Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win.Firewall deaktiviert sich für wenige Sekunden nach start

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.07.2010, 15:59   #1
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Hallo lieber Mitglieder, ich brauche einmal eure Hilfe.
Ich hatte mir wohl einen Virus eingefangen, der meine Firewall nach dem Systemstart wenige Sekunden deaktiviert hat. Avira Antivir und Spybot S&D lieferten zwar funde, konnten dies aber nicht beheben.
In einem Forum las ich, die sauberste Methode würde es wohl sein, seinen PC neu aufzusetzen, dies habe ich nun auch getan. Das Problem besteht allerdings weiterhin.

Mein Schutz besteht aus Avira Antivir, Spybot Search and Destroy und der Windows Firewall. Desweiteren habe ich Windows XP, SP3 installiert.
Edit: Ich habe einen Router über den ich ins Internet gehe.

Ich poste hier einmal die Logs, falls das schonmal weiterhilft:


hijackthis:
HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:49, on 12.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1278760913562
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5578 bytes
         
--- --- ---



Antivir:
Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. Juli 2010 16:38

Es wird nach 2333737 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRISTOPH

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 21:30:41
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 21:30:43
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 21:30:43
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 21:30:43
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 21:30:43
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 21:30:43
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 21:30:43
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 21:30:43
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 21:30:44
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 21:30:44
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 21:30:44
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 21:30:44
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 21:30:44
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 21:30:45
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 21:30:45
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 21:30:45
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 21:30:45
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 21:30:45
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 13:42:19
VBASE024.VDF : 7.10.9.61 2048 Bytes 11.07.2010 13:42:19
VBASE025.VDF : 7.10.9.62 2048 Bytes 11.07.2010 13:42:19
VBASE026.VDF : 7.10.9.63 2048 Bytes 11.07.2010 13:42:19
VBASE027.VDF : 7.10.9.64 2048 Bytes 11.07.2010 13:42:19
VBASE028.VDF : 7.10.9.65 2048 Bytes 11.07.2010 13:42:19
VBASE029.VDF : 7.10.9.66 2048 Bytes 11.07.2010 13:42:19
VBASE030.VDF : 7.10.9.67 2048 Bytes 11.07.2010 13:42:19
VBASE031.VDF : 7.10.9.70 27136 Bytes 12.07.2010 13:42:20
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 11.07.2010 21:30:50
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 11.07.2010 21:30:50
AESCN.DLL : 8.1.6.1 127347 Bytes 11.07.2010 21:30:49
AESBX.DLL : 8.1.3.1 254324 Bytes 11.07.2010 21:30:50
AERDL.DLL : 8.1.4.6 541043 Bytes 11.07.2010 21:30:49
AEPACK.DLL : 8.2.2.5 430453 Bytes 11.07.2010 21:30:49
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 11.07.2010 21:30:48
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 11.07.2010 21:30:48
AEHELP.DLL : 8.1.11.6 242038 Bytes 11.07.2010 21:30:47
AEGEN.DLL : 8.1.3.13 381300 Bytes 11.07.2010 21:30:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 11.07.2010 21:30:47
AECORE.DLL : 8.1.15.3 192886 Bytes 11.07.2010 21:30:47
AEBB.DLL : 8.1.1.0 53618 Bytes 11.07.2010 21:30:47
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 12. Juli 2010 16:38

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1613' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'


Ende des Suchlaufs: Montag, 12. Juli 2010 16:58
Benötigte Zeit: 19:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5846 Verzeichnisse wurden überprüft
161449 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
161449 Dateien ohne Befall
946 Archive wurden durchsucht
0 Warnungen
0 Hinweise
219657 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Geändert von multifit (12.07.2010 um 16:17 Uhr)

Alt 12.07.2010, 16:51   #2
markusg
/// Malware-holic
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



bitte deinstaliere zu erst spybot, das macht probleme bei der bereinigung. starte dann neu.
download malwarebytes:
Malwarebytes
instalieren, registerkarte aktualisierung, programm updaten.
dann, schalte alle laufenden programme ab, auch den avir guard.
bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest.
malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten.

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste die beiden.
__________________


Alt 12.07.2010, 19:15   #3
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Malwarebytes
instalieren, registerkarte aktualisierung, programm updaten.
dann, schalte alle laufenden programme ab, auch den avir guard.
bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest.
malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten.

