Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 19.09.2007, 00:08   #1
phpfuchs
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Es fing heute damit an, daß ich feststellen musste, dass von mir Passwörter missbraucht wurden...
Auch von meinem Paypal-Konto wurde Geld abgebucht. Zum Glück war nicht viel drauf.

Und ich dachte, mit dem Bitdefender sei mein PC sicher...

Dann musste ich mir Spyware Doctor besorgen, der hat dann noch paar Trojaner gefunden und entfernt.

Auch mein T-Online-Passwort musste ich ändern. Dann fing ein anderes Problem an: Ich kam nicht mehr auf meine Router-Konfiguration (http:192.168.2.1). Ping geht zwar, aber http nicht. Egal welcher Browser oder, auch Firewall hatte ich deaktiviert.

Im abgesicherten Modus mit Netzwerktreibern konnte ich es dann ändern und konnte auch wieder ins Internet.
Also muss irgendwo eine versteckte Einstellung oder Firewall sein, die mir diese Adresse blockt.

Wer weiss ob ich den Rechner nicht sogar neu installieren muss. Hijackthis hat NACH Bitdefender und Spyware Doctor noch ein NOD64.exe gefunden...

Das Logfile kommt hier:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:59:48 , on 19.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\xampp\phpMyAdmin\rundll.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\IDM Computer Solutions\UltraEdit-32\uedit32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.runescape.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155473588281
O17 - HKLM\System\CCS\Services\Tcpip\..\{64A44E2D-1173-4C27-9209-5FBEB43DEEBA}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\xampp\phpMyAdmin\rundll.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10269 bytes
         
Wer kann mir helfen, die versteckte "Firewall" zu finden?

Gruß

Egon Schmid

Alt 19.09.2007, 05:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Zitat:
Und ich dachte, mit dem Bitdefender sei mein PC sicher...
Hallo,
das ist leider ein Irrtum, denn mit einem Virenscanner allein machst du wenig bis garnichts sicher.

Zitat:
Dann musste ich mir Spyware Doctor besorgen, der hat dann noch paar Trojaner gefunden und entfernt.
Auch das ist m.E. ein Irrtum - irgendein Spy- oder Virenscanner kann definitiv nicht zuverlässig vorhandene Malware entfernen, auch wenn der Hersteller sowas behauptet. Einige Bestandteile werden meist erkannt und entfernt, aber das offensichtlich alles entfernt wurde ist höchst selten.

Zitat:
Wer weiss ob ich den Rechner nicht sogar neu installieren muss. Hijackthis hat NACH Bitdefender und Spyware Doctor noch ein NOD64.exe gefunden...
Eins vorweg: ein Neuaufsetzen ist immer dich sicherste Methode, Malware zu entfernen, eine Bereinigung kann zwar häufig erfolgreich sein, Garantie für Sauberkeit gibt es aber nicht.

Allerdings sehe ich in deinem HJT-Logfile keine Auffälligkeiten. Poste mal bitte die Namen und Fundorte der angeblichen Trojaner.

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Blacklight
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________

__________________

Alt 19.09.2007, 10:30   #3
cad
/// caddy ☀
 

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Zitat:
Zitat von phpfuchs Beitrag anzeigen
Auch von meinem Paypal-Konto wurde Geld abgebucht.


Auch mein T-Online-Passwort musste ich ändern.
Hast Du Dein Passwort von diesem Rechner aus geändert?

