Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Internetverbindung streikt bei bestimmten Videostreams (https://www.trojaner-board.de/67485-internetverbindung-streikt-bestimmten-videostreams.html)

thepac 29.12.2008 21:06
Internetverbindung streikt bei bestimmten Videostreams
 
Hallo zusammen,

ich habe folgendes Problem,
jedesmal wenn ich auf kino.to oder ovguide einen Film mit Flashplayer oder Divx sehen will, wird die Verbindung zwischen Router und meinem Rechner unterbrochen.Verbindet er sich wieder,ist die Übertragungsgeschwindigkeit deutlich niedriger oder es klappt garnicht mehr. Eine Fehlermeldung gibt es nie,ich habe allerdings irgendwo gelesen,dass keine IP zugewiesen werden kann
Ich dachte anfangs,der (neue) Router ist Schuld,hab dann erst LAN statt WLAN genommen. Das klappte kurze Zeit und das Spiel ging von vorne los.
Hab dann gelesen das Firefox3 und Flashplayer,sowie SP3 und mein WLAN-Stick sich nicht vertragen.
Bin also zu Opera gewechselt und hab SP3 deinstalliert und direkt noch den alten Router wieder ans Netz genommen.
Erstmal war alles gut.. bis vor ein paar Tagen.
Wieder dasselbe.. disconnect,connect uswusf.Das einzige was hilft ist ein Neustart.Sobald ich aber nur in die Nähe dieser Seiten komme....

Da egal was ich mache,das Problem immer wiederkehrt,dachte ich vielleicht ja auch ein kleines böses Programm,das sich immer wieder einschaltet und mich ausschaltet..
Hab auch schonmal gegoogelt aber nichts zu diesem Thema gefunden.

An Antivirenprogrammen habe ich AVG,Antimalware,Spyware Doctor und Spybot laufen lassen.

Antimalware hat beim ersten Mal was gefunden,das hab ich gelöscht.Seitdem clean.Die anderen ohne Erfolg.

Hier noch mein HJT-Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:30, on 29.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\SYSTEM32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\wbem\wmiapsrv.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe
O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119289612639
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149839289140
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 5822 bytes


Für Hilfe dankbar

pac

thepac 03.01.2009 14:51
Hallo,

kann mir niemand sagen ob zumindest der Log in Ordnung ist?

pac

john.doe 03.01.2009 15:57
Zitat:
kann mir niemand sagen ob zumindest der Log in Ordnung ist?
Fixen:
Code:
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
Ansonsten keine Auffälligkeiten.
Zitat:
Antimalware hat beim ersten Mal was gefunden,das hab ich gelöscht.
Was wurde gefunden? Poste das Log, dann kann man mehr sagen.

ciao, andreas

thepac 03.01.2009 16:07
Juhu eine antwort:-) .. Danke,

hier der 1. Anti Malware Scan

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1563
Windows 5.1.2600 Service Pack 2

28.12.2008 21:56:07
mbam-log-2008-12-28 (21-56-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 102598
Laufzeit: 41 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Save\ReadMe.txt (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\etc\services (Heuristics.Reserved.Word.Exploit)


und der gefixte HJT Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:57, on 03.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\SYSTEM32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS.0\System32\wbem\wmiapsrv.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe
O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119289612639
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149839289140
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe

john.doe 03.01.2009 16:32
Das war nur Adware, nichts schlimmes.

Warum verwendest du einen Popup-Blocker? Opera hat seinen eigenen.

Lies mal, könnte dich interessieren:
https://www.datenschutzzentrum.de/tr...-tracking.html
Fanboy's Adblock List for Opera

Du solltest in Zukunft dein System besser warten.

SP3 gibt es hier: Downloaddetails: Windows XP Service Pack 3
MSIE7 hier: Internet Explorer 7: Jetzt herunterladen
Schau mal bei Secunia vorbei: Scan Now - Online (OSI) - Vulnerability Scanning - Secunia.com

ciao, andreas

thepac 03.01.2009 16:43
MSIE benutze ich garnicht.Macht es Sinn den trotzdem zu aktualisieren?

john.doe 03.01.2009 17:09
Ich mag den MSIE auch nicht und bin bei Opera schon seit der Version 5. Der MSIE ist für genau zwei Sachen gut:
  • Windowsupdate (falls manuell gewünscht)
  • Onlinevirenscanner (falls notwendig)
Hol dir den 7er und halte ihn aktuell, auch wenn du ihn nicht benutzt.

ciao, andreas

thepac 03.01.2009 17:16
wunderbar,werd ich machen.

