Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.04.2009, 17:54   #1
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo,

ich befürchte, ich habe ein fast unlösbares Problem:
1. Obwohl ich die XP Home-Edition habe, wird bei meiner XP-Firewall "einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert" und die Firewall aktivierung ist grau - also nicht aktivierbar.

2. Wenn ich Ausführen... Regedit eingebe, dann verschwinden kurz alle Icons vom Desktop, aber das Programm wird nicht gestartet.

3. Wenn ich bei Google eine Webseite eingebe, werde ich zuerst mal zu einer Werbeseite weitergeleitet und wenn ich im Explorer die Rückwärtstaste klicke, dann gelange ich an die gewünschte Seite.

Mein System:

Intel Pentium 4 mit 3,06 GHz/Board unbek./512MB Ram/NVIDIA GeForce FX5600XZ

Ich habe nach Anleitung CCleaner/Anti-Malware/ und HijackThis ausgeführt,
wobei CCleaner jetzt schon wieder objekte findet und Anti-Malware sich nicht per Internet updaten lies.

Die Ergebnisse:
1. anti malware Bericht:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

14.04.2009 17:48:43
mbam-log-2009-04-14 (17-48-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|M:\|P:\|)
Durchsuchte Objekte: 307426
Laufzeit: 2 hour(s), 11 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 3
Infizierte Dateien: 42

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\XPPoliceAntivirus (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\sounds (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\XPPoliceAntivirus\Plugins\cevakrnl.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\cevakrnl.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\cevakrnl.rvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\ceva_dll.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\ceva_emu.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\ceva_vfs.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\ceva_vfs.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\cookie.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\cran.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\cran.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\emalware.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\e_spyw.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\e_spyw.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\gvmscripts.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\hpe.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\java.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\mdx_97.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\mdx_97.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\mdx_w95.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\mdx_x95.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\mdx_xf.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\mobmalware.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\na.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\nelf.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\regarch.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\regscan.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\rup.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\sdx.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\sdx.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\unpack.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\unpack.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\vb0.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\vb1.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\vb2.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\ve.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\ve.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\Plugins\vedata.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\sounds\alert.wav (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\sounds\click.wav (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\Programme\XPPoliceAntivirus\sounds\fire.wav (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.


2. HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:12, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
P:\Programme\Spyware Doctor\pctsAuxs.exe
P:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
P:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\DitExp.exe
P:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\AOL\1166017718\ee\AOLSoftware.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
P:\Programme\AOL 9.0\aoltray.exe
P:\Corel\Graphics8\Programs\MFIndexer.exe
P:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
P:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
P:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\trojaner-board\HijackThis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [OpwareSE2] "P:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1166017718\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "P:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [NBJ] "P:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = P:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = P:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = P:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = P:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = P:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = P:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Sitecom WL-168 Wireless LAN Utility.lnk = ?
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = P:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.alice-dsl.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162021467875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27748696-315C-4C0F-95C0-3B63EC0C9FA7}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - P:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - P:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9192 bytes


So - ich hoffe so alles korrekt gemacht zu haben. Vielleicht kann ja jemand helfen.

Gruß

Endro

Alt 15.04.2009, 12:45   #2
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo,

ich habe die regedit gegen eine regedit von einem anderen PC ausgetauscht. Der Aufruf war trotzdem nicht möglich. Dann habe ich die regedit.exe total umbenannt und dann ist sie ausführbar.
Es sitz also irgendo etwas, was die Ausführung kontrolliert und regedit.exe blockiert.


Und ganz merkwürdig: Die gelöschte regedit.exe ist nach ein paar Sekunden wieder im Verzeichnis Windows vorhanden!!! Sie wird also wieder erzeugt.

Kann jetzt jemand weiterhelfen???
__________________


Geändert von endro (15.04.2009 um 12:58 Uhr)

Alt 15.04.2009, 13:35   #3
Chris4You
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hi,

das HJ-Log gibt nichts her, schau-mehr-mal:

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
__________________
__________________

Alt 15.04.2009, 16:36   #4
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo,

hier das ComboFIX-Ergebnis:
http://www.materialordner.de/1hCkKCRJq6Uv3092xkP7aBv5p338QxY.html

Hier das RSIT-Ergebnis:

http://www.materialordner.de/bxEajGBeQ8elLH06RfcIRoI8BFrCFfD.html

http://www.materialordner.de/ZppEAcOVWaxJefmjlA8C2BEXECSHRyaE.html


Was auffällig ist: es erscheinen wieder ein paar Prozesse, die ich vorher per HijackThis entfernt hatte.