Sicherheitshalber würde ich von einem sicheren Rechner aus alle
Passwörter und auch die Email Addy bei Ebay/Paypal ändern und behalte in der nächsten Zeit Deinen Ebay-Account im Auge.
Falls da schon Auktionen drin sind, die nicht von Dir stammen
eBay Foren: Sammelliste für gehackte Accounts (Take ...
oder
falls Du nicht mehr in den Account reinkommst
Mich-Seite für zumchat aufrufen
Bitte vorher kurz durchlesen

Grüße cad
__________________

Alt 19.09.2007, 16:10   #4
myrtille
/// TB-Ausbilder
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Hi,
du hast nicht zufällig an die Webseite castlecops.com "gespendet"? Wenn doch stehen die Chancen recht gut, dass du dein Geld wiederbekommst, da laufen nämlich grad Bemühungen alle zu unrecht eingegangen Überweisungen zurück zu erstatten.
quelle

lg myrtille

Alt 19.09.2007, 16:24   #5
phpfuchs
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Nein, es war dafür:

Zitat:
Guten Tag, Egon Schmid!

Mit dieser E-Mail wird bestätigt, dass Sie an Skype (billing@skype.net) €11,50 EUR mit PayPal bezahlt haben.
Zahlungsdetails

Transaktionscode: 49S8451275153131A
Artikelpreis: 11,50 EUR
Betrag: €11,50 EUR
Beschreibung der Bestellung: Skype-Guthaben von 10 €
Artikelnummer: Order #123167673
Käufer: Egon Schmid


Alt 19.09.2007, 16:43   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Was ist denn mit den Logfiles? Die interessieren jetzt mehr als die Paypal-Transaktionsdetails, v.a. deswegen weil ja schon (angeblich) Schädlinge gefunden wurden.
__________________
--> Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall

Alt 19.09.2007, 17:06   #7
phpfuchs
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Hier ist Log-file 1 (Silent runners)

Code:
ATTFilter
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"TaskSwitchXP" = "C:\Programme\TaskSwitchXP\TaskSwitchXP.exe" ["Alexander Avdonin"]
"Copernic Desktop Search 2" = ""C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray" ["Copernic Technologies Inc."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"H/PC Connection Agent" = ""C:\PROGRA~1\MI3AA1~1\wcescomm.exe"" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"UnlockerAssistant" = ""C:\Programme\Unlocker\UnlockerAssistant.exe"" [null data]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"BDMCon" = "C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."]
"BDAgent" = ""C:\Programme\Softwin\BitDefender10\bdagent.exe"" ["SOFTWIN S.R.L."]
"Google Desktop Search" = ""C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup" ["Google"]
"PCSuiteTrayApplication" = "C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup" ["Nokia"]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
{C451C08A-EC37-45DF-AAAD-18B51AB5E837}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "PDFCreator Toolbar Helper"
                   \InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
  -> {HKLM...CLSID} = "SimpleShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{8932AEFE-9DB6-4f43-AFB2-5682F55E773A}" = "VPCHostCopyHook"
  -> {HKLM...CLSID} = "VPCHostCopyHook"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Virtual PC\VPCShExH.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {HKLM...CLSID} = "Portable Media Devices Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {HKLM...CLSID} = "iTunes"
                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
  -> {HKLM...CLSID} = "CorelDRAW Shell Extension Component"
                   \InProcServer32\(Default) = "C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"
  -> {HKLM...CLSID} = "UnlockerShellExtension"
                   \InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]
"{59F96530-871E-11D3-BD55-00A0C9A341EC}" = "Registry"
  -> {HKLM...CLSID} = "Registry"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\regxplor.dll" [empty string]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser"
  -> {HKLM...CLSID} = "Nokia Phone Browser"
                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
  -> {HKLM...CLSID} = "Mobiles Gerät"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\Wcesview.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
GizmoShellMenuExt\(Default) = "{AF859436-B9BD-4154-B594-2B8D1F4295A6}"
  -> {HKLM...CLSID} = "GizmoShellMenuExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Gizmo\gshell.dll" [empty string]
UltraEdit-32\(Default) = "{b5eedee0-c06e-11cf-8c56-444553540000}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\IDM Computer Solutions\UltraEdit-32\ue32ctmn.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
  -> {HKLM...CLSID} = "UnlockerShellExtension"
                   \InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
  -> {HKLM...CLSID} = "UnlockerShellExtension"
                   \InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_BINARY) hex:02 00 00 00
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ss3dfo.scr" [MS]