Vielen dank für Deine Hilfe.

Also kein böses Programm.. das ist gut. Jmd ne Idee was es sonst sein könnte?

john.doe 03.01.2009 17:26
Das hab ich nicht geschrieben. Viele Probleme werden mit HJT nicht angezeigt. Falls du viel Zeit hast, können wir diverse Scanner laufen lassen. Eine andere Möglichkeit ist den Internetverkehr genau zu beobachten, z.B. mit dem hier:
TCPView for Windows

Es geht auch anspruchsvoller mit:
Wireshark: Go deep.
Free network monitor - freeware download for PRTG Network Monitor

ciao, andreas

thepac 03.01.2009 19:18
oh..

zeit hab ich im moment noch;-) oder kann sie mir dafür auf jeden fall nehmen.
was für scanner schlägst du vor?

john.doe 03.01.2009 19:28
1.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

2.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) Führe Superantispyware nach dieser Anleitung aus und poste das Log: http://www.trojaner-board.de/51871-a...tispyware.html

4.) CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

5.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
6.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

thepac 03.01.2009 19:55
ok das mit zeit haben habe ich verstanden;-).
hab mir tcpview installiert,genauso wie Prtg.. Kannst du mir sagen,was ich da entdecken bzw feststellen kann/soll?

john.doe 03.01.2009 20:07
Ein Programm reicht. Nimm nur TCPView, das ist einfacher zu bedienen. Stoppe alle Internetverbindungen wie Browser, automatische Updates, .... Lass TCPView laufen und beobachte die Ausgabe. Poste ein Log.

Das Log bekommst du über Menüzeile: File => Save (As) => Dateiname Uhrzeit.txt (z.B. 1959.txt). Lass den Rechner eine Viertelstunde laufen und starte keine Programme. Erstelle ein neues Log. Aktiviere die Internetverbindungen, starte deinen Browser und erstelle ein neues Log.

ciao, andreas

thepac 03.01.2009 20:26
So hier der erste Scan..

Search Navipromo version 3.7.1 began on 03.01.2009 at 20:09:53,87

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1800+ )
BIOS : Award Modular BIOS v6.00PG
USER : bert ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 6.39.0.160
(Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:127 Go (Free:107 Go)
D:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:29 Go (Free:28 Go)
G:\ (Local Disk) - FAT32 - Total:596 Go (Free:463 Go)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS.0" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\bert\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\bert\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\bert\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS.0\system32" *

* Scan in "C:\Dokumente und Einstellungen\bert\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS.0\system32" :


* In "C:\Dokumente und Einstellungen\bert\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 03.01.2009 at 20:12:49,10 ***

thepac 03.01.2009 21:14
bei den anderen Programmen habe ich tweilweise Probleme sie runterzuladen.Das betrifft
Blacklight und SUPERAntiSpyware. der Download klappt weder über eure Links noch über die seiten der Hersteller.Der Pandascan(über IE ;-)) lädt Dateien runter und zeigt dann unter der Adresse h..p://www.pandasecurity.com/activescan/scan/?type=allpc
eine blanke Seite.

john.doe 03.01.2009 21:24
Versuch mal diesen: Blacklight

Falls es funktioniert, dann lade ich die anderen auch noch hoch.

Hast du ActiveX aktiviert?

ciao, andreas

thepac 03.01.2009 21:37
ActiveX ist aktiviert.

