Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Netzwerk und Hardware (https://www.trojaner-board.de/netzwerk-hardware/)
-   -   Nach Entfernung der AV Security Suite kein Internet mehr....aber Ping geht (https://www.trojaner-board.de/88869-entfernung-av-security-suite-kein-internet-mehr-ping-geht.html)

Perle 29.07.2010 16:56
Nach Entfernung der AV Security Suite kein Internet mehr....aber Ping geht
 
Hi!

Hab ein grosses Problem mit einem Laptop (XP Media Center Ed. SP3)

Seitdem ich mir die AV Security Suite eingefangen habe, komm ich mit dem Browser nicht mehr ins Internet. Weder mit IE noch mit FF. Die AV Security Suite ist mittlerweile entfernt, hinterlassen hat sie mir aber eine nicht funktionierende Namensauflösung.

- Ping auf www.google.de geht nicht
- Ping auf Google IP geht aber durch
- Avira (update) und ICQ funktionieren
- Malwarebytes kann sich keine updates holen -> MBAM_ERROR_UPDATING (12007, 0, Win HttpSendRequest)
- Im Browser www.Google.de aufrufen geht nicht, aber über die IP gehts

- Hab schon den DHCP Dienst wieder in Gang gebracht (einer der Treiber war gelöscht)
- Lan Einstellungen gecheckt (alles auf autom. vom DHCP....)
- Winsock gefixt
- uns alles andere was ich im Netz gefunden habe (weiss schon nicht mehr was alles) getan um das Problem zu lösen.....leider bisher ohne Erfolg

Irgendwas verhindert das die Namen aufgelöst werden, nur was....? Hoffe hier gibts noch ein paar Stichworte die mir weiter helfen, denn ich weiss mittlerweile nicht mehr weiter.....

Alle Einstellungen die ich geprüft habe sind genauso wie bei meinem 2. Laptop (XP Pro SP3) das tadellos funktioniert.

Was mir noch aufgefallen ist, ich aber mit Google nicht weitergekommen bin:
Nachdem ich ZoneAlarm am laufen hatte und die Browser gestartet habe will
- FF.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 1039
- IE.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
- jqsnotify.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
Sind die Ports ok? Hab da irgendwas in Erinnerung von wegen das da HTTP stehen müsste.

Gruß,
Perle

cosinus 29.07.2010 21:01
Zitat:
Irgendwas verhindert das die Namen aufgelöst werden, nur was....?
Check mal die proxysettings, es ist neuerdings Mode, dass die Malware 127.0.0.1 als Proxy definiert und dann die Internetverbindung gestört ist.

Perle 29.07.2010 23:11
Wenn Du die Einstellungen im IE meinst, da is alles wie es sein soll. War aber vorher ein Proxy drin der auch immer wieder drin stand bis die AVSS entfernt war. Auch in der Registry war ein ProxyEintrag den HJT als Böse ausgewiesen hatte. Ist aber mittlerweile alles wie es sein soll.

Hosts-Datei is auch ok.

cosinus 30.07.2010 14:11
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Perle 01.08.2010 12:46
Hier die beiden OTL Logfiles:

Code:
OTL logfile created on: 01.08.2010 13:33:32 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 587,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 18,00 Gb Total Space | 2,23 Gb Free Space | 12,36% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,77 Gb Total Space | 3,76 Gb Free Space | 99,73% Space Free | Partition Type: FAT
Drive F: | 406,29 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ******
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\Avira\AntiVir Desktop\update.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS)
PRC - C:\Programme\FinePixViewerS\QuickDCF2.exe (FUJIFILM Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Zone Labs, LLC)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (NuidFltr) -- C:\WINDOWS\system32\drivers\nuidfltr.sys (Microsoft Corporation)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (srescan) -- C:\WINDOWS\system32\ZoneLabs\srescan.sys (Zone Labs, LLC)
DRV - (KLIF) -- C:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (ss_mdm) -- C:\WINDOWS\system32\drivers\ss_mdm.sys (MCCI)
DRV - (ss_mdfl) -- C:\WINDOWS\system32\drivers\ss_mdfl.sys (MCCI)
DRV - (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM) -- C:\WINDOWS\system32\drivers\ss_bus.sys (MCCI)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.king.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: fdm_ffext@freedownloadmanager.org:1.3.4
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.10.16 03:39:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.11.17 16:10:54 | 000,000,000 | ---D | M]
 
