Zitat:

Habe jetzt aber keine Internetverbindung mehr und beim hochfahren dauert es immer ewig bis sich der Desktop und die Startleiste aufbaut

Im normalen Modus keine Verbindung mehr?
Wie genau gehst du ins Internet?

Funktioniert im abgesicherten und im normalen Modus nicht
Gehe über ne direkte LAN verbindung ins Internet

Habe gestern ne Mail von nem User bekommen der sich meinen Thread durchgeschaut hat und gemeint das ihm aufgefalllen ist, dass auf meinem System zwei Services laufen die dort eig. nichts zu suchen haben und die wahrscheinlich mit der mediyes-infektion zusammenhängen
im OTL-log:
SRV - [2012.06.02 19:53:42 | 000,241,664 | ---- | M] (Parental Solutions Inc.) [Auto | Running] -- C:\WINDOWS\system32\pouadv16e.dll -- (Dnscache)
SRV - [2011.12.26 13:08:50 | 000,114,000 | ---- | M] (Joosoft.com GmbH) [Auto | Running] -- C:\WINDOWS\system32\UpdSvc.dll -- (Update-Service)

was sagst du dazu?

Hast du dir die Datumsstempel angesehen?
Die "Erziehungsssoftware" (Parental Solutions Inc.) wird ja nicht erst seit gestern drauf sein
Und wenn doch müsste ich mir dir schimpfen, denn während einer Bereinigung installiert man ohne Absprache mit dem Helfer auch nichts

Zitat:

Gehe über ne direkte LAN verbindung ins Internet

Wohl nur ein IP-Problem.

• Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen"
  
  
• Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden
  
  
• Falls dem so ist, diese neue Verknüpfung doppelklicken => schwarze Eingabeaufforderung öffnet sich
  
  
• Tipp dort ein:
  Code: Alles auswählenAufklappen

  ATTFilter

  ipconfig /all > c:\ipconfig.txt
           

  und bestätige mit enter.
  
  
• Öffne die Datei c:\ipconfig.txt und poste den Inhalt hier mit CODE-Tags umschlossen

Nein habe die Software nicht installiert....was ist das überhaupt für eine "Erziehungssoftware"?? Warum hab ich die auf meinem System?

Code: Alles auswählenAufklappen

ATTFilter

Windows-IP-Konfiguration



        Hostname. . . . . . . . . . . . . : gertz-1okntrs7f

        Primäres DNS-Suffix . . . . . . . : 

        Knotentyp . . . . . . . . . . . . : Broadcast

        IP-Routing aktiviert. . . . . . . : Nein

        WINS-Proxy aktiviert. . . . . . . : Nein



Ethernetadapter LAN-Verbindung:



        Verbindungsspezifisches DNS-Suffix: fritz.box

        Beschreibung. . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC

        Physikalische Adresse . . . . . . : 00-0D-87-C7-ED-5C

        DHCP aktiviert. . . . . . . . . . : Ja

        Autokonfiguration aktiviert . . . : Ja

        IP-Adresse. . . . . . . . . . . . : 0.0.0.0

        Subnetzmaske. . . . . . . . . . . : 0.0.0.0

        Standardgateway . . . . . . . . . : 

        DHCP-Server . . . . . . . . . . . : 0.0.0.0

        DNS-Server. . . . . . . . . . . . : 0.0.0.0
         

Deiner Netzwerkkarte wurde eine ungültige IP-Nummer zugewiesen
Logisch, dass dann so keine Verbindung möglich ist

Probier wir es mal manuell, Anleitung => IP-Adresse festlegen unter Windows XP

Da du eine Fritzbox hast, nimmst zum Testen als Nummern diese hier:

IP-Adresse: 192.168.178.77
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.178.1

Wenn du willst, kannst du manuell auch einen (schnelleren) DNS angeben:
Bevozugter DNS: 208.67.222.222
Alternativer DNS: 208.67.220.220

hab ich jetzt versucht, funktioniert aber trotzdem nicht

Code: Alles auswählenAufklappen

ATTFilter

        Hostname. . . . . . . . . . . . . : gertz-1okntrs7f

        Primäres DNS-Suffix . . . . . . . : 

        Knotentyp . . . . . . . . . . . . : Unbekannt

        IP-Routing aktiviert. . . . . . . : Nein

        WINS-Proxy aktiviert. . . . . . . : Nein

        DNS-Suffixsuchliste . . . . . . . : fritz.box



Ethernetadapter LAN-Verbindung:



