Trojan.DNSChanger
 

Hallo,
ich habe folgendes Problem.
Bei meinem Computer gehen weder Windos Updates nocht Antiviren updates.
Ebenso bei mein anderen mit W Lan verbundenen Computer.
Ich habe schonmal das Forum nach diesen Trojaner durchsucht und habe wie beschrieben Malwarebytes Antimalware durhlaufen lassen.
Er fand dann 6 mal Trojan.DNSChanger.
Ich habe sie dann gelöscht, aber nach den nächsten Systemstart waren sie wieder da. Daraufhin habe ich die Systemwiderherstellung deaktiviert und habe es nochmal probiert, aber leider ohne erfolg.
Da ich mich selbst wenn der Trojaner runtergewesen wäre nicht sicher gefühlt hätte, setze ich das System neu auf und sicherte es ab. ( Ich habe nur ein PC neu aufgesetzt, der andere blieb die ganze Zeit ausgeschaltet.)
Sobald ich meine erste Verbindung mit den Internet herstelle, hatte ich wieder diesen Trojaner.
Jetz meine Frage :) wie bekommt man diesen Trojaner weg. Wenn es geht möchte ich möglichst nur einen der Computer neumachen.
Schonmal Danke für die Hilfe
Gruß Shadow09

P.S. Die Adresse nach der mich der Virus umleitet (DNS) ist 85.255.114.69

Schonmal Danke :rolleyes:

Fast vergessen hier der Malwarebytes' Anti-Malware log. Nochmal Danke im vorraus





Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 6.0.6000

10.02.2009 15:53:56
mbam-log-2009-02-10 (15-53-56).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 23824
Laufzeit: 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.69 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b9b1dbb0-06ae-41ba-acc7-c3d01c4c9077}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.69 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.69 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b9b1dbb0-06ae-41ba-acc7-c3d01c4c9077}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.69 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.69 192.168.0.1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{b9b1dbb0-06ae-41ba-acc7-c3d01c4c9077}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.69 192.168.0.1 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und :hallo:

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hi danke für die schnelle Antwort, während der Combofix bereinigung hat mein Sicherheitscenter mit einer Sprechblase gemeckert hoffe das ist nicht schlimm. Hier der Log

ComboFix 09-02-10.03 - Kevin 2009-02-11 18:55:02.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.3070.2454 [GMT 1:00]
ausgeführt von:: c:\users\Kevin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-11 bis 2009-02-11 ))))))))))))))))))))))))))))))
.

