Trojaner-Board - Windows-firewall problem!

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Windows-firewall problem! (https://www.trojaner-board.de/23926-windows-firewall-problem.html)

Windows-firewall problem!

hi@all

also mein Problem ist folgendes:

Ich kann meine windows Firewall nicht mehr aktivieren, war bis jetzt nie ein problem da ich sie nie verwendet habe. Mich würde aber jetzt schon interresieren wieso sie sich nicht aktivieren läasst.
also wenn ich unter systemsteuerung->Sicherheitscenter->windowsfirewall aktivieren gehe bekomme ich diese Meldung: Das Sicherheitscenter konnte den Windowsfirewall nicht aktivieren.Aktivieren sie den Windowsfirewall manuell, indem sie die Systemsreuerungsoption "Windowsfirewall" wählen...
Die Karteikarte Allgemein wählen und auf Aktivieren klicken.

Dies ist aber nicht möglich da ich diese Option gar nicht anklicken kann...

Neia hoffe jemand von euch weis woran das liegen kann.

Hallo,

eine mögliche Ursache für dein Problem fällt mir sofort ein: aktive Malware

Zitat:

Zitat von loaderking

Habe ständig Trojaner auf dem rechner,die ich fast wöchentlich zu entferenen habe, trotz neuster antivieren updates und
win xp sp2.

Poste mal ein HijackThis-Logfile.

Mein log:

Logfile of HijackThis v1.99.1
Scan saved at 18:10:28, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Tat] C:\WINDOWS\system32\pgtools\tatss.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft QMGR] msnqmgr.exe
O4 - HKLM\..\Run: [sysmu.exe] C:\WINDOWS\system32\sysmu.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Rscmpt] C:\WINDOWS\system32\Rscmpt.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [] C:\WINDOWS\test.vbs
O4 - HKLM\..\RunServices: [Ms Spool32] iexplore.exe
O4 - HKLM\..\RunServices: [Microsoft QMGR] msnqmgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122724953031
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128612068640
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - h**p://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - h**p://nprotect1.gravity.co.kr/nprotect/npx.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - h**p://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O21 - SSODL: AntiVir/XP - {F17374F9-FF54-2353-A0DA-6B2CDE2E10A9} - c:\programme\avpersonal\winvpodc5.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hab ich's mir doch gedacht.
Du hast massenhaft "Bot-Malware" auf dem System, so z.B.
http://www.sophos.de/virusinfo/analy...ojircbots.html

Diese Schädlinge haben alle eins gemein: Sie verfügen über Backdoor-Funktionalität.
=> Du solltest das System zu deiner eigenen Sicherheit neu aufsetzen.

Danke erstmal
Kannst du mir aber auch den Eintrag sagen an dem du das erkennst?
Wäre echt hilfreich...

Den von mir genannten Schädling erkenne ich an diesem Eintrag: O4 - HKLM\..\RunServices: [Microsoft QMGR] msnqmgr.exe

Weitere Einträge, die von Malware stammen:

Zitat:

O4 - HKLM\..\Run: [Tat] C:\WINDOWS\system32\pgtools\tatss.exe
O4 - HKLM\..\Run: [sysmu.exe] C:\WINDOWS\system32\sysmu.exe
O4 - HKLM\..\RunServices: [Ms Spool32] iexplore.exe

ja ok argh... hab ich übersehen...
hab danach gesucht als ich die infos aus deinem Link gelesen habe.
aber irgenwie übersehen.
ok danke für deine Hilfe, komisch/schade nur das antivir ihn nicht erkennt...

edit: also ich hab mal meinen ganze Festplatte nach den dingern durchsucht, aber kann die sysmu/tatss/iexpore/msnqmgr.exe nicht finden. Diese Anwendungen starten sich beim systemstart auch nicht mit... das würde auch erklären warum antivier,spybot und adware nichts finden. Dennoch vertraue ich jetzt mal auf deine Fachkenntniss und setzte neu auf

nochmal edit: also auch dieser pfad: C:\Windows\system32\pgtools\tatss.exe existiert gar nicht

Zitat:

Zitat von loaderking

komisch/schade nur das antivier ihn nicht erkennt...

So verwunderlich ist das nicht. Antivir läuft ja auf dem befallenen System.

Gruß :daumenhoc
Yopie

lol wie meinst du das?
Sobald man sich einen Virus einfängt läuft Antivir ja auf dem befallenen System.
Sinn und Zweck eines Antivirenprogrammes ist es doch aber diese dann anzuzeigen und zu beseitigen oder nicht?korregier mich falls ich mich irre.

ich hab jetzt noch mals die HJT Einträge geprüft und konnte keine der Dateien auf meinem System finden, mit keinem programm, nicht mit der Wsuche noch manuel.Die Dateien waren anscheinen gar nicht mehr auf meinen system...
Ich habe trotzdem mal die einträge mit HJT gefixed.
Zudem hab ich in der MScofig im autostart und der Registry diese Dateien auch nicht gefunden. Der sinn eines backdoor programmes oder überhaupt von Viren ist doch das sie aktiv sind. Die prozesse liefen bei mir auch nicht. Siehe HJT log-> running processes
Falls einem von euch ein Grund dafür kennt, bitte ich ihn ihn mir zu nennen.

Irgendwie finde ich das seltsam liegt aber vll daran das ich einfach nicht die Ahnung habe die ich annehme zu haben;)

Woher willst du wissen, dass sich nicht längst weitere Malware im System ausgebreitet hat und sich z.B. mit einem Rootkit tarnt?
Wie dem auch sei, mir ist es langsam wirklich egal, ist ja nicht mein System. Deins zwar auch nicht, aber gut...

Zitat:

Zitat von loaderking

Sinn und Zweck eines Antivirenprogrammes ist es doch aber diese dann anzuzeigen und zu beseitigen oder nicht?korregier mich falls ich mich irre.

Sinn und Zweck eines AV-Programms ist in erster Linie die Verhinderung einer Infektion. Dies kann gerade bei frischer Malware nicht zuverlässig gelingen. Wenn die Malware aktiv ist, ist es zu spät. Ein AV-Scanner zur Analyse kann nur dann halbwegs zuverlässig sein, wenn er z.B. von Knoppix, also einer eigener Betriebssysteminstanz, gestartet wird. Die Empfehlung, eScan im abgesicherten Modus auszuführen, ist ein Kompromiss, da die optimale Lösung viele User überfordert.

Zitat:

Zudem hab ich in der MScofig im autostart und der Registry diese Dateien auch nicht gefunden. Der sinn eines backdoor programmes oder überhaupt von Viren ist doch das sie aktiv sind. Die prozesse liefen bei mir auch nicht. Siehe HJT log-> running processes

Dafür laufen aber andere Prozesse mit nun harmlosen Namen. Wie sicher bist du, dass diese nicht durch den Zugang, den der Backdoor ermöglichte, verändert wurden?

Gruß :daumenhoc
Yopie

Ich habe das schon mit mehreren tools überprüft z.B RootkitRevealer
ich habe auch mit allen möglichen programmen meine Wichtigen immer laufenden prozesse gescant.
Recht hast du trotzdem, sicher kann man nie sein und ich werde nun auch neu aufsetzen, besser is das.Bin nähmlich auch lieber auf der "sicheren" Seite

also danke nochmal;)