[2009.03.14 12:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.06.06 13:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3m4qkiy8.default\extensions
[2009.10.16 03:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3m4qkiy8.default\extensions\staged-xpis
[2010.07.29 11:52:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.08.24 21:25:19 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.08.24 21:25:19 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.08.24 21:25:19 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.08.24 21:25:19 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.08.24 21:25:19 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.29 16:28:04 | 000,000,736 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS)
O4 - HKCU..\Run: [cfkmaqdu] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk\uvrftcytssd.exe File not found
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\RunOnce: [Shockwave Updater] C:\WINDOWS\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -Mozilla\4.0 ( File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher S.lnk = C:\Programme\FinePixViewerS\QuickDCF2.exe (FUJIFILM Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Pampers Pregnancy Widget.lnk = C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für PGPregnancyWidget_Win_de_DE.zip\PampersPregnancyWidget.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 157
O8 - Extra context menu item: Alles mit FDM herunterladen - C:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Auswahl mit FDM herunterladen - C:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - C:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Videos mit FDM herunterladen - C:\Programme\Free Download Manager\dlfvideo.htm ()
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} hxxp://downloads.ewido.net/ewidoOnlineScan.cab (ewidoOnlineScan Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220373424578 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220373508156 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.09.02 16:03:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.02.09 11:28:46 | 000,000,060 | R--- | M] () - F:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{bc6a7344-6948-11de-83c2-0040d0990f84}\Shell - "" = AutoRun
O33 - MountPoints2\{bc6a7344-6948-11de-83c2-0040d0990f84}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bc6a7344-6948-11de-83c2-0040d0990f84}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup.exe -- [2003.04.23 04:54:00 | 000,040,960 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.01 13:32:43 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.07.29 16:36:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.07.29 16:28:37 | 000,000,000 | ---D | C] -- C:\ERDNT
[2010.07.29 11:36:04 | 000,138,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\afd.sys
[2010.07.20 15:14:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.07.20 15:14:47 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.20 15:14:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.20 15:14:44 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.20 15:14:44 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.17 15:08:34 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.17 14:55:10 | 000,472,064 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\***\Desktop\RootRepeal.exe
[2010.07.17 14:49:06 | 001,154,616 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\***\Desktop\ccsetup233_slim.exe
[2010.07.17 14:48:01 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
[2010.07.12 18:28:48 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2010.07.12 14:24:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.01 13:32:12 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.08.01 13:31:25 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.01 13:31:22 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.01 13:31:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.01 13:30:24 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.07.30 02:41:11 | 070,740,000 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2010.07.30 02:41:11 | 000,821,276 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2010.07.30 02:40:49 | 004,194,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.07.30 02:40:49 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.07.29 17:43:08 | 000,358,382 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2010.07.29 16:28:04 | 000,000,736 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.29 14:02:21 | 000,000,304 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\registry enable proxy.reg
[2010.07.29 11:03:58 | 000,081,220 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\registry.reg
[2010.07.21 18:05:24 | 004,317,270 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.17 17:17:12 | 000,000,015 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\settings.dat
[2010.07.17 14:49:20 | 001,154,616 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\***\Desktop\ccsetup233_slim.exe
[2010.07.17 14:48:08 | 000,401,720 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
[2010.07.06 08:45:39 | 000,095,831 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\dis
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.29 13:59:18 | 000,000,304 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\registry enable proxy.reg
[2010.07.29 11:03:58 | 000,081,220 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\registry.reg
[2010.07.17 17:16:53 | 000,000,015 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\settings.dat
[2010.07.17 14:55:01 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\gmer.exe
[2010.07.17 14:51:05 | 000,030,259 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\hjtscanlist.bat
[2010.07.12 19:26:58 | 000,001,044 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.07.06 08:45:39 | 000,095,831 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\dis
[2010.02.22 20:51:06 | 000,001,158 | ---- | C] () -- C:\WINDOWS\DirPrintOK.ini
[2009.10.01 21:42:18 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2009.10.01 21:42:17 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.03.29 11:13:16 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.01.12 15:22:00 | 000,000,142 | ---- | C] () -- C:\WINDOWS\bctester_de.INI
[2009.01.12 12:40:31 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2008.10.17 14:15:13 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll
[2008.10.17 14:15:13 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll
[2008.10.17 14:14:57 | 000,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll
[2008.09.02 22:51:49 | 000,000,065 | ---- | C] () -- C:\WINDOWS\FISHUI.INI
[2008.09.02 22:48:34 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2008.09.02 22:48:34 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2008.09.02 22:48:33 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2008.09.02 22:48:33 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ogg.dll
[2005.08.05 14:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
< End of report >
Code:
OTL Extras logfile created on: 01.08.2010 13:33:32 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 587,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 18,00 Gb Total Space | 2,23 Gb Free Space | 12,36% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,77 Gb Total Space | 3,76 Gb Free Space | 99,73% Space Free | Partition Type: FAT
Drive F: | 406,29 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: *****
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0E4BC542-9CFD-4E97-B586-9F1E5516E7B9}" = Microsoft IntelliPoint 6.1
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4ACBBFC6-3F39-48DE-8D85-182736B2749B}" = Garmin MapSource
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{641FE800-650B-4E99-A304-9D50E7235BAF}" = Topo Deutschland v2
"{67B9AF41-C0B9-4960-84D9-A61D23DE85D8}" = Garmin Trip and Waypoint Manager v4
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{88B32652-CAE0-4909-A463-5840D2689D93}" = FUJIFILM FinePixViewer S Ver.2.1
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9A40CE-4BC6-40EC-AB37-FCAD554AE534}" = PC Stop-It
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C19BE821-89B1-4A96-AC7C-873810C0CB5F}" = ContentSAFER for Wizmax
"{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = Samsung Media Studio 5
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCD90636-D97D-4130-A44A-3AD4E63B9220}" = OpenOffice.org 2.4
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5B35376-6F9E-47B3-A9F8-791824EBFE0D}" = Samsung PC Studio 3
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3560CF6-5831-46E3-90ED-D36B08769735}" = webmiles-Sammelfreund
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"Ankh" = Ankh
"Ankh - Heart of Osiris" = Ankh - HdO
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CNXT_MODEM_HDA_HSF" = HDAUDIO Soft Data Fax Modem with SmartCP
"DirPrintOK" = DirPrintOK
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Dragonboard_is1" = Dragonboard 0.9
"ffdshow_is1" = ffdshow [rev 3078] [2009-09-17]
"Free Download Manager_is1" = Free Download Manager 3.0
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"JDownloader" = JDownloader
"king.com" = king.com (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.3)" = Mozilla Firefox (3.5.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"SAMSUNG CDMA Modem" = SAMSUNG CDMA Modem Driver Set
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.0.2
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wecker 2.2" = Wecker 2.2 2.2
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 29.07.2010 11:34:15 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 12:34:30 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 14:02:14 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 15:07:35 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 15:37:09 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 16:34:18 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 17:34:17 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 18:34:18 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 19:34:19 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 01.08.2010 07:31:46 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
[ System Events ]
Error - 29.07.2010 10:31:30 | Computer Name = ***** | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 29.07.2010 10:31:32 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 29.07.2010 10:45:05 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 29.07.2010 10:47:51 | Computer Name = ***** | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 29.07.2010 10:47:51 | Computer Name = ***** | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 29.07.2010 10:59:41 | Computer Name = ***** | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 29.07.2010 10:59:41 | Computer Name = ***** | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 29.07.2010 11:22:00 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 01.08.2010 07:31:43 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 01.08.2010 07:32:45 | Computer Name = ***** | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
 "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
 eine Verbindung herzustellen.
 