Gruß Endro

Alt 16.04.2009, 06:31   #5
Chris4You
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hi,

Du hast eine Menge Treiber auf der Kiste, brauchst du die alle...?

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\drivers\pctfw2.sys
c:\windows\system32\wonpfyzzj
c:\WINDOWS\system32\OLE32.DLL
C:\WINDOWS\system.ini -> mal bitte hochladen/posten
C:\WINDOWS\system32\wasco.sys
C:\WINDOWS\system32\DRIVERS\wanatw4.sys (sollte eigentlich im AOL-Verzeichnis laufen...)
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Welche Files sind wieder aufgetaucht...

catchme meldet eine Modifikation, darum bitte noch GMER:
Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

und

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Weiterhin scannen wir noch mit Prevx:
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Was eindeutiges ist noch nicht zu erkennen...

chris
Ps.:
Regedit wiederbeleben:
Start->Auführen->cmd, dann das reinschreiben bzw. kopieren:
Code:
ATTFilter
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /t REG_DWORD /d 00000000 /f
         

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (16.04.2009 um 07:22 Uhr)

Alt 16.04.2009, 09:06   #6
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo Chris,

mir sind ein paar Dinge auf- und eingefallen, die relevant sind:

1. Ich habe auf meinem Laptop - der sich höchst unauffällig verhält und höchstwahrscheinlich auch vollkommen ok ist - die regedit.exe gelöscht und siehe da: nach ein paar Sekunden wurde die wieder automatisch im Verzeichnis Windows angelegt. Das scheint also so normal zu sein. kann inzwischen auch wieder die regedit ohne Umbenennung aufrufen, muß aber leider gestehen, daß ich nicht sagen kann, ob das durch eine Änderung meinerseits in der Registry gestern behoben wurde. Ich schreibe mir eigentlich alles wichtige auf, aber in diesem Fall kann ich es nicht sagen.

2. Ich konnte doch die Firewall nicht aktivieren. Jetzt ist mir eingefallen, daß ich vor zwei Monaten den Virus "XP Police Antivirus" eingefangen hatte. Der könnte ja damals die Windows Firewall außer Kraft gesetzt haben. Ich habe dann mit "Spyware Doctror" das "XP Police Antivirus" scheinbar wegbekommen, aber gewisse Einträge in der Registry könnten von damals vielleicht noch verändert sein. Ich habe inzwischen händisch in der Registry die Firewall enabled und sie ist auch wieder aktiv, nur zeigt sie immer noch den Eintrag "Einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert". Ich vermute jetzt, daß gewisse Registry Einträge bezüglich der Firewall noch wieder richtig gesetzt werden müssen. Vielleicht wars das dann.

Den MBR-Check habe ich gestern schon gemacht. Alles ok.

Also Chris - soll ich trotzdem alle Tests deines letzten Eintrages durchführen, oder haben wir eine neue "Stoßrichtung" wegen XP-Police?

Endro

Alt 16.04.2009, 10:01   #7
Chris4You
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hi,

probieren wir mal das hier aus:
b]System Reparieren:[/b]
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindows...l?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris
Ps.: Lass bitte GMER noch laufen und Log posten....
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (16.04.2009 um 10:34 Uhr)

Alt 16.04.2009, 15:11   #8
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo Chris,

zuerst den kurzen Log von MGER - das wurde beim Start gleich angezeigt:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-16 16:00:31
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Tcp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Udp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctfw2.sys (PC Tools TDI Driver/PC Tools)

---- EOF - GMER 1.0.15 ----

und dann habe ich noch einen Scan gemacht - aber das file ist deutlich länger:


http://www.materialordner.de/5RfGatw428RcsGCdpHcZ4jgdT6ZXrvkk.html

Laut Ergebnis fehlt die Datei C:\WINDOWS\system32\Drivers\mchInjDrv.sys

Gruß

Endro

Alt 16.04.2009, 16:00   #9
Chris4You
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hi,

ist Okay, die fehlende Datei sollte zu "Spyware Doctor" gehören...