Ich habe ja nur die "Testversion", nen Scan hab ich gemacht und 20/120 Problemen beheben können. Konnte aber kein Log erstellen.
Edit: Mit nem anderen Link komme ich zu dem Malware aus dem Tutorial, ich schaue nochmal gleich...melde mich dann wieder.


Die OTL-Datei ist riesig, kopieren würde 3 Posts kosten und hochladen geht aufgrund der Größe nicht, hab aber alle Einstellungen von die übernommen...
__________________

Geändert von multifit (12.07.2010 um 19:27 Uhr)

Alt 12.07.2010, 20:23   #4
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Ich muss dann wohl versuchen die OTL zu zerstückeln...sie ist 300kb groß, hab ich was falsch gemacht?

Alt 12.07.2010, 20:26   #5
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



und die OTL's...gestaffelt von 1 (Anfang) nach 4 (Ende).

Gruß, ich hoffe ich habe nun erstmal alles geliefert?


Geändert von multifit (12.07.2010 um 20:33 Uhr)

Alt 12.07.2010, 22:24   #6
markusg
/// Malware-holic
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



bitte deinstaliere erst einmal spybot, es kann die arbeit behindern, starte neu.



Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKLM..\Run: [nwiz] File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

nutze den ccleaner, bereinige dateien + registry:
http://www.trojaner-board.de/51464-a...-ccleaner.html

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
öffne dann mal avira, berichte und zeige uns den oder die scan reports, du sagtest ja, avira macht funde die nicht entfernt werden können.

Alt 13.07.2010, 05:21   #7
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Der oben gepostete Malewarebytes-Link verweist mich auf ein anderes Programm welches Funde liefert, ich sie aber nicht löschen kann aufgrund von eingeschränkten Lizensrechten. Antivir läuft sauber durch seit meinem Systemneustart.
Werde die Schritte dennoch mal durchführen.

Alt 13.07.2010, 11:53   #8
markusg
/// Malware-holic
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



du hast doch Malwarebytes schon genutzt... du solltest weiter mit otl fix und combofix machen, was fürn programm hast du dir denn noch instaliert?

Alt 13.07.2010, 12:23   #9
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Zitat:
Zitat von markusg Beitrag anzeigen
bitte deinstaliere zu erst spybot, das macht probleme bei der bereinigung. starte dann neu.
download malwarebytes:
Malwarebytes
instalieren, registerkarte aktualisierung, programm updaten.
dann, schalte alle laufenden programme ab, auch den avir guard.
bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest.
malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten.
Dies führt zu diesem Programm:

Author: Malwarebytes
Date: 2010-04-29
Size: 5.86 MB
License: Shareware $24.95
Requires: Win XP/2003/Vista/Windows7
Downloaded: 4070134 Times

Die ist ein anderes Programm als das, welches im Forum für Tutorials als Malwarebytes genannt wird...

Alt 13.07.2010, 13:02   #10
markusg
/// Malware-holic
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



hmm ist aber die selbe seite. evtl. hast du die pro version gedownloaded, das ist die falsche.

Alt 13.07.2010, 13:25   #11
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Naja, ich poste dann mal was ich rausbekommen habe. Antivir läuft seit dem Neuaufsetzen des Systems sauber durch. Die Firewall deaktiviert sich nun auch nicht mehr. Ich glaube an die Besserung, aber ich denke ihr wisst das besser.


OTL:
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Anna
->Flash cache emptied: 4142 bytes
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Anna
->Temp folder emptied: 188620586 bytes
->Temporary Internet Files folder emptied: 465779187 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139177 bytes
%systemroot%\System32 .tmp files removed: 50705610 bytes
%systemroot%\System32\dllcache .tmp files removed: 1710080 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 689988 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 676,00 mb
 
 
OTL by OldTimer - Version 3.2.9.0 log created on 07132010_132457

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Alt 13.07.2010, 13:36   #12
markusg
/// Malware-holic
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



ok, dann noch avira konfiguration>
avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
instaliere dir secunia um deine software aktuell zu halten
http://www.trojaner-board.de/83959-s...ector-psi.html

Alt 13.07.2010, 17:53   #13
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



So Antivir ist hochgeladen, weiterhin fehlerfrei.
Secunia ist drauf und lass ich dann drauf um mein System zu aktualisieren.
OTL ist runter.
Was mach ich mit dem:
- CCleaner
- Malwarebytes
Kann ich Spybot nun wieder installieren? Was ist denn die Beste Möglichkeit mein System nun sauber zu halten?