 
< End of report >

cosinus 01.08.2010 19:33
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
O4 - HKCU..\Run: [cfkmaqdu] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk\uvrftcytssd.exe File not found
:Files
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Perle 03.08.2010 11:26
Hi!

Werd noch Wahnsinnig.....leider immer noch das selbe Problem. Hier das Logfile von OTL:

Code:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cfkmaqdu deleted successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\+++\Lokale Einstellungen\Anwendungsdaten\wfwespxtk folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: +++
->Temp folder emptied: 149056 bytes
->Temporary Internet Files folder emptied: 151189 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 36482433 bytes
->Flash cache emptied: 3889 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1240390 bytes
%systemroot%\System32 .tmp files removed: 6200199 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32768 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 42,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 08032010_121515

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 03.08.2010 14:24
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:[indent]Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Perle 04.08.2010 13:09
CCleaner und ComboFix ausgeführt. Update und Wiederherstellungskonsole wurden zwar vorgeschlagen, konnten aber nicht heruntergeladen werden --> Keine Verbindung.

Code:
ComboFix 10-08-03.04 - +++ 04.08.2010  13:56:22.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.664 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\+++\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\muzapp.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-04 bis 2010-08-04  ))))))))))))))))))))))))))))))
.

2010-08-03 10:15 . 2010-08-03 10:15        --------        d-----w-        C:\_OTL
2010-07-29 14:28 . 2010-07-29 14:28        --------        d-----w-        C:\ERDNT
2010-07-29 09:36 . 2008-04-13 19:19        138112        -c--a-w-        c:\windows\system32\dllcache\afd.sys
2010-07-29 09:36 . 2008-04-13 19:19        138112        ----a-w-        c:\windows\system32\drivers\afd.sys
2010-07-20 13:14 . 2010-07-20 13:14        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\Malwarebytes
2010-07-20 13:14 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 13:14 . 2010-07-20 13:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-20 13:14 . 2010-07-20 13:14        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-20 13:14 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-17 13:08 . 2010-07-17 13:08        --------        d-----w-        c:\programme\CCleaner