2009-02-11 18:49 . 2009-02-11 18:49 <DIR> d-------- c:\program files\CCleaner
2009-02-10 16:58 . 2009-02-11 14:28 <DIR> d-------- c:\windows\System32\Macromed
2009-02-10 15:50 . 2009-02-10 15:50 <DIR> d-------- c:\users\Kevin\AppData\Roaming\Malwarebytes
2009-02-10 15:50 . 2009-02-10 15:50 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-02-10 15:50 . 2009-02-10 15:50 <DIR> d-------- c:\programdata\Malwarebytes
2009-02-10 15:50 . 2009-02-10 15:50 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-10 15:50 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-02-10 15:50 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-02-10 15:26 . 2009-02-10 15:26 <DIR> d-------- c:\users\All Users\NVIDIA
2009-02-10 15:26 . 2009-02-10 15:26 <DIR> d-------- c:\programdata\NVIDIA
2009-02-10 15:23 . 2009-02-10 15:23 <DIR> d-------- c:\windows\System32\AGEIA
2009-02-10 15:23 . 2009-02-10 15:23 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-10 15:23 . 2009-02-10 15:24 <DIR> d-------- c:\program files\AGEIA Technologies
2009-02-10 15:23 . 2009-01-15 08:19 1,108,512 --a------ c:\windows\System32\nvcpluir.dll
2009-02-10 15:23 . 2009-01-15 08:19 801,312 --a------ c:\windows\System32\nvcplui.exe
2009-02-10 15:23 . 2009-01-15 08:19 420,384 --a------ c:\windows\System32\nvcpl.cpl
2009-02-10 15:22 . 2009-02-10 15:22 <DIR> d-------- C:\NVIDIA
2009-02-10 15:22 . 2009-01-07 11:28 453,152 --a------ c:\windows\System32\NVUNINST.EXE
2009-02-10 15:16 . 2009-02-10 15:16 <DIR> d-------- c:\program files\SystemRequirementsLab
2009-02-10 15:07 . 2009-02-10 15:07 5,571 --a------ c:\windows\System32\vsconfig.xml
2009-02-10 15:06 . 2009-02-10 15:06 <DIR> d-------- c:\users\All Users\CheckPoint
2009-02-10 15:06 . 2009-02-10 15:06 <DIR> d-------- c:\programdata\CheckPoint
2009-02-10 15:06 . 2009-02-10 15:06 <DIR> d-------- c:\program files\Zone Labs
2009-02-10 15:05 . 2009-02-11 18:52 <DIR> d-------- c:\windows\Internet Logs
2009-02-10 14:58 . 2009-02-10 14:59 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-02-10 14:58 . 2009-02-10 14:58 <DIR> d-------- c:\program files\D-Link
2009-02-10 14:58 . 2009-02-10 14:58 <DIR> d-------- c:\program files\ANI
2009-02-10 14:58 . 2004-11-23 08:34 1,323,095 --a------ c:\windows\System32\odSupp_M.dll
2009-02-10 14:58 . 2005-04-21 11:23 372,736 --a------ c:\windows\System32\ANIWZCS2.dll
2009-02-10 14:58 . 2005-02-18 11:31 212,992 --a------ c:\windows\System32\aIPH.dll
2009-02-10 14:58 . 2005-03-22 17:48 143,360 --a------ c:\windows\System32\WlanApp.dll
2009-02-10 14:58 . 2004-10-22 13:36 57,407 --a------ c:\windows\System32\ANICtl.dll
2009-02-10 14:58 . 2004-10-22 13:36 49,152 --a------ c:\windows\System32\AQCKGen.dll
2009-02-10 14:58 . 2004-07-27 11:20 36,864 --a------ c:\windows\System32\ANIOApi.dll
2009-02-10 14:58 . 2004-07-27 11:20 28,205 --a------ c:\windows\System32\ANIO.sys
2009-02-10 14:58 . 2004-07-27 11:20 16,997 --a------ c:\windows\System32\ANIO.VXD
2009-02-10 14:58 . 2004-07-27 11:20 11,904 --a------ c:\windows\System32\anio4.sys
2009-02-10 14:57 . 2009-02-10 16:09 <DIR> d--hs---- c:\windows\Installer
2009-02-10 14:57 . 2009-02-10 14:58 <DIR> d-------- c:\program files\Common Files\InstallShield
2009-02-10 14:52 . 2009-02-10 14:52 <DIR> d-------- c:\users\All Users\Avira
2009-02-10 14:52 . 2009-02-10 14:52 <DIR> d-------- c:\programdata\Avira
2009-02-10 14:52 . 2009-02-10 14:52 <DIR> d-------- c:\program files\Avira
2009-02-10 14:47 . 2009-02-10 14:47 <DIR> dr------- c:\users\Kevin\Searches
2009-02-10 14:46 . 2009-02-10 14:47 <DIR> dr------- c:\users\Kevin\Videos
2009-02-10 14:46 . 2009-02-10 16:54 <DIR> dr------- c:\users\Kevin\Saved Games
2009-02-10 14:46 . 2009-02-10 14:47 <DIR> dr------- c:\users\Kevin\Pictures
2009-02-10 14:46 . 2009-02-10 14:47 <DIR> dr------- c:\users\Kevin\Music
2009-02-10 14:46 . 2009-02-10 14:47 <DIR> dr------- c:\users\Kevin\Links
2009-02-10 14:46 . 2009-02-10 15:50 <DIR> dr------- c:\users\Kevin\Downloads
2009-02-10 14:46 . 2009-02-11 18:53 <DIR> dr------- c:\users\Kevin\Documents
2009-02-10 14:46 . 2009-02-10 14:46 <DIR> dr------- c:\users\Kevin\Contacts
2009-02-10 14:46 . 2006-11-02 13:37 <DIR> d-------- c:\users\Kevin\AppData\Roaming\Media Center Programs
2009-02-10 14:46 . 2009-02-10 14:47 <DIR> d--h----- c:\users\Kevin\AppData
2009-02-10 14:46 . 2009-02-10 15:23 <DIR> d-------- c:\users\Kevin
2009-02-10 14:44 . 2009-02-10 14:44 <DIR> dr------- c:\windows\System32\config\systemprofile\Contacts
2009-02-10 14:37 . 2009-02-10 14:41 <DIR> d-------- c:\windows\System32\catroot2
2009-02-10 14:37 . 2009-02-11 18:52 <DIR> d-------- c:\windows\Debug
2009-02-10 14:35 . 2009-02-10 14:41 <DIR> d-------- c:\windows\Panther

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 17:42 352,615 ---ha-w c:\windows\system32\drivers\vsconfig.xml
2009-02-10 14:06 803,840 ----a-w c:\windows\system32\drivers\tcpip.sys
2009-02-10 14:06 22,016 ----a-w c:\windows\System32\netiougc.exe
2009-02-10 14:06 217,272 ----a-w c:\windows\system32\drivers\netio.sys
2009-02-10 14:06 167,424 ----a-w c:\windows\System32\tcpipcfg.dll
2009-02-10 13:44 --------- d-sh--w c:\programdata\Vorlagen
2009-02-10 13:44 --------- d-sh--w c:\programdata\Startmenü
2009-02-10 13:44 --------- d-sh--w c:\programdata\Favoriten
2009-02-10 13:44 --------- d-sh--w c:\programdata\Dokumente
2009-02-10 13:44 --------- d-sh--w c:\programdata\Anwendungsdaten
2009-02-10 13:44 --------- d-sh--w c:\program files\Gemeinsame Dateien
2008-12-10 08:45 70,936 ----a-w c:\windows\System32\PhysXLoader.dll
2008-12-04 08:28 24,344 ----a-w c:\windows\System32\PhysXDevice.dll
2008-11-26 07:55 288,024 ----a-w c:\windows\System32\PhysXCplUI.exe
2008-11-25 07:38 288,024 ----a-w c:\windows\System32\PhysXCompatCplUI.exe
2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-04-22 1236992]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 49152]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 92704]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.trojaner-board.de/69884-trojan-dnschanger.html#post412337
TCP: {B9B1DBB0-06AE-41BA-ACC7-C3D01C4C9077} = 192.168.0.1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-11 18:56:06
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-11 18:57:21
ComboFix-quarantined-files.txt 2009-02-11 17:57:19

Vor Suchlauf: 12 Verzeichnis(se), 482.309.644.288 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 482,295,205,888 Bytes frei

131

Poste bitte ein HiJackThis-Logfile. http://www.trojaner-board.de/51130-a...ijackthis.html

GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Und wieder ein Dankeschön hier der Hijackthis Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:49, on 11.02.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/69884-t...tml#post412337
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B1DBB0-06AE-41BA-ACC7-C3D01C4C9077}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 2958 bytes






