1.
Hast du es denn in der Hosts selbst eingetragen bzw absichtlich zugefügt? Wenn ja, warum?

Code: Alles auswählenAufklappen

ATTFilter

O1 - Hosts: 192.168.58.2    serv-002.gs-schopp.dnsalias.org serv-002                       # vmware esxi
O1 - Hosts: 192.168.58.3    serv-003.gs-schopp.dnsalias.org serv-003                       # DMS in Schopp
O1 - Hosts: 192.168.58.10   serv-010.gs-schopp.dnsalias.org serv-010 backup chat  # opensuse 11.1
O1 - Hosts: 192.168.58.11   serv-011.gs-schopp.dnsalias.org serv-011                      # W2K3EE virtuell auf serv-002
O1 - Hosts: 192.168.58.12   serv-012.gs-schopp.dnsalias.org serv-012 schlange       # W2K3EE virtuell auf esel
O1 - Hosts: 192.168.58.17   maultier.gs-schopp.dnsalias.org maultier                      # opensuse 11.1
O1 - Hosts: 192.168.58.20   esel.gs-schopp.dnsalias.org esel                                   # sles 10 sp2
O1 - Hosts: 192.168.58.40   pferd.gs-schopp.dnsalias.org pferd                                # 11.1
O1 - Hosts: 192.168.58.60   eiche.gs-schopp.dnsalias.org eiche                               # 11.1 X-Terminal
O1 - Hosts: 192.168.58.61   ulme.gs-schopp.dnsalias.org ulme                                # 11.1 X-Terminal
O1 - Hosts: 192.168.58.62   linde.gs-schopp.dnsalias.org linde                                # 11.1 X-Terminal
O1 - Hosts: 192.168.58.1    falke.gs-schopp.dnsalias.org falke
O1 - Hosts: 192.168.58.81   nelke.gs-schopp.dnsalias.org nelke                               # opensuse 11.1 X-Terminal
O1 - Hosts: 192.168.58.84   sonnenblume.gs-schopp.dnsalias.org sonnenblume     # opensuse 11.1
O1 - Hosts: 192.168.58.91   win-01.gs-schopp.dnsalias.org win-01                  # WinXP virtuell
O1 - Hosts: 192.168.58.92   win-02.gs-schopp.dnsalias.org win-02                  # WinXP virtuell
O1 - Hosts: 192.168.58.93   win-03.gs-schopp.dnsalias.org win-03                  # WinXP virtuell
O1 - Hosts: 192.168.58.94   win-04.gs-schopp.dnsalias.org win-04                  # WinXP virtuell
O1 - Hosts: 192.168.58.101  tux-01.gs-schopp.dnsalias.org tux-01 rxhost         # opensuse 11.1
O1 - Hosts: 192.168.58.102  tux-02.gs-schopp.dnsalias.org tux-02                   # opensuse 11.1
O1 - Hosts: 192.168.58.103  tux-03.gs-schopp.dnsalias.org tux-03                   # opensuse 11.1
O1 - Hosts: 192.168.58.104  tux-04.gs-schopp.dnsalias.org tux-04                   # opensuse 11.1
O1 - Hosts: 192.168.58.105  tux-05.gs-schopp.dnsalias.org tux-05                   # opensuse 11.1
O1 - Hosts: 192.168.58.106  tux-06.gs-schopp.dnsalias.org tux-06                   # opensuse 11.1
         

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" (Vollständiger Suchlauf wählen) wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf "Restore bzw systemwiederherstellung" markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

P.S.:
Programme herunterladen, falls im normalen Modus nicht geht (Malwarebytes, HijackThis etc):
Gehe in den abgesicherten Modus/Anleitung von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast) und versuche die hier empfohlenen Programmevon dort herunterladen

- Abgesicherter Modus
►- Abgesicherter Modus mit Netzwerktreibern <--auswählen

Hi Kira,

also der Reihe nach...

1. Die Hosts habe ich nicht persönlich eingetragen, aber ein Bekannter von mir und meiner Mutter. Das ganze dient zum Fernzugriff (per VPN) auf das Netzwerk des Arbeitsplatzes meiner Mutter. (vllt sollte man die Liste hier wieder löschen...keine Ahnung ob unbefugte damit was anfangen könnten...?)
Ich war dabei als er das eingetragen hat - von daher sag ich mal, das hat alles seine Richtigkeit.(Der Mann ist Informatiker, also hoffe ich, dass er weiß was er tut )

2. AntiMalware ist schon drauf und einen Scan habe ich durchgeführt genau bevor ich dieses Thema eröffnet habe (wie ich oben auch geschrieben habe).
Funde oder Warnungenn gab es keine. Log hängt an.
Ich ließ das ganze aber jetzt nochmal durchrennen - Ergebnis war das selbe, also "keine Funde". Log befindet sich ebenfalls anbei.