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 09:09 . 2008-10-17 12:18        821468        --sha-w-        c:\windows\system32\drivers\fidbox.idx
2010-08-04 09:09 . 2008-10-17 12:18        70740000        --sha-w-        c:\windows\system32\drivers\fidbox.dat
2010-08-03 10:12 . 2008-09-02 16:11        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\ICQ
2010-08-03 10:11 . 2008-09-02 15:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-07-06 06:16 . 2008-09-10 05:35        1        ----a-w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-07-06 06:16 . 2008-09-10 05:34        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\OpenOffice.org2
2010-06-24 10:55 . 2009-03-12 08:22        --------        d-----w-        c:\programme\ICQ6.5
2010-06-24 10:13 . 2006-03-24 12:00        84280        ----a-w-        c:\windows\system32\perfc007.dat
2010-06-24 10:13 . 2006-03-24 12:00        458766        ----a-w-        c:\windows\system32\perfh007.dat
2010-06-13 21:51 . 2009-05-04 15:12        --------        d-----w-        c:\programme\JDownloader
2010-06-13 21:48 . 2010-06-06 10:50        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\Free Download Manager
2010-06-06 17:50 . 2008-09-02 18:41        --------        d-----w-        c:\programme\Microsoft Silverlight
2010-06-06 10:50 . 2010-06-06 10:50        --------        d-----w-        c:\programme\Free Download Manager
2010-06-06 10:50 . 2010-06-06 10:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2010-03-19 19:59 . 2010-03-19 19:58        2114184        ----a-w-        c:\programme\Install_Facebook_Plug-In_1.0.3[1]
2009-04-19 11:55 . 2009-04-19 11:55        1048200        ----a-w-        c:\programme\MoveMediaPlayer_071303000004.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-19 729178]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-10-19 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-10-19 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-10-19 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-10-19 14743552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SMSTray"="c:\programme\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-12-14 132624]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Exif Launcher S.lnk - c:\programme\FinePixViewerS\QuickDCF2.exe [2009-6-13 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.01.2010 02:14 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.12.2009 19:46 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-08-04 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-02 14:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.king.com/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
FF - ProfilePath - c:\dokumente und einstellungen\+++\Anwendungsdaten\Mozilla\Firefox\Profiles\3m4qkiy8.default\
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 14:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2010-08-04  14:03:41
ComboFix-quarantined-files.txt  2010-08-04 12:03

Vor Suchlauf: 2.311.421.952 Bytes frei
Nach Suchlauf: 2.343.022.592 Bytes frei

- - End Of File - - 30290877429D6EAEA151BA8A4B08B008

cosinus 05.08.2010 14:47
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Perle 05.08.2010 17:43
GMER und Bootkit-Remover hab ich laufen lassen. OSAM geht nicht da keine Verbindung zur DB.

Bootkit-Remover meint: Unknown Bootcode has been found on some of your phisical disks

Weiss nicht ob das vielleicht daran liegt das D: nicht formatiert ist..?

Hier das Log von GMER:

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-05 18:04:27
Windows 5.1.2600 Service Pack 3
Running: o54m4r8c.exe; Driver: C:\DOKUME~1\+++\LOKALE~1\Temp\pgtdapog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateFile [0xAA0C9930]
SSDT            F7C3DD96                                                                    ZwCreateKey
SSDT            F7C3DD8C                                                                    ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteFile [0xAA0C9F20]
SSDT            F7C3DD9B                                                                    ZwDeleteKey
SSDT            F7C3DDA5                                                                    ZwDeleteValueKey
SSDT            F7C3DDAA                                                                    ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenFile [0xAA0C9D70]
SSDT            F7C3DD78                                                                    ZwOpenProcess
SSDT            F7C3DD7D                                                                    ZwOpenThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRenameKey [0xAA0D6250]
SSDT            F7C3DDB4                                                                    ZwReplaceKey
SSDT            F7C3DDAF                                                                    ZwRestoreKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetInformationFile [0xAA0CA120]
SSDT            F7C3DDA0                                                                    ZwSetValueKey
SSDT            F7C3DD87                                                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?              srescan.sys                                                                  Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \FileSystem\Fastfat \Fat                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

cosinus 05.08.2010 18:09
Zitat:
Nachdem ich ZoneAlarm am laufen hatte und die Browser gestartet habe will
- FF.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 1039
- IE.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
- jqsnotify.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
Sind die Ports ok? Hab da irgendwas in Erinnerung von wegen das da HTTP stehen müsste.
Nochmal zu diesem Thema, ZoneAlarm ist der letzte Schrott, es ist für unbegreiflich warrum es Zugriffe auf den localhost (Dein Rechner selbst, loopback) melden muss! Warum benutzt Du ZoneAlarm überhaupt wenn Du schon mit solchen Meldungen nichts anfangen kannst?
ZoneAlarm solltest Du umgehend komplett deinstallieren, nutz die Windows-Firewall!

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Perle 05.08.2010 23:34
Also ZA benutze ich nur um zu wissen was nach draussen will. Sicherer fühl ich mich dadurch nicht. Um das zu blocken was rein will ist hauptsächlich mein Router zuständig. Z.B. hätt ich nix von meinem ersten und einzigen Rootkit mitbekommen wenn ZA nicht gemeldet hätte dass da immer wieder was raus will. Ich benutz Win seit 3.1 und hatte bis jetzt nur dies eine Mal nen Schädling drauf. Ich denke mal das ist kein schlechter Schnitt dafür das ich fast 20 Jahre mit dem IE unterwegs war und meine Rechner seit den Anfängen der Flatrates fast immer 24/7 online sind. Also wenn man noch vorsichtiger sein will als ich, dann muss man seinen Internetvertrag kündigen :lach:

Der aktuelle Fall betrifft den Rechner meiner Freundin, aber den Schädling hab ich mir damit eingefangen. Und zwar von einem Werbe-PopUp auf OnlineTVRecorder.de. Avira hat auch angeschlagen und nen HTML-Script Virus gemeldet. Ich hab ihn gleich löschen lassen. Hat aber nix gebracht.