Hier schonmal die TCPlogs

vor dem Einschalten
alg.exe:1060 TCP allesfunkionier:1031 allesfunkionier:0 LISTENING
explorer.exe:1288 UDP allesfunkionier:1514 *:*
jqs.exe:784 TCP allesfunkionier:5152 localhost:1949 CLOSE_WAIT
jqs.exe:784 TCP allesfunkionier:5152 allesfunkionier:0 LISTENING
lsass.exe:676 UDP allesfunkionier:500 *:*
lsass.exe:676 UDP allesfunkionier:4500 *:*
PRTG Probe.exe:1240 TCP allesfunkionier:1224 localhost:23560 ESTABLISHED
PRTG Server.exe:4056 TCP allesfunkionier:23560 localhost:1224 ESTABLISHED
PRTG Server.exe:4056 TCP allesfunkionier:23560 allesfunkionier:0 LISTENING
PRTG Server.exe:4056 TCP allesfunkionier:8085 allesfunkionier:0 LISTENING
PRTG Server.exe:4056 TCP allesfunkionier:80 allesfunkionier:0 LISTENING
svchost.exe:1064 TCP allesfunkionier:2869 allesfunkionier:0 LISTENING
svchost.exe:1064 UDP allesfunkionier:1900 *:*
svchost.exe:1064 UDP allesfunkionier:1900 *:*
svchost.exe:1064 TCP allesfunkionier:2035 fritz.fonwlan.box:49000 ESTABLISHED
svchost.exe:876 TCP allesfunkionier:135 allesfunkionier:0 LISTENING
svchost.exe:912 UDP allesfunkionier:1484 *:*
svchost.exe:968 UDP allesfunkionier:1055 *:*
svchost.exe:968 UDP allesfunkionier:1052 *:*
svchost.exe:968 UDP allesfunkionier:4507 *:*
svchost.exe:968 UDP allesfunkionier:1053 *:*
svchost.exe:968 UDP allesfunkionier:1054 *:*
System:4 TCP allesfunkionier:139 allesfunkionier:0 LISTENING
System:4 TCP allesfunkionier:445 allesfunkionier:0 LISTENING
System:4 UDP allesfunkionier:137 *:*
System:4 UDP allesfunkionier:138 *:*
System:4 UDP allesfunkionier:445 *:*


nach dem Einschalten

alg.exe:1060 TCP allesfunkionier:1031 allesfunkionier:0 LISTENING
explorer.exe:1288 UDP allesfunkionier:1514 *:*
jqs.exe:784 TCP allesfunkionier:5152 localhost:1949 CLOSE_WAIT
jqs.exe:784 TCP allesfunkionier:5152 allesfunkionier:0 LISTENING
lsass.exe:676 UDP allesfunkionier:500 *:*
lsass.exe:676 UDP allesfunkionier:4500 *:*
PRTG Probe.exe:1240 TCP allesfunkionier:1224 localhost:23560 ESTABLISHED
PRTG Server.exe:4056 TCP allesfunkionier:23560 localhost:1224 ESTABLISHED
PRTG Server.exe:4056 TCP allesfunkionier:23560 allesfunkionier:0 LISTENING
PRTG Server.exe:4056 TCP allesfunkionier:8085 allesfunkionier:0 LISTENING
PRTG Server.exe:4056 TCP allesfunkionier:80 allesfunkionier:0 LISTENING
svchost.exe:1064 TCP allesfunkionier:2869 allesfunkionier:0 LISTENING
svchost.exe:1064 UDP allesfunkionier:1900 *:*
svchost.exe:1064 UDP allesfunkionier:1900 *:*
svchost.exe:876 TCP allesfunkionier:135 allesfunkionier:0 LISTENING
svchost.exe:912 UDP allesfunkionier:1484 *:*
svchost.exe:912 TCP allesfunkionier:2041 xyz ESTABLISHED
svchost.exe:912 TCP allesfunkionier:2043 xyz ESTABLISHED
svchost.exe:968 UDP allesfunkionier:1055 *:*
svchost.exe:968 UDP allesfunkionier:1052 *:*
svchost.exe:968 UDP allesfunkionier:4507 *:*
svchost.exe:968 UDP allesfunkionier:1053 *:*
svchost.exe:968 UDP allesfunkionier:1054 *:*
System:4 TCP allesfunkionier:139 allesfunkionier:0 LISTENING
System:4 TCP allesfunkionier:445 allesfunkionier:0 LISTENING
System:4 UDP allesfunkionier:137 *:*
System:4 UDP allesfunkionier:138 *:*
System:4 UDP allesfunkionier:445 *:*

thepac 03.01.2009 21:42
der Link stoppt auch bei knapp 90% :-(

john.doe 03.01.2009 21:48
Klick auf Editieren und lösche die beiden IPs. Versuche den Download noch einmal zu starten. Habe Panda gerade getestet. Musste auch zweimal starten damit er läuft. Beim ersten Mal hing er bei 81%.

ciao, andreas

thepac 03.01.2009 21:56
die beiden IPs sind gelöscht. Mein Provider ist nicht AOL.
Kannst du was sehen?

john.doe 03.01.2009 21:59
Nein, war nicht AOL sondern Microsoftig.