So und hier der Link zum anderen ( Ich hoffe ich habe das richtig gemacht^^)

http://www.file-upload.net/download-1447787/Log.log.html

Deinstalliere ZoneAlarm. Mache einen Neustart und poste ein neues HJT-Log.

ciao, andreas

So wieder Danke ^^
Mal ne Frage, gerade als ich mein Computer neugestartet habe, war der Bildschirm eine Minute Schwarz soll das so sein?
So hier der Neue Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:55, on 11.02.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.trojaner-board.de/69884-trojan-dnschanger.html#post412337
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B1DBB0-06AE-41BA-ACC7-C3D01C4C9077}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 2549 bytes

Teste, ob die Updates funktionieren.

ciao, andreas

Funktionieren Leider immer nocht nicht, ich habe mir mein Log gerade mal selber angeschaut, die DNS IP wird als gut bezeichnet. Die IP habe ich manuell geändert.

Mfg.

Was? Wann? Wie? Wo?
Tue bitte nur das, was ich dir sage, sonst wird das nichts.

Ich brauche Marke und Typ deines WLAN-Routers.

ciao, andreas

Tut mir leid das war schon vorher. Also ich habe Vista, dort öffnete ich das Netzwerk und Freigabe Center - Netzwerkverbindung verwalten - TcP /iPv4-
bevorzugter DNS Server 192.168.0.1 ( Ich glaube so war die Nummer)
So W Lan router ist doch der Kasten der das nach den W Lan Stick sendet oder? Also Marke D Link
Model: DI-524

Tut mir leid meine Rechtschreibung ist heute sehr schlecht^^

Deine Logs sind sauber, das Problem muß woanders sein.

Starte mal deinen Browser und klicke auf diesen Link: http://192.168.0.1

Was wird dir angezeigt?

ciao, andreas

Also, ich bin gerade an den Computer mit den W Lan Stick. Der Kasten mit der Antenne hat den Namen den ich gerade geschrieben habe. Wenn ich dies eintippe will er ein Benutzernamen und ein Passwort haben.
Schonmal Danke und noch ein RIESIGES Dankeschön das du dir so viel mühe gibst.
Mfg.

Benutzername: admin
Kennwort: (leer lassen)

ciao, andreas

So Passwort war Richtig bin jetz in den W Lan Teil drin. Ich glaube wir kommen der Sache schon näher^^. So was jetz und wieder ein Danke
Mfg.

Ich bin z.Z. nur am vermuten. Ich hatte mal ein Fall, bei dem per UPnP im Router die DNS-Einträge verschraubt und in die Ukraine umgelenkt wurden. So etwas vermute ich hier auch, denn beide PCs sind ja betroffen. Dein PC ist definitiv sauber also muss es der Router sein.

Jetzt habe ich nur das Problem, dass ich den Router nicht kenne. Ich habe auch auf die Schnelle nur den Quickinstall gefunden und dort ist nur der Wizard beschrieben.

Was mich allerdings wundert ist, dass du mit festen IPs arbeitet. Der Router hat einen DHCP-Server, deshalb sind die eigentlich nicht nötig.

Wer hat euch die Internetverbindung eingerichtet?

ciao, andreas

Also mit der Umleitung der Ukraine stimme ich dir zu, weil wenn ich den DNS Server selber automatisch zuordnen lasse, und ich dann ausführen-cmd-ipconfig /all mache ,habe ich 2 DNS Server einmal die 192.168.0.1 und einmal die Nummer die ich als erste geschrieben habe. Die IP habe ich selber fest eingerichtet, weil ich so den Ukrainischen Server wegbekommen habe.
Das Internet hat mir mein Cousin eingerichtet. Nur momentan kann ich ihn nicht erreichen ( Er ist Soldat)
Mfg.

Du kannst soviel fest einstellen, wie du willst, der Router muss zurückgesetzt werden.

Schalte deinen PC wieder auf automatisch beziehen.

Ich habe jetzt doch noch die richtige Anleitung gefunden. Dauert etwas, bis ich sie gelesen habe. Räumen wir in der Zwischenzeit auf.

1.) Start => Ausführen => combofix /u => OK
2.) Alle Programme, die wir eingesetzt haben, deinstallieren oder löschen.

ciao, andreas

So habe aufgeräumt.
Eine Frage, wenn ich das W Lan Teil zurücksetze, muss man das Internet dann komplett neu einrichten?
Mfg.

Um ihn zu deinstallieren und die Quarantänedateien zu löschen.
Wir (cad und ich) sind uns noch nicht sicher, wie wir das am Besten regeln.

1.) Wir versuchen die Einträge im Router von Hand zurückzusetzen.
2.) Wir setzen den auf die Werkseinstellungen zurück.

Der Vorteil von 2. ist, das der Router wieder sauber ist. Dann muss aber sowohl die Internetzugangsdaten eingegeben als auch WLAN neu konfiguriert werden. Notiere schon einmal alle notwendigen Angaben.

Achso, der Router konnte nur gekapert werden, weil ihr kein Kennwort vergeben habt. Das ist grob fahrlässsig. Denkt euch schonmal ein Kennwort aus. Mindestlänge 8 Zeichen und eine zufällige Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen, wie z.B. Gi8.We8y aus und notiert das auch.

ciao, andreas

Also, das mit den Internet neu einrichten traue ich mir nicht zu.
Ich könnte schwören, dass wir ein Passwort eingegeben haben, dass kann ich mir nicht erklären.
Da es anscheinent keinen anderen Ausweg gibt, bitte ich dich mir das mit den Internet einrichten genau zu erklären.
Nochmal ein Danke an euch beiden.
Mfg.