Was treibt der Rechner so?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.04.2009, 10:16   #10
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo Chris,

der Rechner verhält sich unauffällig. Das einzige, was noch ist, ist bei der Windows-Firewall oben die Einblendung "einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert".
UIch vermute, daß da noch in paar Registry-Einträge von dem "XP Police Antivirus"-Virus verändert geblieben sind. Ich werde mal googeln, welche Registry-Einträge evtl. in Frage kommen. Hast du eine Idee?

Gruß und vielen Dank für die Mühe

Endro

Alt 17.04.2009, 19:16   #11
Chris4You
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hi,

auf die Schnelle:

https://www.mcseboard.de/windows-forum-lan-wan-32/firewall-problem-virenentfernung-121413.html

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.04.2009, 10:32   #12
endro
 
XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Standard

XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung



Hallo Chris,

ich habe jetzt die richtige Maßnahme gefunden: In der gab es einen Schlüssel für die Windows Firewall, den es in der XP-Home-Edition nicht geben sollte:

http://www.forum.windows-tweaks.info/thread.php?threadid=35626

Registry Eintrag gelöscht -der komische hinweis mit der Gruppenrichtlinie ist verschwunden. Für mich ist damit die Aktion beendet. Tausend Dank für Deine Mühe.

Endro

Antwort

Themen zu XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung
.dll, adobe, anti malware, canon, desktop, disabled.securitycenter, einstellungen, explorer, gruppe, hijackthis, hkus\s-1-5-18, internet, internet explorer, object, pop-up-blocker, problem, programm, registrierungsschlüssel, richtlinie, rogue.xppoliceantivirus, security, software, sparbuch, spyware, tr/psw.ldpinch.aogg, trojan.agent, trojaner-board, werbung, windows xp, wireless lan



Ähnliche Themen: XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung


  1. Hohe CPU Auslastung / Langsame Internetverbindung bei betroffenem PC / google & youtube mit IE11 nicht mehr aufrufbar
    Log-Analyse und Auswertung - 28.08.2014 (5)
  2. Windows 7: Viele Webseiten sporadisch nicht aufrufbar oder langsam, Google Earth findet Server nicht
    Log-Analyse und Auswertung - 12.12.2013 (17)
  3. Umleitung von Google-Suchergebnissen, Windows-Sicherheitscenter lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 18.02.2013 (23)
  4. Umleitung auf falsche Seiten (nicht auf Google, sondern überall)
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (3)
  5. Google nicht aufrufbar/Firefox Sicherheitsmeldung
    Log-Analyse und Auswertung - 11.09.2012 (1)
  6. Firefox , taskmngr , regedit & progammer nicht mehr aufrufbar
    Log-Analyse und Auswertung - 07.09.2011 (1)
  7. Umleitung von Google-Suchanfragen auf 100ksearches.com und Windows-Firewall lässt sich nicht aktivie
    Plagegeister aller Art und deren Bekämpfung - 27.07.2011 (7)
  8. Browser öffnet Google Seiten oder Werbung, Google Suche funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (26)
  9. IE öffnet nicht, google umleitung und Stickvirus
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (12)
  10. Windows 7 Task Manager startet nicht mehr - Regedit nicht möglich!
    Log-Analyse und Auswertung - 18.09.2010 (4)
  11. Ebay.de/com funktioniert nicht bzw. ist nicht aufrufbar
    Plagegeister aller Art und deren Bekämpfung - 28.08.2010 (3)
  12. TR/PSW.LdPinch.aogg & Seiten über Google nicht aufrufbar
    Log-Analyse und Auswertung - 10.08.2010 (10)
  13. Windows Update nicht möglich; Viren Scaner (wie virustotal.com) nicht aufrufbar
    Plagegeister aller Art und deren Bekämpfung - 24.05.2010 (2)
  14. Mozilla - Umleitung oder Seite nicht aufrufbar
    Log-Analyse und Auswertung - 23.03.2010 (1)
  15. Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 26.05.2009 (7)
  16. Google Links und leider mehr - einige Seiten nicht aufrufbar
    Plagegeister aller Art und deren Bekämpfung - 03.10.2008 (13)
  17. Google links umgeleitet / nicht aufrufbar
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (3)

Zum Thema XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung - Hallo, ich befürchte, ich habe ein fast unlösbares Problem: 1. Obwohl ich die XP Home-Edition habe, wird bei meiner XP-Firewall "einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert" und die Firewall - XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung...
Archiv
Du betrachtest: XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.