3. zu deinem PS:
HERUNTERLADEN ist ja schon passiert (das habe ich mit meinem Laptop gemacht und die Datei dann auf den anderen Rechner transportiert, denn im Internet schmeißt dieser mir ja oft das System kaputt, sprich Absturz...das wollte ich mir ersparen).
Das INSTALLIEREN ist das Problem. Kann ich das auch im Abgesicherten Modus machen (oder versuchen)?

wie hier beschrieben:

Zitat:

Programme herunterladen, falls im normalen Modus nicht geht (Malwarebytes, HijackThis etc):
Gehe in den abgesicherten Modus/Anleitung von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast) und versuche die hier empfohlenen Programmevon dort herunterladen

- Abgesicherter Modus
►- Abgesicherter Modus mit Netzwerktreibern <--auswählen

Zitat:

Zitat von wolveheart

(vllt sollte man die Liste hier wieder löschen...keine Ahnung ob unbefugte damit was anfangen könnten...?)

Du kannst nicht mehr editieren, aber schreibe einfach ein Mail an unseren Admin


Das hört sich nach eher einem "technischen" Problem an also Treiber o sonstiges, Malware schließe ich aus
► Dürfte die Probleme nicht aus heiterem Himmel kommen, daher beantworte mir bitte kurz folgende Fragen:

Hast du in der letzten Zeit:

• ♦ Irgendwas an deinem System geändert?
  ♦ Programme/Treiber/Spiele installiert (Aktuelle Patches-Downloads für Computer- / PC-Spiele und Games),Update gezogen..etc - und waren die Quellen sicher?
  ♦ Etwas an der Registry verändert/gelöscht bzw RegCleaner/Optimizer-Tools benutzt usw
  ► In der Vergangenheit oder vor kurzem: war dein System infiziert bzw v. Viren befallen? - Wenn ja, welche Methoden hast Du angewendet zur Beseitigung? Eventuell schon vorhandene Protokoll bitte posten

Mache bitte folgendes:
Systemsteuerung -> System -> Erweitert -> Starten und Wiederherstellen Einstellungen: Dort den Haken bei "Automatisch Neustart durchführen" wegnehmen-> Auf "OK" klicken und anschließend erneut auf "OK"
Windows jetzt wieder abstürzt, dann erfolgt kein Neustart sondern Du bekommst den Bluescreen angezeigt.
Dort gibt es eine Zeile, die mit "STOP" anfängt gefolgt von 4 langen hexadezimalen Codes. Je nach Typ des Fehlers kann es weiter unten eine weitere Zeile mit hexadezimalen Codes und eventuell einem Dateinamen geben. Diese beiden Zeilen sorgfältig abschreiben und hier posten.
Am besten jedesmal wenn es passiert ist. Aus deren Inhalt kann man Hinweise gewinnen, woran es liegen kann.

Hello again,

habe den abgesicherten Modus probiert. Dummerweise sagt mir das System dann "Der Systemadministrator hat Richtlinien erlassen, um eine Installation zu verhindern".
Das wundert mich vor allem deshalb, weil ich im (einzigen) Administratorkonto eingelogt bin, was auf dem Rechner vorhanden ist...? Ich wüsste nix von Richtlinien. Wo kann man das prüfen und ggf. ändern - falls der Aufwand da gerechtfertigt ist?
Hijack This fällt wohl aus....

Zu deinen Fragen:

Zitat:

♦ Irgendwas an deinem System geändert?

Am System wurde absolut nichts verändert, und das schon seit ca. einem Jahr.

Zitat:

♦ Programme/Treiber/Spiele installiert (Aktuelle Patches-Downloads für Computer- / PC-Spiele und Games),Update gezogen..etc - und waren die Quellen sicher?

Spiele Fehlanzeige - sind gar keine vorhanden auf dem Rechner
Meine Mutter sagt sie habe ein Firefox-Update gezogen (bzw. die neue Version runtergeladen und installiert), wohl weil web.de ihr dazu ne Werbemail geschickt hatte (das machen die ja dauernd). Sonst hätte Sie nchts gemacht.

Zitat:

♦ Etwas an der Registry verändert/gelöscht bzw RegCleaner/Optimizer-Tools benutzt usw

Fehlanzeige

Zitat:

In der Vergangenheit oder vor kurzem: war dein System infiziert bzw v. Viren befallen? - Wenn ja, welche Methoden hast Du angewendet zur Beseitigung? Eventuell schon vorhandene Protokoll bitte posten

Da war auch nichts. Es sei denn SO lange her, dass ichs nicht mehr erinnere.

Den automatischen Neustart hatte ich schon deaktiviert, weil ich das in einem verwandten Thread gelesen hatte (wie eingangs bereits beschrieben). Habe das nochmal geprüft - der Haken ist weg. Leider ändert das nix dran, dass der bekloppte PC trotzdem neu bootet! (Falls er nicht *didüdidü...* macht und ich den Stecker ziehen muss)

PS: Ich weiß nicht, ob das damit was zu tun hat, aber beim Start von Windows beansprucht AntiVir 100% der CPU - und das für locker 1 - 1,5 Minuten! In dieser Zeit geht nichts anderes (außer TaskManager). Normal is des net - oder?