ciao, andreas

thepac 03.01.2009 22:13
das habe ich nicht verstanden

john.doe 03.01.2009 22:17
Die IP, die zu sehen war, gehört zu Microsoft. Habe nur auf die Karte geschaut:
65.55.185.61 - IP-Adresse - utrace - IP-Adressen und Domainnamen lokalisieren

Wenn du auf die IP klickst, die in der Sprechblase zu sehen ist, siehst du das whois.

ciao, andreas

thepac 03.01.2009 22:31
das is ja cool:-) die andere IP lässt sich nicht zuordnen,scheint aber zumindest von den Zahlen aus derselben Region zu kommen,oder?
Da sonst keine IP dabei ist,bedeutet dass,der Rechner greift nur auf Windowsupdate oä zu?

thepac 03.01.2009 22:32
woran könnte das liegen,dass ich die Programme nicht runterladen kann?
Der Download startet ,hört aber immer bei derselben Prozentzahl auf (allerdings bei jedem Programm eine andere)

john.doe 03.01.2009 22:32
:daumenhoc
------
Versuchs mal damit: Hier ist kein Blacklight drin.

ciao, andreas

thepac 03.01.2009 22:49
geht auch nicht ,weder über Opera ,noch über IE

john.doe 03.01.2009 22:53
Versuchs damit: Best Download Manager - FlashGet

Sollte der Download stoppen, dann beende das Programm und starte es nach einer Minute erneut.

thepac 03.01.2009 23:24
hm also mit FlashGet lädt er die Dateien auch nicht runter.Stoppt aber später.
Wenn ich FG neu starte beginnt der Download und dann wird die Inetverbindung gekappt.
Irgendwie wirkt das vertraut;-)

thepac 03.01.2009 23:32
Hr. Kaspersky und Prevx haben nichts gefunden

john.doe 03.01.2009 23:33
Hast du einen anderen PC(Freund, Bekannte) zur Verfügung? Lade die Dateien dort herunter und nutze z.B. einen USB-Stick, um sie auf deinen Rechner zu überspielen.

gute nacht, andreas

thepac 03.01.2009 23:52
ab montag.ersma vielen dank für deinen support.lass über nacht dr.web laufen ,ma sehen wat der so sagt.

gute nacht

pac

thepac 04.01.2009 12:16
Moin,

Dr Web lief über Nacht,hat 3 Dateien gefunden.Die Logdatei hatte ich auf dem Desktop gespeichert,ist aber im normalen Modus nicht vorhanden:(
Die eine Datei war Navilog,die anderen mit der Meldung TrojanStartPage1505 in den Dateien Reg UBP2b-bert.reg und A0149462.reg. Laut Google aber eher Fehlermeldungen.

john.doe 04.01.2009 12:36
Nur False Positives. Kleine Anekdote am Rande: Panda hat bei mir 5 Funde gemeldet. :p

Es stimmt schon, was hier steht:
Computersicherheit - Virenscanner
Homepage von Malte J. Wetz

Ich tendiere auch immer mehr zur Vermutung, das mit deiner Verbindung etwas nicht stimmt. Wer ist dein Provider? Wie genau ist deine Anbindung ans Internet (Modem, WLAN, Router)? Mache trotzdem weiter mit dem Scannen.

ciao, andreas

thepac 04.01.2009 18:07
scannen kann ich erst morgen wenn die anderen programme da sind.
mein provider ist arcor.verbunden bin ich über wlan mit einem d-link dml g122 adapter an eine fritzbox 7170.der andere router war ein zyxel wlan modem 200 von arcor.beide modelle haben dasselbe problem.und wenn ich über kabel gehe, stockt die verbindung auch.wie beim ersten post beschrieben,hate ich schon verschiedene vermutungen,die aber alle nicht zutrafen:(

thepac 05.01.2009 19:48
Hallo,

so Blacklight und SUPERAntiSpyware haben auch nichts gefunden.Konnte die Programme bei meinem Mitbewohner runterladen,was mich zu der Vermutung führt, dass das Problem auf meinem Rechner zu suchen ist.Er benutzt ja dieselbe Internetleitung.

Jetzt erstmal vielen vielen Dank bei männlich unbekannt für deine Unterstützung.