Und als ich mir den Schädling eingefangen hab lief die Windows FW, war kein ZA drauf, war Avira auf aggressiv eingestellt und auch Windows durfte sich bei Bedarf täglich an Updates bedienen. ZA hab ich nur installiert um evtl. einen Hinweise zu bekommen falls was raus funkt, denn wie Du ja selbst siehst ist mein Fall nicht so einfach und ich war mit meinem Latein am Ende. Und wenn auch Du nicht mehr weiter weisst dann sag Bescheid....werde dann schweren Herzens die Windows CD einlegen.... :killpc:

cosinus 06.08.2010 09:08
Zitat:
Also ZA benutze ich nur um zu wissen was nach draussen will.
Nur dummerweise geht sowas nicht zuverlässig, da es genug Möglichkeiten gibt, an der PFW vorbei zu senden. Ironischerweise war es ZA einmal selbst, was nach Hause telefoniert hat. :balla:

Zitat:
Z.B. hätt ich nix von meinem ersten und einzigen Rootkit mitbekommen wenn ZA nicht gemeldet hätte dass da immer wieder was raus will.
Da ist reine Glückssache. Aktive Malware kann auch problemlos das Regelwerk ändern oder andersweitig an ZA vorbei senden. Oder ZA einfach abschießen, das ZA-Traysymbol würde dann solange im Systray (bei der Uhrzeit) bleiben, bis Du mit der Maus drübergehst.

Bitte ZA jetzt deinstallieren. OSAM Nochmal ausführen, den Schritt mit der Online-DB musst Du überspringen!

felix1 06.08.2010 21:20
Da hat cosinus schon recht.
Deinstalliere ZA und poste ein HJT-Lgfile.

Felix

Perle 06.08.2010 23:10
Zitat:
Zitat von cosinus (Beitrag 550914)
OSAM Nochmal ausführen, den Schritt mit der Online-DB musst Du überspringen!
Wie überspringt man diesen Schritt? Da kommt die Meldung das keine Verbindung hergestellt werden kann und dann bleiben die Buttons ausgegraut.

cosinus 06.08.2010 23:24
Wie wärs mit abbrechen? :confused:
Sry, kann jetzt osam nicht ausführen, Du musst einfach nur osam sagen, er soll die online-db nicht abfragen

Perle 09.08.2010 20:49
Ah, ok, ich dachte das am Anfang war nur das Vorspiel und der richtige Scan kommt erst nach der Verbindung zur Online-DB :o

Also hier das Ergebnis nach inkl. deinstalliertem Zone Alarm:

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:44:35 on 09.08.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17055

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\+++\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{653DCCC2-13DB-45B2-A389-427885776CFE} "Aktivitäten-Eigenschaftenseite" - "Microsoft Corporation" - c:\Programme\Microsoft IntelliPoint\ipcplact.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -  (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{20082881-FC36-4E47-9A7A-644C95FF749F} "Schnurlose Eigenschaften" - "Microsoft Corporation" - c:\Programme\Microsoft IntelliPoint\ipcplwir.dll
{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE} "Scrollrad-Eigenschaftenseite" - "Microsoft Corporation" - c:\Programme\Microsoft IntelliPoint\ipcplwhl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{124597D8-850A-41AE-849C-017A4FA99CA2} "Tasten-Eigenschaftenseite" - "Microsoft Corporation" - c:\Programme\Microsoft IntelliPoint\ipcplbtn.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{193C772A-87BE-4B19-A7BB-445B226FE9A1} "ewidoOnlineScan Control" - "Anti-Malware Development a.s." - C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL / hxxp://downloads.ewido.net/ewidoOnlineScan.cab
Garmin Communicator Plug-In "Garmin Communicator Plug-In" - ? -  (File not found | COM-object registry key not found) / https://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -  (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{01708BC3-6BDC-47fc-98FD-27875CF91138} "Sammelfreund.Toolbar" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{CC59E0F9-7E43-44FA-9FAA-8377850BF205} "FDMIECookiesBHO Class" - ? - C:\Programme\Free Download Manager\iefdm2.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Exif Launcher S.lnk" - "FUJIFILM Corporation" - C:\Programme\FinePixViewerS\QuickDCF2.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\+++\Startmenü\Programme\Autostart\desktop.ini
"Pampers Pregnancy Widget.lnk" - "Pampers                            " - C:\Dokumente und Einstellungen\+++\Eigene Dateien\PGPregnancyWidget_Win_de_DE\PampersPregnancyWidget.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ICQ" - "ICQ, LLC." - "C:\Programme\ICQ6.5\ICQ.exe" silent
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce )-----
"Shockwave Updater" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648)" -"hxxp://www.king.com/play.jsp?tournamentId=6885"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"IntelliPoint" - "Microsoft Corporation" - "c:\Programme\Microsoft IntelliPoint\ipoint.exe"
"RTHDCPL" - "Realtek Semiconductor Corp." - RTHDCPL.EXE
"SMSTray" - "SAMSUNG ELECTRONICS" - C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - ? - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe  (File not found)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus 09.08.2010 21:30
Sieht ok aus. Vom Bookit Remover will ich den genauen Wortlaut sehen oder einen Screenshot.

