angriffen ändern sich nur die letzten 4 - 5 Ziffern, also 80.171. ist immer gleich.

Hab Norton auch erst seid 1 1/2 Jahren, von daher sind die Probleme von 2006 wohl eher unwahrscheinlich.

Aber wie gesagt hab davon jetzt auch nicht so die Ahnung.

hallo,

80.171.67.61
diese ip gehört zu ALICE DSL

mfg Zidane

« Kaspersky vs. nortonWindows XP: Hilfe bei Logfile-Auswertung »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...