Aber..
Was jetzt noch neu aufgetreten ist,nachdem ganzen Scannen,wenn ich den Rechner hochfahre,geht ein Fenster auf mit cms.exe,indem nichts steht.Geht direkt wieder zu.
Und das Problem besteht weiterhin...
Hat jmd noch ne Idee...?

john.doe 05.01.2009 19:52
Poste ein neues HJT-Log. Das Problem mit dem Fenster lässt sich leicht beheben.

ciao, andreas

thepac 05.01.2009 19:55
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:17, on 05.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\SYSTEM32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\wbem\wmiapsrv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Opera\opera.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe (file missing)
O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [xx]h..p://updatemicrosoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119289612639[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [xx]h..p://updatemicrosoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149839289140[/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe

--
End of file - 6517 bytes

john.doe 05.01.2009 20:04
Deinstalliere Superantispyware.

Starte HJT => Do a system scan only => Markiere:
Code:
O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe (file missing)
O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Programme\WINnerTweak3\PopUp Blocker.exe (file missing)
=> Fix checked => Neustart zur Kontrolle

So, noch ein letzter Versuch:

Panda AntiRootkit
  • Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
  • Starte die PAVARK.exe durch einen Doppelklick.
  • Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
  • Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
  • Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
    Kopiere sie also entweder ab oder erstelle einen Screenshot und stelle ihn uns zur Verfügung.
  • Bereinige die Funde anschließend!

GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Dopperlklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

thepac 05.01.2009 21:00
hallo,

gmer hat mit dem scannen aufgehört,zeigt aber keine meldung an.Wenn ich auf copy drücke,sagt Gmer,dass Ergebnis stehe auf dem clipboard.Wo finde ich das?

john.doe 05.01.2009 21:02
Einfach hier einfügen. Die Zwischenablage(englisch Clipboard) ist normalerweise nicht sichtbar.

ciao, andreas

thepac 05.01.2009 21:09
Panda hat nichts gefunden :-)

thepac 05.01.2009 21:13
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-05 21:12:37
Windows 5.1.2600 Service Pack 3


---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 4AB294ABBD8C25D572F209F50284D5AB9F3E2833280199449F096B6EA741AAEE8A816F526EB900D33C926DCFE2FA89C36739371982EEF8D831A8CB657EE59BE760BD798EF9F5C6409B4692 F3CC9F52BB3A93AD3B5A531E201EDC79CEF8B8B74F2778FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5B E2F6E6675D575E7D6A3B9808A2D97226D213B555BA7FD869164D679415F14448F029BD13449258C0BEB0195CA99F0037E96A1192130D624977A49AA7B615164B2122A13B0E478C8D6E4BF4 D034DA8B02E0AA45D7D5DC2C21AC4137FBB921F7AA0425F9CACD140EAF73747E27CCCB55F0C810AE156FF3C80B103242BFAF044A701D4D986E1CCA0A3CA73BA82AB6C7FD46733D80CFEA4B E7950D50D158107BEA9B114892077811B13F0A442A571A78A7BA5A6D31433934BD48B489BCDCB11CBE9D2957402AC5DD3B38BDC4FCDD02DAF8FA19E97BDEAECF801B3D5D1E97D3CDAF5B55 D1BF9E4AFDDF18898A5EA5DDC19C26ED155FC30315EDFB7FE2D80A164B2A312622F1E12E93DDC8D7F252C601D2C1D03F62A04AD3CFC4C9F6C38EE600A69DE951C67B240312752338F19D8F 23881A02935AC47B219DC7DCC4BBA914794180CBB15145CAB943ED775D0F4981DEAF5C3717991895CEF1407BAE9BD3AFD054498844E77DEDA74310081E6

---- EOF - GMER 1.0.14 ----

ah, verstanden

john.doe 05.01.2009 21:13
----------

Kurze Auszeit.

thepac 05.01.2009 21:15
wieso,was sagt der Log denn?

thepac 05.01.2009 21:21
Habs nochmal gemacht..