Ich dnake für die ganze Hilfe =)

Alt 13.07.2010, 18:03   #14
markusg
/// Malware-holic
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



malwarebytes kannst von zeit zu zeit nutzen, ccleaner auch, mach spybot drauf wenn du magst.
um noch etwas sicherer zu sein, nutze sandboxie
http://www.trojaner-board.de/71542-a...sandboxie.html

Alt 13.07.2010, 19:43   #15
multifit
 
Win.Firewall deaktiviert sich für wenige Sekunden nach start - Standard

Win.Firewall deaktiviert sich für wenige Sekunden nach start



Alles kla.
Ich bedanke mich herzlich.

Antwort

Themen zu Win.Firewall deaktiviert sich für wenige Sekunden nach start
0 bytes, adobe, antivir, antivir guard, avira, bho, bonjour, desktop, dllhost.exe, explorer, firewall, hkus\s-1-5-18, internet, internet explorer, logfile, modul, nach start, nt.dll, nvidia, problem, programme, prozesse, registry, rundll, schutz, sekunden, software, versteckte objekte, verweise, virus, virus eingefangen, virus gefunden, windows, windows xp



Ähnliche Themen: Win.Firewall deaktiviert sich für wenige Sekunden nach start


  1. Firewall deaktiviert sich selbstständig
    Plagegeister aller Art und deren Bekämpfung - 21.08.2015 (4)
  2. Internetverbinung unterbricht immer für wenige Sekunden
    Alles rund um Windows - 16.08.2015 (3)
  3. W7 - Bildschirm bleibt nach Anmeldung wenige Sekunden weiss
    Plagegeister aller Art und deren Bekämpfung - 13.01.2015 (29)
  4. McAfee Echtzeit-Scan deaktiviert sich nach ein paar Sekunden automatisch
    Log-Analyse und Auswertung - 30.12.2013 (5)
  5. WIN XP-Nach der Anmeldung ist kurz die Firewall deaktiviert.
    Antiviren-, Firewall- und andere Schutzprogramme - 24.11.2013 (16)
  6. Einige Internetseiten nicht erreichbar (wenige Sekunden nach Neustart), auch auf anderen PCs im Hause.
    Log-Analyse und Auswertung - 05.06.2013 (1)
  7. Windows XP Updates nicht mehr möglich /Windows Firewall ist immer beim Start deaktiviert
    Antiviren-, Firewall- und andere Schutzprogramme - 26.05.2013 (82)
  8. XP: Windows Update und Firewall sind deaktiviert nach Trojanerbeseitigung
    Log-Analyse und Auswertung - 23.10.2012 (5)
  9. Problem: PC hängt sich ab und zu für wenige Sekunden auf (beim Zocken und Firefox)
    Alles rund um Windows - 01.10.2012 (6)
  10. Nach BKA Trojaner, Windows Firewall deaktiviert sich (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  11. Generic Host Process for Win32 service Absturtz nach start +kein Ton+Firewall deaktiviert
    Log-Analyse und Auswertung - 05.06.2011 (8)
  12. Notebook startet sehr langsam, Firewall deaktiviert sich vorübergehend
    Plagegeister aller Art und deren Bekämpfung - 21.12.2009 (1)
  13. Firewall beim Start IMMER deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (35)
  14. Desktop blockt sich nach wenigen sekunden
    Plagegeister aller Art und deren Bekämpfung - 31.03.2009 (6)
  15. Windows friert wenige Sekunden nach Start ein!
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (11)
  16. Rechner schaltet sich nach einigen Sekunden aus
    Netzwerk und Hardware - 28.05.2007 (2)
  17. Windows Firewall nach Trojanerbefall deaktiviert
    Alles rund um Windows - 08.04.2005 (2)

Zum Thema Win.Firewall deaktiviert sich für wenige Sekunden nach start - Hallo lieber Mitglieder, ich brauche einmal eure Hilfe. Ich hatte mir wohl einen Virus eingefangen, der meine Firewall nach dem Systemstart wenige Sekunden deaktiviert hat. Avira Antivir und Spybot S&D - Win.Firewall deaktiviert sich für wenige Sekunden nach start...
Archiv
Du betrachtest: Win.Firewall deaktiviert sich für wenige Sekunden nach start auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.