Startup items in "Egon" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\Egon\Startmenü\Programme\Autostart
"Trillian" -> shortcut to: "C:\Programme\Trillian\trillian.exe" ["Cerulean Studios"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"ATI CATALYST System Tray" -> shortcut to: "C:\Programme\ATI Technologies\ATI.ACE\CLI.exe SystemTray" [null data]
"BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}"
  -> {HKLM...CLSID} = "PDFCreator Toolbar"
                   \InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" = "PDFCreator Toolbar"
  -> {HKLM...CLSID} = "PDFCreator Toolbar"
                   \InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9C3FCA1F-99E3-48F2-A7F4-DD3931B2F99A}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Copernic Desktop Search 2"
                   \InProcServer32\(Default) = "C:\Programme\Copernic Desktop Search 2\DesktopSearchBand2526.dll" ["Copernic Technologies Inc."]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
  -> {HKLM...CLSID} = "Create Mobile Favorite"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
  -> {HKLM...CLSID} = "Create Mobile Favorite"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\INetRepl.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\
<<H>> "HKEY_" = "reg://"
<<H>> "HKLM" = "reg://"
<<H>> "HKCR" = "reg://"
<<H>> "HKCU" = "reg://"
<<H>> "HKCC" = "reg://"
<<H>> "HKPD" = "reg://"
<<H>> "HKDD" = "reg://"


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 17 domain names to IP addresses,
      1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apache2, Apache2, ""C:\Programme\xampp\apache\bin\apache.exe" -k runservice" ["Apache Software Foundation"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["SOFTWIN S.R.L"]
BitDefender Desktop Update Service, LIVESRV, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."]
BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]
BitDefender Virus Shield, VSSERV, ""C:\Programme\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."]
FileZilla Server FTP server, FileZilla Server, "C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe" ["FileZilla Project"]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
mysql, mysql, "C:\Programme\xampp\mysql\bin\mysqld-nt.exe --defaults-file=C:\Programme\xampp\mysql\bin\my.cnf mysql" [null data]
PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"]
PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"]
ServiceLayer, ServiceLayer, ""C:\Programme\PC Connectivity Solution\ServiceLayer.exe"" ["Nokia."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDF Printer Port\Driver = "ppmonnt.dll" [null data]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]
Umgeleiteter Anschluá\Driver = "redmonnt.dll" [null data]


---------- (launch time: 2007-09-19 14:52:42)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 127 seconds, including 4 seconds for message boxes)
         

Geändert von phpfuchs (19.09.2007 um 17:13 Uhr)

Alt 19.09.2007, 17:29   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Im silentrunners ist mir das hier aufgeallen:
Code:
ATTFilter
Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\
<<H>> "HKEY_" = "reg://"
<<H>> "HKLM" = "reg://"
<<H>> "HKCR" = "reg://"
<<H>> "HKCU" = "reg://"
<<H>> "HKCC" = "reg://"
<<H>> "HKPD" = "reg://"
<<H>> "HKDD" = "reg://"
         
Hast du da was manuell vllt. eingetragen?


Code:
ATTFilter
HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 17 domain names to IP addresses,
      1 of the IP addresses is *not* localhost!
         
Hast du was ins hosts-file eingetragen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.09.2007, 18:08   #9
phpfuchs
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Zitat:
Zitat von cosinus Beitrag anzeigen
Im silentrunners ist mir das hier aufgeallen:
Code:
ATTFilter
Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\
<<H>> "HKEY_" = "reg://"
<<H>> "HKLM" = "reg://"
<<H>> "HKCR" = "reg://"
<<H>> "HKCU" = "reg://"
<<H>> "HKCC" = "reg://"
<<H>> "HKPD" = "reg://"
<<H>> "HKDD" = "reg://"
         
Hast du da was manuell vllt. eingetragen?
Nein, das war nicht manuell eingetragen
Zitat:

Code:
ATTFilter
HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 17 domain names to IP addresses,
      1 of the IP addresses is *not* localhost!
         