Perle 10.08.2010 12:07
Liste der Anhänge anzeigen (Anzahl: 1)
Hier ein Screenshot

cosinus 10.08.2010 12:16
Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0

Perle 10.08.2010 12:45
Liste der Anhänge anzeigen (Anzahl: 1)
Done...siehe Screenshot. Danach neu gestartet. Nach Neustart kam die Meldung das die Geräteeinstellungen geändert wurden und ich zur Nutzung der Geräte nen Neustart brauche. Also nochmal neu gestartet und kurz versucht Google.de aufzurufen und Malwarebytes upzudaten. Leider immer noch keine Verbindung.

cosinus 10.08.2010 13:08
Zitat:
Nach Neustart kam die Meldung das die Geräteeinstellungen geändert wurden und ich zur Nutzung der Geräte nen Neustart brauche.
Ja das ist normal. Bitte zur Kontrolle die remover.exe per Doppelklick ausführen und die Ausgabe posten.

Zitat:
und Malwarebytes upzudaten. Leider immer noch keine Verbindung.
Check mal in Malwarebytes unter Einstellungen => Aktualisierungseinstellungen ob noch ein Proxy drin ist. Manchmal ist das der Fall, wenn ja den rausnehmen, kein proxy verwenden.

Perle 10.08.2010 13:19
Liste der Anhänge anzeigen (Anzahl: 2)
Malwarebytes hat keinen Proxy eingetragen und das Häckchen ist auch nicht gesetzt. Hier der Screenshot der remove.exe und weil ich grade dabei war auch einer der Malwarebytes Fehlermeldung:

Perle 10.08.2010 14:15
Habe eben nochmal Proxy-Einstellungen von FF und Lan-Verbindung gecheckt. Ist alles korrekt. Und dann noch die Anleitung von Gigamail zur deinstallation von ZoneAlarm abgearbeitet (wobei das Problem ja schon vor ZA vorhanden war).

cosinus 10.08.2010 14:31
Hm schon komisch. Du erwähntest am Anfang ein DNS-Problem. Ist das tatsächlich so?
Was passiert zB bei "ping 193.99.144.80" und was bei "ping heise.de" ?

Sollte in etwa so aussehen, hier von einer Linuxkonsole aus:


Code:
arne-desktop:~ $ ping heise.de
PING heise.de (193.99.144.80) 56(84) bytes of data.
64 bytes from redirector.heise.de (193.99.144.80): icmp_seq=1 ttl=248 time=10.1 ms
64 bytes from redirector.heise.de (193.99.144.80): icmp_seq=2 ttl=248 time=9.82 ms

--- heise.de ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1008ms
rtt min/avg/max/mdev = 9.828/10.007/10.186/0.179 ms

arne-desktop:~ $ ping 193.99.144.80
PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.
64 bytes from 193.99.144.80: icmp_seq=1 ttl=248 time=10.4 ms
64 bytes from 193.99.144.80: icmp_seq=2 ttl=248 time=10.5 ms
64 bytes from 193.99.144.80: icmp_seq=3 ttl=248 time=11.0 ms

--- 193.99.144.80 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2019ms
rtt min/avg/max/mdev = 10.427/10.686/11.052/0.266 ms

Perle 10.08.2010 14:47
Egal ob heise.de, www.heise.de oder ob ich es mit google versuche:
Zitat:
Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen und versuchen Sie es erneut.
Beim Ping auf heise.de hab ich 4 von 4 gesendeten Paketen empfangen bei nem Mittelwert von 48ms.

Perle 10.08.2010 14:55
Ach ja, und wenn ich die Heise IP im Firefox anwähle komm ich durch, werd aber auf Heise.de weitergeleitet und dann kommt wieder Seite kann nicht angezeigt werden. Mit der IP von Google wird Google angezeigt, aber weiter gehts von da aus auch nicht mehr weil dann wieder über Domains geht.

Kann auch auf meinen Router zugreifen und dort Einstellungen vornehmen. Alles ganz normal.....solange die Adresse in der Form hxxp://123.456.789.123 bleibt.