Zwischendurch schonmal ein herzliches Dankeschön für deine Mühe!

Zitat:

Zitat von wolveheart

Meine Mutter sagt sie habe ein Firefox-Update gezogen (bzw. die neue Version runtergeladen und installiert), wohl weil web.de ihr dazu ne Werbemail geschickt hatte (das machen die ja dauernd). Sonst hätte Sie nchts gemacht.

Bitte NUR vom Herstellerseite (**keine Fremdanbieter) Programme installieren!!

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.order.1: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "w3i&type=W3i_DS,157,0_0,Search,20111146,16981,0,16,0"
FF - prefs.js..browser.startup.homepage: "http://de.search.yahoo.com/?fr=w3i&type=W3i_SP,205,0_0,StartPage,20111146,16982,0,16,0"
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
[2011.11.09 17:04:34 | 000,000,000 | ---D | M] (Freeze.com NetAssistant) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\ANWENDUNGSDATEN\NETASSISTANT
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.02.14 12:22:27 | 000,024,576 | R--- | M] () - E:\autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2006.02.14 12:22:27 | 000,000,049 | RH-- | M] () - E:\autorun.inf -- [ CDFS ]
O32 - AutoRun File - [2006.02.14 12:22:27 | 000,000,011 | RH-- | M] () - E:\autorun.ini -- [ CDFS ]
O33 - MountPoints2\{9539aa60-05bb-11df-a586-00236901aaea}\Shell - "" = AutoRun
O33 - MountPoints2\{9539aa60-05bb-11df-a586-00236901aaea}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9539aa60-05bb-11df-a586-00236901aaea}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

:Commands
[purity]
[emptytemp]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  mbr.exe -t > C:\mbr.log & C:\mbr.log
           

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

Howdie!

Selbigen Satz hatte ich zu meiner Mutter auch gesagt

Anbei findest du das erzeugte Log von OTL, sowie von GMER. Hat alles ohne Probleme geklappt.

MBR hat folgendes ausgespuckt:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST340810A rev.3.39 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll intelide.sys PCIIDEX.SYS 
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x8238CAB8]
3 CLASSPNP[0xF8576FD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-3[0x823D1D98]
kernel: MBR read successfully
user & kernel MBR OK
         

Bin gespannt was du da rauslesen kannst - für mich könnte das Meiste auch chinesisch sein, das verseh ich genauso wenig
Danke!

1.
der Internet Explorer veraltet (IE 8 momentan aktuell!!-> :-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand!
Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann.

2.
versuche das Tool HijackThis auf USB Stick ziehen und von dort auf dem besagten PC installieren
Benenne die installierte Datei:
C:\Programme\Trend Micro\HijackThis\HijackThis.exe <--benenne um in prüfung.com
wenn`s Dir gelingt, poste ein neues Logfile

3.
- Hardware auf dem neuesten Stand?
- Mit der Zeit sammelt sich im Grafikkarten-Lüfter eine Menge Staub.http://blogand1.wordpress.com/2007/0...nen PC sauber?
- Temperatur mit SpeedFan Final]SpeedFan Final[/url] prüfen

4.
Ein Blick ins Ereignisprotokoll sollte hier auch schon Aufschluss geben woran es liegen könnte! Ob da roter Kreis mit weißem Kreuz bzw. gelbes Dreieck mit schwarzem Ausrufungszeichen zu sehen?

5.
1. Start/Systemsteuerung
2. Auf System klicken
3. Registerkarte "Erweitert" auswählen
4. "Starten und Wiederherstellen" auf Einstellungen
5. Haken bei Neustart automatisch durchführen wegmachen
6. Auf "OK" klicken und anschließend erneut auf "OK".
Wenn Windows jetzt wieder abstürzt, dann erfolgt kein Neustart sondern Du bekommst den Bluescreen angezeigt. Dort gibt es eine Zeile, die mit "STOP" anfängt gefolgt von 4 langen hexadezimalen Codes. Je nach Typ des Fehlers kann es weiter unten eine weitere Zeile mit hexadezimalen Codes und eventuell einem Dateinamen geben. Diese beiden Zeilen abschreiben (sorry, Copy&Paste arbeiten hier nicht mehr) und posten. Aus deren Inhalt kann man Hinweise gewinnen, woran es liegen kann. Die Daten bitte jedesmal erfassen, es ist auch interessant zu sehen, ob und wie sie sich ändern.

6.
► Memtest ist ein umfangreiches Speichertest-Programm:
http://www.heise.de/software/download/memtest86/41271
-> Wie wird gemacht?:-> http://www.winfuture-forum.de/index.php?showtopic=43537
http://www.memtest.org/