Hast du was ins hosts-file eingetragen?
Ich hab da nur virtuelle Domains für meinen Apache-Webserver eingetragen, sowie die IP für mein Linux, das auf MS Virtual PC läuft. Also da is gar nix bedenkliches.

Alt 19.09.2007, 18:14   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Ok, wenn da nichts manuell eingetragen wurde kannst du via regedit die entsprechenden Einträge in

HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\

löschen.

Reich bitte die anderen Logfiles (escan, blacklight, filelist) nach.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2007, 17:19   #11
phpfuchs
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



So, es geht wieder. eScan brauchte 6 Stunden, bis alles gescannt war. Musste schlafen und arbeiten auch noch.

Hier kommt das Log:
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.4.4 
Sprache: German 
Virus-Datenbank Datum: 9/18/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "zlob Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen. 
 System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. 
 System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen. 
 System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen. 
 System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with favsearch Spyware/Adware (fs.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\WINDOWS\system32\sysdriver.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\RECYCLER\S-1-5-21-1935655697-1303643608-682003330-1003\Dc135.exe/run.exe//PE_Patch.UPX//UPX//stream//data0006 infiziert von "Trojan-Downloader.Win32.Zlob.aeh" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\RECYCLER\S-1-5-21-1935655697-1303643608-682003330-1003\Dc136\vrlfl09a.exe/run.exe infiziert von "Trojan-Dropper.Win32.Agent.aue" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP285\A0072022.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073600.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073601.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\sysdriver.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\Programme\Hackerbox\chriscontrol-v1.7.exe/ChrisControl-v1.7.exe//PE_Patch.UPX//UPX//psexec.exe//UPX markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Datei C:\Programme\Hackerbox\tightvnc-1.2.9-setup.exe//data0002 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. Keine Aktion vorgenommen. 
 Datei C:\Programme\xampp\phpMyAdmin\AdmDll.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.20. Keine Aktion vorgenommen. 
 Datei C:\Programme\xampp\phpMyAdmin\rundll.ex_ markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.21. Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0074723.exe markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.21. Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\DOKUME~1\Egon\LOKALE~1\Temp\cmdlineext02.dll 
 Offending file found: C:\Dokumente und Einstellungen\Egon\Desktop\firefox-downloads\fs.exe 
 Offending file found: C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\temp\cmdlineext02.dll 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Programme\intcodec 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\powerstrip !!! 
 Offending Key found: HKCR\magnet !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\M !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\N !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{423a74c5-e299-11db-8d48-806d6172696f} !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a42a0c49-a7a8-11db-b5f3-0030055ea0c1} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB313.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB35.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB39.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB3B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB3CB.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB76.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB313.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB35.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB39.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB3B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB3CB.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB76.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\MSDN\2003APR\1033\dnexcl2k2.hxs nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.2.100		linux1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 312079 
 Gefundene Viren: 27 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 190 
 Dauer des Scans bisher: 06:13:46 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 18:14:05,60 
Batchende: 18:15:53,12
         
Also wurde noch viel mehr gefunden...

Alt 20.09.2007, 17:42   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Standard

Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall



Oje..

Zitat:
Datei C:\WINDOWS\system32\sysdriver.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
die sysdriver.exe wird hier zwar nicht als solcher erkannt, aber die Befürchtung, dass es sich um den Tilebot handelt liegt nahe. Von den üblichen Fehlalarmen von eScan abgesehen sind diese weiteren Dateien relevant:

Code:
ATTFilter
C:\RECYCLER\S-1-5-21-1935655697-1303643608-682003330-1003\Dc136\vrlfl09a.exe
  C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP285\A0072022.exe
  C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073600.exe
  C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073601.exe
         
Die du durch Leeren des Papierkorbs und Deaktivierung der SWH zwar wieder los wirst, aber niemand weiß, was noch im System ist. Warten wir Blacklight ab.

