Zone Alarm schaltet automatisch ab ?!?

lueff · 08.01.2005, 19:42

Hallo Ihr,
bin ganz neu im Forum und möchte mich erst mal vorstellen.
Bin 31 komm vom schönen Bodensee und Ihr könnt mich Lüff schimpfen.
Wie bei vielen anderen hat mich ein riesiges Problem auf Eure Seite gebracht.
Seid kurzem komme ich nicht mehr ins I-Net. Wir haben einen DSL Router und alle Einstellung sind OK. Habe mein System ganz neu draufgenudelt und nur Probleme damit ( WIN XP Prof. mit AMD Athlon 3000+ 1G Speicher tec.).
Nun kam ich vom Essen an meinen Rechner und ZoneAlarm war aus.....ich dachte noch hä :-?...aber als ich es wieder starten wollte ging es kurz danch wie von Geisterhand wieder aus...und seid dem komme ich auch nicht mehr ins Netz...hatte mit meinem alten System und einer damals noch (unoffiziellen XP Version) keinen Probleme

...komischerweise findet aber auch Spybot S&D gar nichts mehr...früher waren da immermal wieder ein paar Spuren..aber nun....ales immer OK...glaub ich aber nicht...
Würde mich freuen wenn ihr mir helfen könntet...ach ja, im Taskmanager finde ich jetzt ein neue Anzeige tibs3 :-???.
Lüff

cronos · 08.01.2005, 19:50

Erstelle mit HijackThis einen Log und stelle ihn hier ins Forum
Download+ Anleitung gibts hier

http://www.trojaner-board.de/51130-a...ijackthis.html

lueff · 08.01.2005, 19:59

Danke Dir cronos,
hier der LogFile

Logfile of HijackThis v1.99.0
Scan saved at 19:57:26, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\tibs3.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
f:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\explorer.exe
F:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xzy.aflashcounter.com/a/masta.chm::/exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke
Lüff

cacatoa · 08.01.2005, 21:31

Hi, lueff,
folgendes gehört mit HJT im abgesciherten Modus gefixt:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xzy.aflashcounter.com/a/masta.chm::/exe

Wenn Du folgende nicht kennst/willst, ebenfalls fixen:
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab

Folgende läßt du bitte bei Jotti online scannen:
C:\WINDOWS\system32\pidd.dll
C:\WINDOWS\System32\tibs3.exe
bitte berichte über das jeweilige Ergebnis (sind jeweils 11 Zeilen)

Anschließend normal booten und neues Logfile erstellen.
Prüfe dann Deine vertrauenswürdigen Seiten (trusted zones) auf ihre Sicherheitseinstellungen.
cacatoa

cronos · 09.01.2005, 01:13

Cacatoas Worten ist nur noch eins hinzuzufügen.
Du benötigst auch noch Microsofts Service Pack 2.Welches unter dem folgenden Link zu haben ist.

------------->Download <-------------

lueff · 09.01.2005, 10:44

Hallo Cronos, hi cacatoa,

vielen lieben Dank für Eure Tips :-)
Aber um mal ganz ehrlich zu sein...wie kann ich bzw. was bedeutet "musst Du fixen im Abgesicherten Modus" ?
In Klammern setzen oder ganz die Schlüssel löschen ? Habe mal im Normalmodus nachgeshen und dort finde ich die Einträge gar nicht..denkt Ihr denn ich kann dann wieder online gehen ? Wenn nicht, kann ich ja auch nicht online scannen ?!
Also nochmals lieben Dank
Lüff
Komm ich denn um die SP 2 nicht rum ? HAb so viel negatives gelesen....

cacatoa · 09.01.2005, 10:56

Hi,
Fixen im abgesicherten Modus hießt, nach dem scan die von mir bechriebenen Punkte mit einem Häkchen markieren und unten auf "fix checked" clicken.

Wie schauts mit den Jotti-Ergebnissen aus?

Mit SP 2 hatte ich noch nie irgendein Problem; hier wird viel geredet und viele sog. Probs sind hausgemacht.

Grüße cacatoa

Zone Alarm schaltet automatisch ab ?!?

Log-Analyse und Auswertung: Zone Alarm schaltet automatisch ab ?!?