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-05 21:20:35
Windows 5.1.2600 Service Pack 3


---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 4AB294ABBD8C25D572F209F50284D5AB9F3E2833280199449F096B6EA741AAEE8A816F526EB900D33C926DCFE2FA89C36739371982EEF8D831A8CB657EE59BE760BD798EF9F5C6409B4692 F3CC9F52BB3A93AD3B5A531E201EDC79CEF8B8B74F2778FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5B E2F6E6675D575E7D6A3B9808A2D97226D213B555BA7FD869164D679415F14448F029BD13449258C0BEB0195CA99F0037E96A1192130D624977A49AA7B615164B2122A13B0E478C8D6E4BF4 D034DA8B02E0AA45D7D5DC2C21AC4137FBB921F7AA0425F9CACD140EAF73747E27CCCB55F0C810AE156FF3C80B103242BFAF044A701D4D986E1CCA0A3CA73BA82AB6C7FD46733D80CFEA4B E7950D50D158107BEA9B114892077811B13F0A442A571A78A7BA5A6D31433934BD48B489BCDCB11CBE9D2957402AC5DD3B38BDC4FCDD02DAF8FA19E97BDEAECF801B3D5D1E97D3CDAF5B55 D1BF9E4AFDDF18898A5EA5DDC19C26ED155FC30315EDFB7FE2D80A164B2A312622F1E12E93DDC8D7F252C601D2C1D03F62A04AD3CFC4C9F6C38EE600A69DE951C67B240312752338F19D8F 23881A02935AC47B219DC7DCC4BBA914794180CBB15145CAB943ED775D0F4981DEAF5C3717991895CEF1407BAE9BD3AFD054498844E77DEDA74310081E6

---- EOF - GMER 1.0.14 ----

john.doe 05.01.2009 21:31
Hattest du mal OO Defrag bei dir installiert?

thepac 05.01.2009 21:37
Kann ich nicht genau sagen. Der Name kommt mir auf jeden Fall bekannt vor,kann also gut sein.

john.doe 05.01.2009 22:31
Sorry für die Unterbrechung. Habe gerade gesehen, dass mein Freund zum zweiten Mal gesperrt wurde.

RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File => Save abspeichern und hier posten.

ciao, andreas

thepac 05.01.2009 22:50
kein Problem :-) aber sach ma wieviele von den Programmen gibts denn noch? ;-)

john.doe 05.01.2009 22:54
Jede Menge, du siehst doch selbst, jedes Programm findet etwas anderes. :)
So langsam sind wir an dem Punkt angekommen, bei dem ein Neuaufsetzen schneller geht.

ciao, andreas

thepac 05.01.2009 22:57
da haste recht..
aber denkst du da is wirklich was?

john.doe 05.01.2009 23:27
Ich versuche gerade Hilfe vom Kompetenzteam zu bekommen, da ich nicht mehr weiter weiß. Ich habe nur einen ähnlichen Thread gefunden, ähnliches Problem, sprich Abbruch von Downloads an der gleichen Stelle. Die kamen nach langem Probieren auch zur Lösung Neuaufsetzen. Warten wir auf Hilfe.

ciao, andreas

thepac 05.01.2009 23:51
rootkitrevealer ist mit scannen fertig,hängt aber bei cleaning up und wird nicht fertig.

thepac 06.01.2009 11:54
auch nach einem neuen start bleibt rkr beim cleaning up stundenlang hängen.was soll ich machen?

thepac 06.01.2009 23:10
jmd ne idee?

john.doe 06.01.2009 23:32
Rootkit Revealer ist schon etwas älter und wird auch nicht mehr supportet. Es wurde von Sysinternals entwickelt, die viele gute Systemtools programmiert haben. Die wurden mittlerweile von Winzigweich(englisch Microsoft) geschluckt. Es dient hauptsächlich zur Diagnose.

Windows Sysinternals

Wie lange doktorst du schon an dem Problem herum? Ein Neuaufsetzen dauert 30 min bis 2 Stunden mit Einspielen des aktuellen SP, Treiberinstallation und Anpassen der Einstellungen. Dann hast du ein sauberes, schnelles und funktionierendes System. Danach Image erstellen und Ruhe ist.

ciao, andreas

thepac 07.01.2009 18:22
das letzte mal hats zwei Tage gedauert:(.deswgen wollte ich erst alles andere ausprobieren.. was sagt denn das kompetenzteam?

thepac 10.01.2009 20:10
hallo,

bevor ich neu aufsetzte,frage ich lieber nochmal nach.Ihr meint,dass wäre das sinnvollste?

thepac 10.01.2009 20:41
john? kompetenzler? :( ;-)

john.doe 10.01.2009 20:51
Ich gehöre nicht zum Kompetenzteam und meine Aussage kennst du. Daran hat sich nichts geändert.

ciao, andreas

thepac 10.01.2009 20:58
na dann werd ich wohl in den sauren Apfel beissen müssen :( .Danke Dir trotzdem für Deine Hilfe

Bert


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58