Du hast nicht in deinem HJT-Log waas schädlich aussieht.
Das das Internet nicht mehr gehen soll, wenn Zohnelabs abgeschalten ist, kannste auch stecken lassen.
Viel wichtiger ist ein AVP mit Hintergrundwächter.

Zitat:

Zitat von blow-in

Du hast nicht in deinem HJT-Log waas schädlich aussieht.
Das das Internet nicht mehr gehen soll, wenn Zohnelabs abgeschalten ist, kannste auch stecken lassen.
Viel wichtiger ist ein AVP mit Hintergrundwächter.

Jedesmal wenn so ein Agriff kommt wie er in der Angehängten Datei zu sehen war blockt mein Inet wenn die Firewall net an ist... Ich kann mir das doch selbst net erklären.. hatte vorher nur AVP drauf und keine Software Firewall.

Vielleicht sollte ich noch dazu sagen das ich keinen Router habe sondern nur über ein ADSL-Bridge Modem ins Netz gehe, also ist keine Hardware Firewall vorhanden.

Jedenfalls ist das ganz merkwürdig, denn ich kann dann nicht mehr auf das Internet zugreifen, obwohl die Verbindung besteht, und wenn ich sie dann trenne kann ich keine neue Verbindung aufbauen. Soll ich es vielleicht mal darauf ankommen lassen es passieren zu lassen und dann wenn ich nicht mehr zugreifen kann jeweils diesen Logs erstellen? Vielleicht würde ja das klarheit schaffen. Fakt ist, ohne Firewall kommen angriffe, (heute waren es insgesamt 3 von vers. IP's und Ports [wie kann ich herausbekommen von wo die Angriffe kommen]) und dann ist mein I-Net auf Eis gelegt.

Hi,

das Log ist sauber...
IPs: http://www.iks-jena.de/cgi-bin/whois

Dann probieren wir einen Rootkitscan:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Du solltest auf jeden Fall SP3 installieren...
Wahrscheinlich ist ein Teil des Angriffs ohne Firewall dazwischen erfolgreich und bringt die Windowsdienste (oder Teile davon) durcheinander, so dass neu gebootet werden muss...(Initialisierung)...

chris

so,

also das rootkit ist drauf, der scan läuft... kann ich irgendwie meine cookies aktivieren? also, Firefox sagt zwar das sie an sind, aber sie scheinen nicht zu funktionieren, da ich zum Beispiel auf ebay überhaupt nicht drauf komme, aber von einem "sauberen" rechner schon...

[Edit]

Hier die gefunden roots:

1: HKEY_USERS\S-1-5-21-1343024091-746137067-725345543-1003\Software\SecuROM\License information -> datasecu
2: Registry
3: Hidden value
1: 1/2

No more information available

1: HKEY_USERS\S-1-5-21-1343024091-746137067-725345543-1003\Software\SecuROM\License information -> rkeysecu
2: Registry
3: Hidden value
1: 2/2

No more information available

Hi,

das sollte eigentlich nur SecuRom sein (Kopierschutz von Spielen)...

Sonst war nichts im Log?

Was heißst Du kommst nicht auf EBay?
Wirst Du umgeleitet oder sagt EBay, das keine Cookies aktiviert sind?

Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Lassen wir noch den MBR prüfen...

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Da passiert überhaupt nichts bei ebay... der lädt nicht weiter... hatte kurz mit meinem Onkel telefoniert der sollte mal nachschauen ob das läuft, oder ob ebay server down sind, und er meinte wahrscheinlich cookies... also ich kann mich anmelden und wenn ich dann irgendwo drauf klicke dann sieht man oben im browser tab das er am laden ist, und das wars...


host läuft grade durch... lasse die ganzen "www" 's ersetzen durch w*w sollte noch einige momente dauern... aber da steht ja wirklich alles drinne, hab ich grad gesehen... und da denkt man immer mit chronik löschen ists getan... *gg* könnte peinlich werden...



da stehen aber nur internet seiten drinne... brauchst du den log wirklich? ich meine, da steht nix anderes...


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy


so, dann folgen hier jetzt so ca. 500 webseiten was anderes ist da net.. oder hab ich den falschen log?

hier, schau mal ob ich da richtig bin