Einspruch: Der DLink akzeptiert zwar 9 Zeichen, aber richtig funktionieren wird er nur mit 8 Zeichen :(

@Shadow09: Du richtest alles mit dem Assistenten ein (PC muss per Kabel mit dem Router verbunden werden)

Danke für die Antwort. Ich werde ich morgen drum kümmern, ich hoffe morgen seht ihr nochmal nach den Beitrag.
P.S. habe es gerade schon versucht das zurücksetzen dauerte sehr sehr lange. Ich habe es dann abgebrochen soll das solange dauern?:confused:
Cu

Wir brauchen jetzt jede Menge Screenshots. Die lädst du bei einem Imagehoster (z.B. PiC.LEECH.iT - FREE iMAGE HOSTiNG) hoch und postest hier die Links.

Die ersten beiden nicht posten, sondern ausdrucken.
Wireless => Startseite (Die Wlan-Konfiguration)
WAN => Startseite (Die Internetzugangsdaten)

Die brauchst du, falls wir zurücksetzen müssen. Wir versuchen jetzt doch erstmal den ersten Weg.

Virtueller Server => jeweils ein Screen von jeder Karte
DDNS => jeweils ein Screen von jeder Karte
DMZ => jeweils ein Screen von jeder Karte

ciao, andreas

Also einmal hier das DDNS Bild http://pic.leech.it/pic.php?id=89a55399ddns.jpg
DMZ: http://pic.leech.it/pic.php?id=9a41d544dmz.jpg ( Ip habe ich schwarz gemacht, dies ist nicht die IP der Ukraine)

Virtueller Server: http://pic.leech.it/pic.php?id=2f4df02virtueller.jpg ( Ip auch geändert)

Ich hoffe wir schaffen das :) Aber mal eine Frage:
Malwarebytes Anti Malware sagt ja ich hätte diesen Trojaner, aber wenn wir die Internetverbindung ändern, kann der Trojaner das doch auch oder?
Danke:heulen:

Kannst du noch Screenshots von den anderen Rubriken erstellen? Ich habe noch keinen Ansatzpunktpunkt gefunden. Klicke alle Möglichkeiten durch und suche nach der 85. Schwärze alle privaten Infos wie Anmeldename und Kennwörter.

Hast du die Zugangsdaten zu deinem Provider auf Papier?

Hättest du dir sparen können => Private IP-Adresse ? Wikipedia
:daumenhoc
Ja, ist schon erschreckend, was die alles können => Neue PC-Gefahr: Kriminelle hacken DSL-Router - Computer - FOCUS Online

ciao, andreas

Hui was die können^^

Also das sieht mir arg verdächtig aus http://pic.leech.it/pic.php?id=5dee528ukrainisch.jpg hoffe das ist das was du suchst.

So nun zu den Zugangsdaten^^ waren das die die ich Ausdrucken sollte?:)

Ja, genau das.
Ja. Ist das Kennwort zu erkennen?
Ich kontrolliere, ob es eine neue Firmware gibt, dann schlagen wir 2 Fliegen mit einer Klappe.

ciao, andreas

Also bei Wirless ist das Passwort zu erkennen, aber beim WAN nicht. Dafür habe ich was anderes interesantes auf der WAN Seite gefunden
Primäre IP-Adresse : Ja die von der Ukraine :(
Sekundäre IP-Adresse : Dort stimmen die ersten 5 Zahlen von der Ukraine überein.

Mfg.

Du brauchst das Kennwort, du musst einen Zettel von deinem Provider erhalten haben, auf dem alle erforderlichen Angaben zu sehen sind.

Deine Firmware ist 2.02, aktuell ist 2.07. Beim Update werden alle Daten gelöscht, auch die bösen aus der Ukraine.

Das Update gibt es hier: D-Link (Deutschland) GmbH

Das Aufspielen nicht per WLAN, sondern mit Kabel ausführen!

ciao, andreas

Ah, ok *kennwort such* bis meine nächste Antwort kommt könnte ein paar Minuten dauern, mein Schrank ist ein wenig unordentlich :D schonmal Danke.

[OT]
Soll ich euch beiden hier einen java-chat einfügen?
Das geht bestimmt schneller ... :D

Aber mal ein *Hut ab* und :daumenhoc für Andreas, du hast ja echt Geduld. :party:

Also, nun habe ich ein Problem. Aus irgendeinen Grund scheint das Handbuch weg zu sein. Ich habe jedes Kenntwort gefunden, jedoch finde ich kein PPPOE Kennwort. Wisst ihr da vileicht ein Standart Passwort? ( Hat 10 Zeichen):headbang:
Danke nochmal

Lies noch einmal den ersten Satz: http://www.trojaner-board.de/69884-t...tml#post412697
Es gibt kein Standardpasswort, nur dein Provider kennt es.

Das Handbuch bekommst du hier: ftp://ftp.dlink.de/di/di-524/documen...Manual_102.pdf

ciao, andreas

Habe das Buch etwas durchgeblättert, aber leider scheint dort kein Kennwort zu stehen -.-
Kann man nicht an Computer oder so das Kennwort finden?
Oder gibt es noch andere Möglichkeiten?
Nochmal Danke für deine Mühen. :heulen:

Mfg.

Das ist das Kennwort vom Provider.

ciao, andreas

Das ist schon Peinlich zu fragen ^^.
Also ich habe viele Zettel gefunden. Ist Provider die Firma mit der ich mich mit den Internet verbinde? ( aol, versatel etc.) ?
Wenn ja hab ich es gefunden :)

Kurz für Andreas einspring

Braucht es nicht :)

Ja :daumenhoc

Also, ich habe gerade mal bei Versatel angerufen, da dies doch der Falsche Zettel war.
Versatel behauptet aber, der Provider hätte nicht´s mit Versatel zu tun. Jetz versteh ich gar nichts mehr :confused:
Jetz stell ich mal alle meine Fragen ^^
1. Was genau ist den jetz ein Provider, hab danach gegoogelt aber viele Seiten können nicht angezeigt werden.

