Hallo Ihr,
bin ganz neu im Forum und möchte mich erst mal vorstellen.
Bin 31 komm vom schönen Bodensee und Ihr könnt mich Lüff schimpfen.
Wie bei vielen anderen hat mich ein riesiges Problem auf Eure Seite gebracht.
Seid kurzem komme ich nicht mehr ins I-Net. Wir haben einen DSL Router und alle Einstellung sind OK. Habe mein System ganz neu draufgenudelt und nur Probleme damit ( WIN XP Prof. mit AMD Athlon 3000+ 1G Speicher tec.).
Nun kam ich vom Essen an meinen Rechner und ZoneAlarm war aus.....ich dachte noch hä :-?...aber als ich es wieder starten wollte ging es kurz danch wie von Geisterhand wieder aus...und seid dem komme ich auch nicht mehr ins Netz...hatte mit meinem alten System und einer damals noch (unoffiziellen XP Version) keinen Probleme ...komischerweise findet aber auch Spybot S&D gar nichts mehr...früher waren da immermal wieder ein paar Spuren..aber nun....ales immer OK...glaub ich aber nicht...
Würde mich freuen wenn ihr mir helfen könntet...ach ja, im Taskmanager finde ich jetzt ein neue Anzeige tibs3 :-???.
Lüff

Erstelle mit HijackThis einen Log und stelle ihn hier ins Forum
Download+ Anleitung gibts hier

http://www.trojaner-board.de/51130-a...ijackthis.html

Danke Dir cronos,
hier der LogFile

Logfile of HijackThis v1.99.0
Scan saved at 19:57:26, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\tibs3.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
f:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\explorer.exe
F:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xzy.aflashcounter.com/a/masta.chm::/exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke
Lüff

Hi, lueff,
folgendes gehört mit HJT im abgesciherten Modus gefixt:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xzy.aflashcounter.com/a/masta.chm::/exe

Wenn Du folgende nicht kennst/willst, ebenfalls fixen:
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab

Folgende läßt du bitte bei Jotti online scannen:
C:\WINDOWS\system32\pidd.dll
C:\WINDOWS\System32\tibs3.exe
bitte berichte über das jeweilige Ergebnis (sind jeweils 11 Zeilen)

Anschließend normal booten und neues Logfile erstellen.
Prüfe dann Deine vertrauenswürdigen Seiten (trusted zones) auf ihre Sicherheitseinstellungen.
cacatoa

Cacatoas Worten ist nur noch eins hinzuzufügen.
Du benötigst auch noch Microsofts Service Pack 2.Welches unter dem folgenden Link zu haben ist.



------------->Download <-------------

Hallo Cronos, hi cacatoa,

vielen lieben Dank für Eure Tips :-)
Aber um mal ganz ehrlich zu sein...wie kann ich bzw. was bedeutet "musst Du fixen im Abgesicherten Modus" ?
In Klammern setzen oder ganz die Schlüssel löschen ? Habe mal im Normalmodus nachgeshen und dort finde ich die Einträge gar nicht..denkt Ihr denn ich kann dann wieder online gehen ? Wenn nicht, kann ich ja auch nicht online scannen ?!
Also nochmals lieben Dank
Lüff
Komm ich denn um die SP 2 nicht rum ? HAb so viel negatives gelesen....

Hi,
Fixen im abgesicherten Modus hießt, nach dem scan die von mir bechriebenen Punkte mit einem Häkchen markieren und unten auf "fix checked" clicken.

Wie schauts mit den Jotti-Ergebnissen aus?

Mit SP 2 hatte ich noch nie irgendein Problem; hier wird viel geredet und viele sog. Probs sind hausgemacht.

Grüße cacatoa

Hallo Cacota,
habs soeben gemacht.......
mich machen die Einträge mit Symantec auch ein wenig stutzig...hab keine Antivieren Programm drauf...
Werde jetzt gleich mal schaun ob ich online gehen kann und werde dann die Scans einstellen....


ALSO:
Geht immer noch nichts....leider...zonealarm geht sofort nach dem Start wieder offline und ich komme nur für ca. 2 sec. online...das reicht leider nicht zum scannen.....werde nochmals HJT drüber laufen lassen und schaun ob noch was rumfliegt...

Ich kann zwar keine symantec-Einträge finden, aber die ppupdates usw (also die letzten drei) würde ich fixen.
cacatoa

Also cacota,
hab soeben noch mal einen Log erstellt:


Logfile of HijackThis v1.99.0
Scan saved at 11:15:16, on 09.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
f:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
F:\Programme\WinZip\WZQKPICK.EXE
F:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-ExplorerIST OK!!!
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - WAS IST DAS??http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

So...aber online kann ich immer noch nicht *heul*

Ich dreh gleich durch..*heul*
Habe nach einem Neustart nochmals gescannt..und alles schien mir OK....
Dacht kann ja nicht schaden wenn ich ZA mal ganz runter schmeiß und nochmals neu drauf mache..also alle Schlüssel raus nach der Deinstall und Neustart und dann installationsroutine...und siehe da...schon bei den Einstellung ist ZA wieder wech.....was zum Geier ist DAS??? Und ich kann keinen Meter mehr online....
Finde aber bei den aktiven Tasks nicht...gar nichts.....

Hi, lueff,
arbeitest Du von einem anderen Rechner aus?
Kannst Du damit auch die Datei:
C:\WINDOWS\system32\pidd.dll
nicht online bei Jotti scannen?

Hatte eben ein Brett vor´m Kopf; natürlich habe ich die Symantecs gesehen. Hattest du veillleicht mal irgendwann Norton drauf? Er ist bekannt dafür, daß er nach der Deinstallation immer noch Relikt draufläßt..
cacatoa

Hi Cacota,
nein habe nie Norton drauf gehabt...aber mal einen online scan durchgeführt glaub ich...evt. sind das noch die Reste...ja, arbeite momentan vom Laptop....aber ich komme nicht auf meinen anderen Rechner trotz Netzwerk...wie soll ich denn die DAtei über einen anderen Rechenr Scannen ?
Sorry wenn ich mich so blöb anstelle...aber ich bin eben doch mehr User als Builder ;-).
Habe aber CDN WIN TOOL PROF drauf etc. aber komischerweise dauert auch das runterfahren jetzt noch länge als mit mienen "manuellen" Einstellungen...so ca. 40 sec.
Würde mich freuen wenn Du mir nochmals kurz Antworten könntest wie ich denn die Datei scann kann bei Jotti.
Kann aber vom PID Stic kommen denke ich...
Markus (Lüff)

@ Lueff:
Jetzt machen wir was anderes:
Lade Dir von einem funktionierenden Rechner den eScan in dieser Version (mwav.exe) herunter.

Erstelle auf Diesem Rechner einen Ordner C:\bases (wichtig!!).
Entpacke die mwav.exe in diesen Ordner. Führe ein update aus (kavupd.exe) Brenne alles auf eine CD.
Scanne dann Dein System (mwavscan). Kreuze an: "scan all local drives".
Lasse eScan laufen (Dauer ca. 1 Std.)
Berichte was er gefunden hat.
cacatoa

Ja, mach ich.....und Danke schon mal....