Zitat:
Datei C:\Programme\xampp\phpMyAdmin\AdmDll.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.20. Keine Aktion vorgenommen.
Datei C:\Programme\xampp\phpMyAdmin\rundll.ex_ markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.21. Keine Aktion vorgenommen.
Bin mir hier nicht sicher ob das ein legitimer Bestandteil von xampp ist, aber evtl. konnten diese (eingepflanzten?) RA-Tools als Einfallstor dienen...wer weiß.

Für verlässlichere Analysen brauchen wir IMHO für dein System allerdings schon eine Notfall-CD ala BartPE bzw. UBCD4WIN.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall
abgesicherten modus, bho, blockiert, browser, computer, desktop, einstellung, ellung, excel, firefox, geld, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, locker, logfile, mozilla, mozilla firefox, netzwerk, pdfcreator, ping geht, problem, s-1-5-18, security, software, solution, spyware, system, trend micro, trojaner, trojaner gefunden, virus, windows, windows xp



Ähnliche Themen: Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall


  1. Windows 8.1 , http://utils.cdneurop.com/js/mo.js, Firefox, Kaspersky blockiert
    Log-Analyse und Auswertung - 22.09.2014 (9)
  2. avast blockiert http://utils.cdneurope.com/ WIN7
    Plagegeister aller Art und deren Bekämpfung - 15.07.2014 (7)
  3. Das System wird durch irgendwas blockiert
    Plagegeister aller Art und deren Bekämpfung - 27.08.2013 (4)
  4. Irgendwas blockiert ein einzelnes Programm
    Antiviren-, Firewall- und andere Schutzprogramme - 16.05.2013 (6)
  5. Avast blockiert URL:Mal auf nahezu jeder Website [http://i.trkjmp.com/crossdomain.xml]
    Plagegeister aller Art und deren Bekämpfung - 18.09.2012 (1)
  6. Programme starten nicht mehr / Explorer nicht mehr durch Firewall blockiert
    Log-Analyse und Auswertung - 08.10.2009 (11)
  7. nwiz.exe - irgendwas stimmt hier nicht
    Plagegeister aller Art und deren Bekämpfung - 09.09.2009 (6)
  8. Irgendwas stimmt nicht.
    Log-Analyse und Auswertung - 12.08.2009 (12)
  9. Irgendwas umgeht Firewall? Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (1)
  10. Brauche Hilfe, irgendwas stimmt nicht
    Log-Analyse und Auswertung - 25.04.2009 (53)
  11. Irgendwas stimmt nicht
    Mülltonne - 20.08.2008 (0)
  12. Windows XP Firewall Symbol in Taskleiste ist nicht da, obwohl Firewall aktiviert ist!
    Antiviren-, Firewall- und andere Schutzprogramme - 14.01.2007 (7)
  13. Spyware Ähnliches Irgendwas das die meisten Seiten blockiert
    Plagegeister aller Art und deren Bekämpfung - 07.12.2006 (2)
  14. Irgendwas blockiert fast alles ...
    Plagegeister aller Art und deren Bekämpfung - 15.12.2005 (4)
  15. Irgendwas stimmt nicht ??
    Log-Analyse und Auswertung - 09.04.2005 (9)
  16. Irgendwas läuft nicht rund
    Log-Analyse und Auswertung - 09.04.2005 (5)
  17. Bitte um Hilfe irgendwas blockiert den Port 113
    Log-Analyse und Auswertung - 25.11.2004 (6)

Zum Thema Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall - Es fing heute damit an, daß ich feststellen musste, dass von mir Passwörter missbraucht wurden... Auch von meinem Paypal-Konto wurde Geld abgebucht. Zum Glück war nicht viel drauf. Und ich - Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall...
Archiv
Du betrachtest: Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.