2. Malwarebyts Antimalware hat den Trojaner doch gefunden, ist er dann nicht fest auf mein Computer rauf ( Also selbst wenn wir dies machen, das er dass sofort wieder ändert)


3. Habe jetz alle meine Unterlagen durchsucht für das Kennwort, aber ich weiss nicht nach was ich suche, also jetz D Link Sachen oder Versatel Sachen.


Tut mir leid, dass ich so blöde Fragen stelle.

Danke für´s einspringen
Mfg.

..und ich weiß, wieso ich selbst den Support nie anrufe :rolleyes:
Internetdienstanbieter ? Wikipedia

Falls die Seite auch net geht, hier die Kurzform:
ISP=Internetdienstanbieter, umgangsprachlich Provider

Ich helf nur bei der Routergeschichte aus :)
Die Bereinigung macht Andreas
Such bitte nach Deinem Benutzernamen (Zugangsnamen) und Kennwort von Versatel

Für D-Link brauchst Du außer dem Handbuch nichts, nach einem richtigen Hardwarereset/bei der Auslieferung ist da standardmäßig! gar kein Admin Passwort vergeben.

Bei der Einrichtung wirst Du als allererstes ein neues Adminpasswort vergeben :)

Gruß cad

Hi,
danke für die Erklärung.
Auch ein Dankeschön an dir :)
Da ich das Passwort wohl nie finden werde, werde ich den Telefonischen Support mal nett "Hallo" sagen :koch:

Und dann hätt ich auch mal eine Forum Frage, wie kann man ein Zitieren?

Danke

Mfg.

Hallo,

erstmal ein großes http://www.cosgan.de/images/more/schilder/019.gif an cad. Wir befinden uns an einem sehr heiklen Punkt. Ohne richtige Zugangsdaten kommst du nicht mehr ins Internet. Wegen der Vergangenheit (der Fund von MalwareBytes) mache dir keine Gedanken. Solange der Router nicht sauber ist, wird noch viel Merkwürdiges passieren.

Provider ist der, der dich ins Internet lässt und von dem du vermutlich den Router bekommen hast. Besteht irgendeine Möglichkeit die Informationen von dem Soldaten zu bekommen?

Ich habe noch einige Dinge in der Hinterhand (die aber schon an Illegalität grenzen) um an das Passwort zu kommen, da ist mir der Weg von cad doch lieber. Meine Erfahrungen mit Hotlines (hab selbst einmal kurzzeitig in einer gearbeitet, frage bitte nicht danach) sind sehr durchwachsen. Mein Tipp: Falls du keine befriedigende Antwort bekommst, rufe mindestens 10mal zu unterschiedlichen Zeiten an. Frage immer nach dem Namen und drohe immer damit, den Vorgesetzen zu verlangen.

Zitieren kannst du entweder mit der Kombination oder mit markieren und Klick auf das Symbol links vom #.

ciao, andreas

Hi,
erstmal Danke dafür das du mir erklärt hast wie man Zitiert:)
Also der Provider ist jetz wie ich das verstanden habe das Teil von Versatel.
Da weiss mein Cousin leider nicht´s von, nur von den D Link Teil
Solang ich es nur bei mir anwende ist es doch Legal oder? Falss es illegal ist, lasst uns nicht weiter darüber sprechen.

Leider kommt ca. 10 Minuten lang:
Willkommen bei blablabla für nur 1 Euro die Minute ^^
Hatte jetz ein dran, der es mir per Post schicken will ( Per E Mail wär es schneller gegangen...)


Ich habe ein Gefühl wie das Passwort sein könnte, aber leider kann man es ja nicht Testen oder?
Ein Passwort um ins 192.168.0.1 zu gelangen habe ich jetz schonmal eingerichtet.

Dann noch eine Frage:
In letzder Zeit lahmt mein Internet sehr und viele Seiten können nicht aufgerufen werden, liegt das auch an diesem Trojaner?

Mfg. und wieder Danke
Kevin

Hallo Kevin,

Die genaue Rechtslage kenne ich nicht, aber ich müsste schon vor Ort sein und eine schriftliche Freigabe haben, um das zu tun. Google mal nach dem Begriff Hackerethik.
Falls du einen zweiten Router hättest (Freunde, Nachbarn, Bekannte), dann wäre das möglich.
Das liegt daran, dass die DNS Anfrage zuerst in der Ukraine landen. Die nutzen die Möglichkeit beliebige Seiten ganz zu sperren bzw. bestimmte Anfragen umzuleiten. Siehe Domain Name System ? Wikipedia.
Du kannst diese Namensauflösung umgehen, wenn du die dazugehörige IP kennst. Sollte z.B. Kaspersky Lab: Antivirus software nicht aufrufbar sein, könnte ein Kaspersky Lab: Antivirus software funktionieren.

ciao, andreas

Und wieder Danke :)

Leider überall Seite nicht gefunden, oder Fake Seiten.