ICQ funktioniert auch und Avira holt sich tägliche Updates.

Meine Hosts Datei befindet sich aktuell wieder im Originalzustand (von dem Laptop rüberkopiert an dem ich grade sitze). Ansonsten benutz ich so ne angepasste Version wo tausende Ad-Anbieter auf 127.0.0.1 umgeleitet werden. Aber da nen schlechten Eintrag zu finden war mir zu umständlich, daher isses aktuell das MS-Original.

Was war noch? Ah ja, der Schädling hatte zwei DLLs (afd und netbt) in System32 gelöscht die der DHCP Dienst braucht. Deshalb ist DHCP nicht gestartet und die LAN-Verbindung hat ewig auf ne IP vom Router gewartet. Die DLL hab ich dann auch von meinen Laptop rüberkopiert, seitdem läuft der DHCP Dienst wieder und IPs können aufgerufen werden. Nur eben keine Domains. Hab auch schon den Netzwerktreiber gelöscht und neu installiert. Winsockxpfix laufen lassen. Und die Einstellungen der Lan-Verbindung mit denen von meinem funktionierenden Laptop abgeglichen.

cosinus 10.08.2010 20:06
Zitat:
Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen und versuchen Sie es erneut.
Beim Ping auf heise.de hab ich 4 von 4 gesendeten Paketen empfangen bei nem Mittelwert von 48ms.
Das ist ein Widerspruch. Wenn er heise.de oder was auch immer nicht finden kann, kann es keine 4 empfangene von 4 gesendeten Pakete geben!

Konfiguriere mal Deine IP-Adresse für diesen Rechner manuell. Vergib mal testweise auch manuell DNS-Adressen von OpenDNS, den ersten als 208.67.222.222 und den zweiten 208.67.220.220

Perle 10.08.2010 20:36
Zitat:
Zitat von cosinus (Beitrag 553225)
Das ist ein Widerspruch. Wenn er heise.de oder was auch immer nicht finden kann, kann es keine 4 empfangene von 4 gesendeten Pakete geben!
Oh, sorry, kleiner Fehler in der Hitze des Gefechts. Sollte natürlich heissen Beim Ping auf die IP von heise.de hab ich 4 von 4 gesendeten Paketen empfangen bei nem Mittelwert von 48ms.

Werd morgen mal die IPs manuell vergeben. Muss jetzt weg.

Perle 10.08.2010 20:55
Hab mir doch noch kurz die Zeit genommen. Auch bei manueller Vergabe alles wie gehabt. FF und Malwarebytes = Keine Verindung.

cosinus 11.08.2010 06:27
Du hast auch die DNS-Server von OpenDNS manuell eingetragen?

Poste mal bitte die Ausgabe von ipconfig /all

Perle 11.08.2010 15:08
Jep, auch DNS eingetragen. Hier die Ausgaben von ipconfig bei manueller und automatischer Vergabe. Hab ich aber alles schon mit meinem funktionierenden Laptop abgeglichen bevor ich Dich bemüht habe. Stimmt alles überein - bis auf die IP natürlich :-)

Feste IP
Code:
Windows-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : +++
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Hybrid
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung 2:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Eth
ernet-NIC
        Physikalische Adresse . . . . . . : 00-40-D0-99-0F-84
        DHCP aktiviert. . . . . . . . . . : Nein
        IP-Adresse. . . . . . . . . . . . : 192.168.0.191
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.0.1
        DNS-Server. . . . . . . . . . . . : 208.67.222.222
                                            208.67.220.220

Ethernetadapter Drahtlose Netzwerkverbindung:

        Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
        Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 2200BG Network
 Connection
        Physikalische Adresse . . . . . . : 00-16-6F-AB-70-7E
Dynamische IP
Code:
Windows-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : +++
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Hybrid
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung 2:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Eth
ernet-NIC
        Physikalische Adresse . . . . . . : 00-40-D0-99-0F-84
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 192.168.0.191
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.0.1
        DHCP-Server . . . . . . . . . . . : 192.168.0.1
        DNS-Server. . . . . . . . . . . . : 192.168.0.1
        Lease erhalten. . . . . . . . . . : Mittwoch, 11. August 2010 16:02:03
        Lease läuft ab. . . . . . . . . . : Donnerstag, 12. August 2010 16:02:03


Ethernetadapter Drahtlose Netzwerkverbindung:

        Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
        Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 2200BG Network
 Connection
        Physikalische Adresse . . . . . . : 00-16-6F-AB-70-7E

cosinus 11.08.2010 15:30
Windows kaputt :D

Hast Du das Tool schon probiert => Softwarearchiv - XP TCP/IP Repair - WinTotal.de

Perle 11.08.2010 18:40
Zitat:
Zitat von cosinus (Beitrag 553514)
Windows kaputt :D
Dann 1x Smart Repair bitte :D

Zitat:
Zitat von cosinus (Beitrag 553514)
Hast Du das Tool schon probiert => Softwarearchiv - XP TCP/IP Repair - WinTotal.de
Ja, jetzt schon :) Aber leider :daumenrunter:

cosinus 11.08.2010 19:41
Hm, langsam gehen mir die Ideen aus. :dummguck:
Böde Frage: Über Rechtsklick in Systemsteuerung auf den LAN-Adpater hast Du schon versucht die Sache zu "reparieren" ?

