Ich benutze mit Windows XP SP2 das Elsa Modem Microlink 56K für Faxübertragungen in Verbindung mit dem Nachrichten-Manager Winfax Pro. Bisher hat es einwandfrei gearbeitet. Seit einiger Zeit ist das Modem ständig belegt; die LED´s Txd und Rxd blinken ständig. Die Telefonleitung ist frei. Bei der Einrichtung von Winfax Pro kommt die Fehlermeldung: Das Modem wird von einer anderen Anwendung belegt. Ich habe aber kein anderes Programm, das das Modem belegen könnte. Mein System wird durch Internet Security Suite geschützt. Wie kann ich feststellen, welche Anwendung das Modem belegt bzw. wie kann ich das abstellen? Für sachdienliche Hinweise bin ich dankbar.
Ich habe das System mit HijackThis gescannt:

Logfile of HijackThis v1.99.1
Scan saved at 18:09:47, on 18.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Eigene Dateien\Software\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {22CF0C35-80CE-11D3-9354-00105AA793BF} (Ipa Control) - http://www.immdesign.com/webview/IPAWebView.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144826273718
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Lässt sich hieraus eine Ursache erkennen? Leider bin ich nicht so tief in der Materie, um ein Logfile zu beurteilen. Für jeden Tipp bin ich dankbar.

mfg. tai-yan

Irgendetwas ist drauf.
Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Hallo felix1,

offensichtlich habe ich mir doch etwas eingefangen, obwohl mein ZA Schutzprogramm immer aktiv war.

Ich habe einen 1. Scan durchgeführt und alles, was mit Cookies zu tun hat, gelöscht. Dann habe ich einen 2. Scan durchgeführt; es wurden 2 Objekte gefunden, die ich ebenfalls gelöscht habe. Beide Logfiles folgen:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 08:43:36 19.12.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{C97E7E2F-87A4-4B3E-8C01-7B6D5EFC83AD}\RP136\A0014559.cpl -> Adware.P2PNet : Ignoriert.
C:\System Volume Information\_restore{B6B01FBC-2969-423B-BFEA-2BCF7C925704}\RP601\A0057742.exe -> Backdoor.SdBot.xd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{B6B01FBC-2969-423B-BFEA-2BCF7C925704}\RP601\A0057743.exe -> Backdoor.SdBot.xd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{B6B01FBC-2969-423B-BFEA-2BCF7C925704}\RP601\A0057744.exe -> Backdoor.SdBot.xd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{C97E7E2F-87A4-4B3E-8C01-7B6D5EFC83AD}\RP136\A0014562.exe -> Downloader.Keenval.f : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@data3.perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert.


::Berichtende




---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 10:14:39 19.12.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{C97E7E2F-87A4-4B3E-8C01-7B6D5EFC83AD}\RP136\A0014559.cpl -> Adware.P2PNet : Gesäubert.
C:\Dokumente und Einstellungen\Hermann-J. Küppers\Cookies\hermann-j. küppers@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.


::Berichtende



Bitte um Überprüfung, ob sich eine Ursache für die ständige Belegung des Modem finden lässt. Danke.

Gruss tai-yan

Du hattest das hier im System:
Worm/Sdbot.40448.22 - Vollständig

Ob es komplett entfernt wurde, kann Dir niemand sagen. Bei einem Wurm sollte eigentlich das System neu aufgesetzt werden. Auch ist das Benutzen von P2PNertzwerken dem System nicht förderlich.

Um herauszufinden, was sonst noch an schädlichen Dateien vorhanden ist, führe einen Escan aus. Halte Dich genau an die Anleitung:
http://www.trojaner-board.de/24192-e...en-ab-7-x.html

Hallo felix1,

danke für die Auswertung der Logfiles. Wenn ich das richtig verstehe, ist der Worm/Sdbot.40448.22 - Vollständig vermutlich noch im System, obwohl ich den PC mit HiJack this gescannt habe. Hat es noch Sinn, mit Escan nach weiteren schädlichen Dateien gemäss http://www.trojaner-board.de/24192-e...en-ab-7-x.html zu suchen, wenn ich das System ohnehin neu aufsetze?
Wenn ich das System neu aufsetze, bleiben meine Anwendungsprogramme, die eigenen Dateien und meine aktuellen Einstellungen nach dem Normalstart erhalten?

Gruss tai-yan

Zitat:

Wenn ich das System neu aufsetze, bleiben meine Anwendungsprogramme, die eigenen Dateien und meine aktuellen Einstellungen nach dem Normalstart erhalten?

Die Anwendungsprogramme nicht. Selbst wenn du diese noch separat sichern würdest, ist dies nicht empfehlenswert, denn die Dateien der Programme sind durch das verseuchte System nicht mehr vertrauenswürdig. Abgesehen davon müssen Programme idR auch neu installiert werden, ein nackter Ordner eines Programms reicht nicht aus, um es normal benutzen zu können. Die Installroutinen legen in vielen verschiedenen Bereichen die Programmteile ab, nicht nur ins Programmverzeichnis.
Die eigenen Dateien bleiben erhalten, wenn du diese auf eine andere Partition abgelegt hast. Zum Neuaufsetzen reicht das Formatieren der Systempartition aus. Du solltest aber trotzdem mal an Backups denken, wichtige Daten muss man extern sichern, z.B. auf DVD brennen!
Die Einstellungen von Windows bleiben nicht erhalten - du hast ja ein neu aufgesetztes Windows mit den Grundeinstellungen sozusagen.

Die eigenen Dateien bleiben erhalten, wenn du diese auf eine andere Partition abgelegt hast. Zum Neuaufsetzen reicht das Formatieren der Systempartition aus. Du solltest aber trotzdem mal an Backups denken, wichtige Daten muss man extern sichern, z.B. auf DVD brennen!

Hallo,

meine eigenen Dateien habe ich regelmässig mit MS-BACKUP auf einer 2. Festplatte gesichert. Zusätzlich werde ich eine Kopie der eigenen Dateien auf einer anderen Partition der 2. Festplatte erstellen. Ich denke, dass mir so keine Datei verloren geht.

Nachdem ich alle Anleitungen studiert habe, werde ich morgen mein System neu aufsetzen.

Gruss tai-yan

Hallo,

ich habe mein System neu aufgesetzt und alle empfohlenen Sicherheitseinstellungen durchgeführt. Der ursprünglich aufgetretene Fehler ist beseitigt. Ich bedanke mich bei allen, die an der Hilfestellung beteiligt waren und wünsche euch ein frohes Neue Jahr 2007.

Ich werde euer Forum allen meinen Freunden empfehlen.

Gruss tai-yan