Leider auch nicht möglich.:(

Da ich jetz wie gesagt schlechte erfahrung mit den Telefondiest habe, bezweifle ich das der Angestelle das verstanden hat was ich haben will.
Meine Hoffnung wird kleiner :(
Sind die Daten nicht auch auf den Computer gespeichert?
Ich schaue mal in´s Online Kontaktformular von Versatel, vieleicht habe die ja ein netten Knopf der sagt Daten vergessen?:killpc:

Nein, nur im Router.
Ich habe keine Erfahrung mit Versatel. Du musst einen Zettel von Versatel haben, auf dem Benutzername (oder Anmeldename oder ähnliches) und Kennwort steht. Das ist das Kennwort, dass du bei PPPOE Kennwort eintragen musst.

Vielleicht ist es aber besser auf den Brief von Versatel zu warten, da bin ich jetzt auch unsicher. Und nachdem der Router wieder sauber ist, musst du den zweiten Rechner auch bereinigen oder besser Neuaufsetzen.

ciao, andreas

Also

Danach such ich ja, aber genau dies finde ich nicht :(

Früher, als wir noch kein W Lan hatten, musste man sich immer mit der E Mail Adresse und ein Kennwort ( Was aber leider nicht 10 Stellig ist) mit den Internet verbinden. Nur diese Daten habe ich gefunden.

Ok dann warte ich halt etwas.


Hmm... ich kenn mich damit jetz nicht so gut aus, aber ist es dann nicht sinnlos?
Weil diesen Rechner habe ich ja auch neu aufgesetzt und der Trojaner ist immer noch drauf.
Wenn der Router sauber ist und der Trojaner noch da ist, versucht der Trojaner ihn ja wieder zu befallen, aber dort ist doch dann ein Kennwort drauf oder? ( Mein Vater nutzt diesen Computer oft und er ist Technisch auf 1% und wenn dann wieder was neu ist, wird es wieder schwer für ihn)

Danke

Mfg. Kevin


Mir ist noch was eingefallen, kann man die Ukraine Ip nicht ändern ohne den Router zurückzusetzen?

Das sind die Daten, die du brauchst.
Wie kommst du darauf, das es 10stellig sein muss? Lass dich nicht durch die Platzhalter verunsichern.
Nein.
Dafür hat der Router gesorgt, der muss zuerst zurückgesetzt werden, dann die PCs. Deiner ist (noch) sauber. Wir kontrollieren aber noch einmal, wenn der Router zurückgesetzt ist.
Das war meine erste Idee, aber da du eh die neue Firmware aufspielen musst, ist der Weg der Bessere. Halte dich genau an die Anleitung:
ciao, andreas

Ok, dann noch eine letzde Frage zu den Platzhaltern:
Ich kam auf die Idee das dies nur Leere Zeichen sind.
Ich entfernte mal ein´s. Wenn es nur so Platzhalter gewesen wären, müssten sie doch ganz verschwinden oder?
Und es gibt kein Weg die Formation auf den anderen PC vorzubeugen?

Ich versuch dann gleich mein Glück.
Wenn dort lange offline steht weisst du was passiert ist :aufsmaul: ne scherz
Drück mir die Daumen
Gruß
Kevin

Halt Shadow09, warte kurz, bitte

Ok, gut das du so schnell warst :)

Dieser Router hat mich schon mehrfach beinahe zur Verzweiflung gebracht :aufsmaul:
OT: @Andy..deswegen kam ja meine erste Aussage...gegen die Wand werfen...*bg*

Bitte überprüfe nochmal :

1) D-Link (Deutschland) GmbH

Welche Revision hast Du?

2) Nimm die Anleitung und lad Dir die Firmware auch von da runter

D-Link Forum User helfen Usern :: Thema anzeigen - Neue Firmware einspielen

Dort steht B2.

Mfg.

O.K. Dann liest Dir den Link darunter von mir durch und befolgst bitte alles genau :)

Ok, mach ich aber ihr seit euch sicher, dass das zu 100% nur Platzhalter sind und nicht das echte Kennwort?

So und dann noch was, der Computer muss ja mit den W Lan Teil verbunden sein, ist er schon so verbunden oder muss ich noch was umstecken?

Mfg.

WAN - PPPoE
Wählen Sie diese Option, wenn Sie die Verbindung über das Protokoll Point-to-Point Protocol over Ethernet (PPPoE) herstellen. Normalerweise ist das bei einer DSL-Verbindung der Fall.Wählen Sie Dynamisches PPPoE, wenn Sie die IP-Adresse automatisch beziehen wollen, was eigentlich Standard bei PPPoE-Verbindungen ist.Wählen Sie Statisches PPPoE, wenn Sie die IP-Adresse manuell eingeben.

• Benutzername :Geben Sie hier den Zugangsnamen ein (PPPoE-Zugang).
  Kennwort :Geben Sie hier das Kennwort ein (PPPoE-Zugang).
  Service-Name :(Optional) Falls Ihr ISP einen Dienstnamen für die PPPoE-Verbindung vorgibt, tragen Sie ihn hier ein.
  Beispiel : @earthlink.net
  
  Nirgendwo steht was davon, dass es 10 Stellen sein müssen

Zur Not wartest Du eben auf den Brief von Versatel und machst es dann erst :)

Edit @Andy: Ja und dieser ................Router fliegt raus, sobald ich wieder flüssig bin :teufel3:
Edit2: Igitt..ne...hab einen anderen Hersteller im Auge :)

Du kannst froh sein, dass cad dasgleiche, wie du benutzt, sonst wären wir nicht soweit gekommen.

ciao, andreas

Edit: Ich sag nur Fritzbox und gut ist.

