Hallo zusammen, Zuerst einmal "Entschuldigung", dass dieser Thread seeeeeeehr lang ist (und ich den genauso bei MCSE-board.de abgestellt habe ;-)). habe seit gestern folgendes Problem: XP SP2 auf Core2Duo auf Intel 975 Chipsatz, Internet über einen DSL-Router, GDATA 2007 Internet Security (um den Rechner grob zu beschreiben). Ich wollte mir Felgengutachten (wheelmachine.de) runterladen, dazu habe ich mein Fahrzeug ausgewählt (Marke Ford), dann springt der Rechner normalerweise zu einer Unterkategorie, damit ich das Modell auswählen kann (hier Mondeo). Das klappte ganz gut, sowohl mit IE7 als auch mit Mozilla 2.0. Mittendrin wurde der Rechner etwas träge, die Browser aktualisierten sich nicht mehr, ich dachte meine Internetverbindung wäre gekappt. Rechner und Router neu gestartet, danach habe ich jetzt folgende Phänomene: - Windows Update geht nicht mehr (Bekomme ein weisses Browserfenster, angeblich mit "fertig"-geladen-Status. - Abgesichert komme ich auf die Seite, aber wegen nicht gestarteter Dienst kann ich keine Updates sehen/laden. - Per Automtischer Update-Funktion ist alles im grünen Bereich. - Die oben erwähnte Auswahlfunktion mit automatischer "Feldauswahl" geht weder im IE, noch im Mozilla. - In GMX (per HTTP-Zugriff) kann ich nicht mehr die Funktion alle (hier 10 Stück) auswählen, um enbloc E-Mails zu löschen, die Häkchen dazu werden nicht mehr gesetzt.. Kleine Auffälligkeit am Rande: Ping zu windowsupdate.microsoft.com geht zur 207.46.225.221 der IE aber auf 207.46.18.94 (Ich vermute aber, dass das ein MS-IP-Block ist)Habe schon den IE runtergeschmissen und neu installiert (den Mozilla noch nicht), den Befehl SFC durchgeführt, ohne Erfolg. Wollte dann einen Systemwiederherstellungspunkt zurücksichern, geht aber nicht (konnte nur im abges. Modus überhaupt einen finden), der ist aber mit kryptischer Fehlermeldung a la "konnte nicht zurücksichern" gescheitert ist. Habe Vollscan mit GData, Windows Tool, Adaware, Spybot und McAffee Rootkit-detector durchgeführt, bis auf letzterem ohne Erfolg. Zum McAffee: Er hat folgende "hidden-Services" und Registry-Keys gefunden, die ich aber ohne fremde Hilfe nicht deuten kann: -Object-Type: Registry-key Object-Name: DataC:\WINDOWS\system32\drivers\GDTdiIcpt.sys Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data Status: Hidden -Object-Type: Registry-key Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-key Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Item Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Status: Hidden -Object-Type: Registry-key Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden -Object-Type: Registry-value Object-Name: Value Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden Kann das jemand deuten !? Oder mir anderweitige Tipps geben, falls keine kompromitierung vorliegt !? Vielen Dank Carsten

Füg bitte noch ein paar Absätze ein. So kann man das doch nicht lesen.

lg myrtille

sorry, ist mir selbst gerade erst aufgefallen ;-((Hallo zusammen, Zuerst einmal "Entschuldigung", dass dieser Thread seeeeeeehr lang ist (und ich den genauso bei MCSE-board.de abgestellt habe ;-)). habe seit gestern folgendes Problem: XP SP2 auf Core2Duo auf Intel 975 Chipsatz, Internet über einen DSL-Router, GDATA 2007 Internet Security (um den Rechner grob zu beschreiben). Ich wollte mir Felgengutachten (wheelmachine.de) runterladen, dazu habe ich mein Fahrzeug ausgewählt (Marke Ford), dann springt der Rechner normalerweise zu einer Unterkategorie, damit ich das Modell auswählen kann (hier Mondeo). Das klappte ganz gut, sowohl mit IE7 als auch mit Mozilla 2.0. Mittendrin wurde der Rechner etwas träge, die Browser aktualisierten sich nicht mehr, ich dachte meine Internetverbindung wäre gekappt. Rechner und Router neu gestartet, danach habe ich jetzt folgende Phänomene: - Windows Update geht nicht mehr (Bekomme ein weisses Browserfenster, angeblich mit "fertig"-geladen-Status. - Abgesichert komme ich auf die Seite, aber wegen nicht gestarteter Dienst kann ich keine Updates sehen/laden. - Per Automtischer Update-Funktion ist alles im grünen Bereich. - Die oben erwähnte Auswahlfunktion mit automatischer "Feldauswahl" geht weder im IE, noch im Mozilla. - In GMX (per HTTP-Zugriff) kann ich nicht mehr die Funktion alle (hier 10 Stück) auswählen, um enbloc E-Mails zu löschen, die Häkchen dazu werden nicht mehr gesetzt.. Kleine Auffälligkeit am Rande: Ping zu windowsupdate.microsoft.com geht zur 207.46.225.221 der IE aber auf 207.46.18.94 (Ich vermute aber, dass das ein MS-IP-Block ist)Habe schon den IE runtergeschmissen und neu installiert (den Mozilla noch nicht), den Befehl SFC durchgeführt, ohne Erfolg. Wollte dann einen Systemwiederherstellungspunkt zurücksichern, geht aber nicht (konnte nur im abges. Modus überhaupt einen finden), der ist aber mit kryptischer Fehlermeldung a la "konnte nicht zurücksichern" gescheitert ist. Habe Vollscan mit GData, Windows Tool, Adaware, Spybot und McAffee Rootkit-detector durchgeführt, bis auf letzterem ohne Erfolg. Zum McAffee: Er hat folgende "hidden-Services" und Registry-Keys gefunden, die ich aber ohne fremde Hilfe nicht deuten kann: -Object-Type: Registry-key Object-Name: DataC:\WINDOWS\system32\drivers\GDTdiIcpt.sys Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data Status: -Object-Type: Registry-key Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-key Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Item Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Status: Hidden -Object-Type: Registry-key Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden -Object-Type: Registry-value Object-Name: Value Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden Kann das jemand deuten !? Oder mir anderweitige Tipps geben, falls keine kompromitierung vorliegt !? Vielen Dank Carsten