Edit: Da ist auch nichts was DNS, also Port 53, noch sperren könnte? Macht die Windows-Firewall nicht, aber schalte die testweise auch mal ab. Irgendwelche anderen Überreste von ZoneAlarm oder so sind da auch nicht mehr...
Achso, nachdem ZA deinstalliert wurde, hast Du Windows aber schon neugestartet oder? ;)

Perle 19.08.2010 15:02
Zitat:
Zitat von cosinus (Beitrag 553621)
Achso, nachdem ZA deinstalliert wurde, hast Du Windows aber schon neugestartet oder? ;)
Na das hättest Du mir aber auch gleich sagen können :eek:

Ne, klar neu gestartet. Hab dann zufällig die XP-CD in die Finger bekommen und hab mich dann spontan für ne Reparaturinstallation entschieden. Hätte zwar gerne gewusst was das Problem war, aber 4 Wochen ohne Laptop haben meiner Freundin gereicht und ich hatte auch keine Lust mehr.

Aber danke für den Rettungsversuch!

Gruß,
Perle

PS: Es hat übrigens ne ganze Reihe an Usern erwischt. Es lag laut OTR an nem "bösen" Banner das über Clicksor verteilt wurde und es hat ne Weile gedauert bis es gefunden war weil es nur alle x-mal angegriffen hat.

cosinus 19.08.2010 17:28
Zitat:
PS: Es hat übrigens ne ganze Reihe an Usern erwischt. Es lag laut OTR an nem "bösen" Banner das über Clicksor verteilt wurde und es hat ne Weile gedauert bis es gefunden war weil es nur alle x-mal angegriffen hat.
haste da nen Link / Quelle zu?

Perle 20.08.2010 13:27
Jep!

Aber da dort immer wieder mal die Sicherheitslücke im Adobe Reader erwähne ich vorher noch kurz das in meinem Fall weder der Reader geöffnet wurde, noch irgendwelche Meldungen aufgepoppt sind oder ich was bestätigen sollte. Ausser der Warnung von Avira (irgendwas mit HTML/Script...) bei der ich "Löschen" ausgewählt habe, was aber nix gebracht hat. Denke mal es lag am IE, denn auf meinem Laptop nutze ich FF und hatte noch kein Problem. Wobei....wie ich mir im Juni am eigenen Laptop den Rootkit eingefangen habe weiss ich auch nicht:
http://www.trojaner-board.de/86728-r...rifmj-sys.html

Inzwischen bin ich aber trotzdem bei allen Installationen auf Foxit umgestiegen und meine Freundin ist jetzt auch mit FF unterwegs.

So, jetzt zur Quelle:

Drauf aufmersam geworden bin ich erst am 14.08. durch diese Bekanntmachung die auch auf den OTR Seiten eingeblendet ist:
hxxp://www.otrforum.com/showthread.php/61349

Da gehts zwar erstmal um eine avira_antivir_premium_de.exe, aber es wird noch auf folgenden Thread verwiesen:

hxxp://www.otrforum.com/showthread.php/60144-Trojaner-auf-OTR-oder-einem-Mirror/page6

Im ganzen Thread geht es um verschiedene Trojaner. Aber wenn ich nichts übersehen habe wurde der erste tatsächlich gefundene Schädlingsbanner in Posting #54 bekannt gegeben. Schön dass die den Übertäter identifizieren konnten.....weniger schön ist, dass CLicksor dem keinen Glauben schenkt und fleissig weiter als Virenschleuder dient! Am 14.07. (#66) meldet sich dann jemand der wohl den selben Banner wie ich erwischt hat. Selber Schädling am selben Tag.

Hier auch ein Trojaner auf OTR:
hxxp://www.otrforum.com/showthread.php/60240-TrojanDownload-auf-free-klingeltoene-handy.de!?
Steht zwar ein Mirror von OTR im Titel, aber neben der Mirrorseite war auch OTR offen. Und nach ein paar Postings stellt sich heraus das der Angriff auch erfolgt wenn nur OTR geöffnet ist.

Hier melden sich auch noch mal zwei:
hxxp://www.otrforum.com/showthread.php/60404-Virus-auf-OTR-Seite?

Und gestern gabs auch wieder Probleme:
hxxp://www.otrforum.com/showthread.php/61393-schon-wieder-ein-trojaner?

Wenn das so weiter geht könnt ihr hier ne Kategorie für OTR Geschädigte aufmachen :eek:

Gruß,
Perle

*Edit* Ich hätt ja gerne die URLs angegeben, die werden aber immer beim speichern gelöscht....


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131