Moin,
erstmal ein süßer Smiley :dankeschoen:.
Nach 2 Stunden suche habe ich das hier gefunden:

Versatel
Einwahl in das Internet

Benutzername: e-mail@versatel.de
Kennwort: XXXXX

Ist das zufällig das was wir suchen?^^

Sobald ich auch wieder etwas mehr Geld habe, passiert auch das mit den D Link Kasten :killpc:

Danke
Mfg. Kevin

Edit 1:Hier mal ein Screen, deswegen glaub ich, dass es 10 Zeichen hat. http://pic.leech.it/pic.php?id=4006714kennwort.jpg
Edit 2: Es öffnet sich neuerdings immer eine Seite namen´s official-emule.
Liegt das auch an den Trojaner, oder habe ich mir noch was eingefangen?
Mfg.

:daumenhoc
Irgendwie bin ich nur noch dabei, mich zu wiederholen. http://www.trojaner-board.de/69884-t...tml#post412888 (3. Satz)
Dito. http://www.trojaner-board.de/69884-t...tml#post412825 (4. und 5. Satz).

Spiel die neue Firmware ein, setze ihn laut Anleitung zurück, gib die Zugangsdaten und WLAN-Daten ein und melde dich dann wieder

ciao, andreas

Jahuuuuuuuuuuuuuu^^
Danke dir es geht wieder alles.
Das Update von den D-Link Kasten konnte ich nicht aufspielen, aber alle anti Viren Updates gehen wieder.
Danke euch beiden :)))

Warum nicht? Fehlermeldung? Das Aufspielen des Updates ist wichtig!
Mache nicht dengleichen Fehler, den hier viele begehen. Nur weil ein Symptom verschwunden ist, bist du nicht geheilt. Wir haben noch viel vor uns.

Lasse folgende Scanner laufen und poste die Logs, sowohl von deinem Rechner, als auch von dem Anderen.
http://www.trojaner-board.de/51187-a...i-malware.html
http://www.trojaner-board.de/51871-a...tispyware.html
http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas

p.s.: Vergebe bitte dem Router ein Kennwort. Sehr wichtig!
p.p.s.: Er ist off. Typisch. :(

Hast Du dieses gemacht oder nicht? :confused:
Falls nicht, nochmal alles von vorne bitte

So, Malwarebyts Antimalware Kein Fund.
Antivir Kein Fund
(Kaspersky von mir selber): Kein Fund
Superanti Spyware ( Rechner total lahm damit) kein Fund.

Die Updates gingen nicht, dort stand Verzeichnis nicht gefunden.
Wo wir schonmal dabei sind, könnt ihr mir ein guten Virenscanner empfehlen ( Also Antivirus/ Spyware Programme an besten mit Firewall)

P.S. Den anderen Rechner prüf ich morgen, habe gleich ein Termin.

Danke

Ja habe ich.

Gut, dann zieh ich mich zurück :)

Andreas macht die Bereinigung :knuddel:

Dann deinstalliere es, genau wie die anderen Programme, die wir eingesetzt haben.

ciao, andreas

Edit: Den Kasper auch deinstallieren.

Ja, aber eigentlich nur einen: Brain.exe

Schau mal hier vorbei: http://www.trojaner-board.de/69792-r...tml#post412719

Danke für die Info, morgen poste ich dir nochmal die Log´s auf beiden Rechnern ( Hatte heute nur ein quick Scan gemacht, sonst war der Trojaner dort immer.)
Ich hatte mal auf www.hijackthis.de mein eigenes Log File auswerten lassen.

O13 - Gopher Prefix: Er sagt ich soll das fixen.
Sind das überreste?
Nochmal ein großes Dankeschön an euch beiden! Also ein Bier habt ihr jetz verdient :) :party:

Nein, Falschmeldungen der automatischen Auswertung. Die sollte man mit Vorsicht geniessen.

ciao, andreas

Moin,
also habe Malwarebyts Antimalware bei den anderen PC durchlaufen lassen, auch kein Fund.
Soll ich euch zur Sicherheit noch ein Hijckthis log schicken?
Gruß
Kevin

Ja. Haben SuperAntiSpyware und Avira etwas gefunden? Dann bitte Logs posten.

Wie geht es denn beiden Rechnern?

ciao, andreas

Moin,
auch kein Fund.
Hier der Log von den einen Rechner ( Beiden Rechnern geht es gut, haben erstmal alle Updates geladen, Internet ist sehr schnell)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:10, on 15.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\XXXXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - {2EEA0253-0FCB-8500-7A04-FB39EC7898D2} - porka_.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [cnftips] TorontoMail.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [slamm] AliceSD.exe
O4 - HKCU\..\Run: [newbreed] dePloy.exe
O4 - HKCU\..\Run: [gabber] TRPT.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open and Translate in Word - res://C:\Programme\SYSTRAN\5.0\Premium\IEShellExt.dll /10
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7916 bytes

Hast du wirklich scannen lassen?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren.

ciao, andreas

Ja habe ich:
Also bei Toronto Mail 0 bytes size received / Se ha recibido un archivo vacio
Bei Alice 0 bytes size received / Se ha recibido un archivo vacio
Bei Deploy 0 bytes size received / Se ha recibido un archivo vacio
Und bei den anderen 0 bytes size received / Se ha recibido un archivo vacio

Ich poste dir gleich mal von mein anderen Pc das Hijackthis log file
Gruß Kevin

Von welchem reden wir denn jetzt. Dein PC war sauber, der ist erledigt.
Ist das nicht das Log vom anderen? :confused:

ciao, andreas

Das ist jetz das Log von den der mit Kabel verbunden ist ( von meinem Vater)
Gruß
P.S. Meiner war jetz also sauber?
Falss du doch den anderen Rechner meinst hier nochmal zur Sicherheit:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:32, on 15.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.trojaner-board.de/69884-trojan-dnschanger.html#post412337
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://*ww.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/p**/sh****ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B1DBB0-06AE-41BA-ACC7-C3D01C4C9077}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 3065 bytes

OK. Missverständnis geklärt. Deiner ist sauber, stell deinen noch um auf automatisch beziehen. Die feste Einstellung macht jetzt kein Sinn mehr.