        Verbindungsspezifisches DNS-Suffix: fritz.box

        Beschreibung. . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC

        Physikalische Adresse . . . . . . : 00-0D-87-C7-ED-5C

        DHCP aktiviert. . . . . . . . . . : Nein

        IP-Adresse. . . . . . . . . . . . : 0.0.0.0

        Subnetzmaske. . . . . . . . . . . : 0.0.0.0

        Standardgateway . . . . . . . . . : 0.0.0.0

        DNS-Server. . . . . . . . . . . . : 0.0.0.0

                                            0.0.0.0
         

und das soll ich dir noch posten:

Ich kann nichts in deinen Thread direkt reinschreiben und cosinus hat die PM-Funktion bei sich deaktiviert - ich kann ihn also nicht direkt erreichen. Ich bin aber ziemlich sicher, dass er da was übersieht. Kannst du deshalb den folgenden Abschnitt mit einem Verweis in deinen Thread reinkopieren? Danke!

-----------

Eine Recherche über die Forumssuche zeigt:
- Der Service von Parental Solutions Inc (poua*****.dll, letzte 5 Zeichen sind zufällig) taucht ab Juni 2012 in den Systemen auf. Zum Teil auch mitten in Bereinigungen.
- Auf *jedem* System (ohne Ausnahme!), in welchem dieser Service erscheint, läuft bereits dieser Service von Joosoft.com (UpdSvc.dll), welcher jeweils einen Datumsstempel von Ende 2011 trägt und schon länger mit von der Partie ist.
- *Immer* (wieder ohne Ausnahme) wenn in diesem Jahr der Trojaner Mediyes erwähnt wird (entweder als Eröffnungsgrund für den Thread oder als Nebenschauplatz in Logfiles), ist dieser Updateservice von Joosoft.com am Laufen.
- Mediyes erregte Aufsehen, weil er über ein gestohlenes Zertifikat einer Firma Conpavi verfügt hat ( hxxp://computer.t-online.de/trojaner...54951222/index ). Laut Einträgen im Schweizerischen Handelsregister hängt die Firma Conpavi mit Joosoft zusammen. Eine direkte Verbindung von Mediyes zu Conpavi zu Joosoft scheint plausibel. Eine Firma Parental Solutions wird wohl mit dem Service, der unter ihrem Namen läuft, ebenfalls nicht viel zu tun haben.
=> Zusammengefasst vermute ich, dass diese beiden Services mit Mediyes verbandelt sind (vllt. als Dropper für den Payload). Und dass der neuere von beiden erst kürzlich nachgeladen wird, suggeriert, dass es keine alte Leiche im Keller ist, sondern immer noch Aktivität vorhanden ist. Auch wenn in diesem Fall anscheinend nicht destruktiv, so will man Trojaner mit gestohlenen Zertifikaten wohl trotzdem nicht zum Erfolgsmodell aufkommen lassen...

Wer wollte mir das per PN schicken?!
PN hab ich außer für die die auf meiner Freundesliste stehen deaktiviert!

deswegen soll ichs dir ja hier posten damit du das lesen kannst
Tom86 hat mir die PN geschickt

Hm so ganz erschließt sich mir der Zusammenhang nicht. Gibt es da eine Quelle zu oder hat das Tom86 allein rausgefunden? Der gepostete Link mit T-Online ist übrigens ein ungültiger Link.

Also ich denke ich installier jetzt einfach das Betriebssystem neu und fertig....

Hätte da noch ne andere Frage und zwar bringt mir das Avira Programm auf meinem Laptop ständig die Meldung: "ICMP-Flooding wurde am Drahtlosen Netzwerkadapter aktiviert"

Was hat das zu bedeuten?

LG

Avira ist einer Hersteller von mehreren Programmen!
Es gibt nicht "das Avira-Programm" bzw. ist das eine viel zu ungenaue Info!
Ich vermute hier aber wieder irgendeine daämliche Firewall-Komponente. Eigentlich hat dieser Unsinn nichts auf einen Windows-Rechner verloren, nimm einen reinen Virenscanner plus Windows-Firewall - man kanns auch verschlimmbessern und die Schraube überdrehen, nach fest kommt ab