Der von deinem Vater ist befallen. Meldet denn kein Scanner irgendetwas?

ciao, andreas

Nein, wie gesagt die Log´s stehen dort ja noch.
In wie fern befallen immer noch der Trojaner?


Wichtig: Mein Vater hat mir gerade gebeichtet das er irgendein Scan abgebrochen hat -.- Entweder Avira oder Super Antispyware denk ich mal, weil bei den anderen war ich dabei grrr.....^^
Morgen schick ich nochmal die Logs -.-
Sry für die umstände
Mfg.

Bitte alle Logs von dem Rechner posten. Das etwas nicht stimmen kann, habe ich geahnt.

• MbAM
• SuperAntiSpyware
• Avira
• neues HJT

ciao, andreas

Also Mbam nicht´s das weiss ich.
Der Rest kommt morgen.

Gruß
Kevin

Poste trotzdem die Logs, auch wenn nichts gefunden wird. Du hast mich nervös gemacht.

ciao, andreas

:heulen: Allein Mbam hat über 2 Stunden gedauert^^
Na mein Vater bekommt jetz was zu hören :aufsmaul:

Gruß
Kevin

Ach noch eine bitte, kannst du mir jetz bitte sagen was das ist?
( Überreste vom Trojaner, oder andere Plagegeister?)

Nein, im HJT-Log ist nur zu erkennen, dass da was ist. Da es sich bei Virustotal nicht auswerten ließ, ist es aktiv. Was es ist, weiß ich nicht. Auf jeden Fall ist der Rechner nicht sauber.

ciao, andreas

Ich würde hier gern das am Anfang angefragte gmer Log sehen!
Liest sich alles wie eine Conficker / Kido / Downadup Infektion.

Ok, jetz habt ihr mich verwirrt :confused:
Erstmal danke, dass du mir auch helfen willst.
Soll ich jetz erst die Scanns machen oder das GEM oder wie das heisst?
Gruß
Kevin

Wir wollen alles, bereite deinen Vater schon einmal darauf vor, dass er vermutlich neu installieren muss.

GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Oh, beunruhigende Nachrichten.
Hmm.... wieso soll ich den ganzen Kram machen, wenn ich das System eh neu aufspielen muss?

Gruß
Kevin

Edit: Hab das wahrscheinlich übersehn.
Aber solange die Kiste noch läuft, seh ich kein Sinn für eine neuinstalation, da er nicht´s mit Paswörtern etc. macht.
Er braucht ihn nur für seine Fussball Seiten und 1 Spiel, lässt es sich dann nicht vermeiden?

Musst du nicht, wenn du neuaufspielst, sind wir fertig. Wir können auch weiter testen und dann kann es passieren, das du doch neuinstallieren musst oder wir finden ihn und können ihn beseitigen.

Neuinstallation ist der schnellste und sicherste Weg.

ciao, andreas

Da ich in moment Krank bin, müsst ihr euch leider mit den Log´s etwas Gedulden.
Gruß
Shadow

Gute Besserung.

ciao, andreas

Danke
Also bevor ich damit los lege, mal eine Frage:
Wenn die beiden was finden soll ich es dann löschen oder verschieben?
Mfg.
Kevin

Fang mit gmer an. Es kann sein, dass wir etwas finden, das ein Neuaufsetzen nötig macht.

ciao, andreas

Ok, folgt morgen.
Ich mach das lieber wenn ich meine Ruhe habe.
Habe mich mal in Forum umgesehen. Der Trojan.DNSChanger scheint ja ganz schön umzugehen. :pfui:

Ja, der ist die Pest. Da werden noch viele mit ankommen.

ciao, andreas

wenn (wie heute in den meisten fällen) vorhanden:
vergesst den router nicht!

solange das router passwort nicht geändert und die dns einträge gefixt sind, hilft die restliche mühe nix.

zlob router - Google-Suche

:headbang:

johnboy, alles okay?

So, entschuldigt das ich so lange nicht da war, habe das System neu aufgesetzt.
Nochmal Danke
Muss ich sonst noch was machen?^^
Mfg. Kevin

Hab ich doch gemacht oder nicht?^^

Das Passwort hast du schon neu gesetzt.

Um Sicher zu gehen, gehe auf http://192.168.0.1 (kennst du ja schon). Dort sollte dann die Passwortabfrage kommen.

Wenn du das ServicePack3 und alle aktuellen Updates für Windows drauf hast, sollte es soweit okay sein. Secunia PSI (Secunia Personal Software Inspector), kann dir dabei helfen alles aktuell zu halten.

Firefox + NoScript Addon und ein gesundes Surfverhalten (Keine dubiosen Seiten.... Kein BitTorrent, Emule und all die anderen P2P Seuchen).

Eine Antivirensoftware kann im Notfall dann doch mal helfen, aber so weit sollte es erst garnicht kommen.

Das alles auf einem eingeschränkten Benutzerkonto, nicht als Administrator.

Lies dir das mal in Ruhe durch:

(Un)Sicheres Windows am Heim-PC

Neuaufsetzen des Systems und anschliessende Absicherung! (Dort sind auch noch einige nützliche Links).

mfg, Kaos


@tvdude:
Hast du dieses Thema hier überhaupt gelesen?

Kaos hat das schon beantwortet.
Gute Entscheidung. :aplaus:

Ignoriere tvdude. Der soll erstmal Lesen lernen. :)

ciao, andreas