Probleme mit Firefox, IE - logfile

elektrotiger · 04.06.2007, 07:55

hallo zusammen, bin neu hier und hab ein problem!

zonealarm meldet mir beim start des Forefox, dass dieser eine Verbindung zu einer 127.0.0.1: .... Adresse aufbauen will. Lasse ich es ihn, dann geht alles super, verweigere ich den Zugriff, dann geht nix mehr.

Nun bin ich bereits so schlau, dass ich weiss, dass sich hier manche Trojaner in die Registry schreiben und beim starten des Firefox (und IE) woandershin umleiten, was als böse gilt.

nur: ich find keinen Trojaner, auch in der Registry, hab schon gesucht (lt.Google und manuelle Registry-suche), mein AntiVir findet auch nix, und auch der gestern installierte IKARUS findet nix)

-> was kann ich tun?
wenn ich die verbiudngen zulasse, dann funzen die Internetverbindungen ja, aber ich will nicht, dass hier im Hintergrund (böse) Daten über meinen PC laufen.

-> u.a. mein Hijack-Logfile, hab gestern auch den Hijack installiert:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:19, on 04.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\install\RefreshLock 2.02\RefreshLock.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Ikarus\virus utilities\bin\guardxservice.exe
C:\Programme\Ikarus\virus utilities\bin\guardxkickoff.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\install\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.orf.at/
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame
Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RefreshLock] C:\install\RefreshLock 2.02\RefreshLock.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility
Manager\G-VGA.exe
O4 - HKLM\..\Run: [CloneCDTray]
"C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround
Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive
Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition
Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Hofer_FotoSuite_Download] "C:\Programme\Hofer Foto
Service\Hofer_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ikarus-GuardX] C:\Programme\Ikarus\virus
utilities\bin\guardxkickoff.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler)
- Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -
Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GuardX - Ikarus Software GmbH - C:\Programme\Ikarus\virus
utilities\bin\guardxservice.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner -
C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown
owner - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead
Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead
Systems\DVD\ULCDRSvr.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown
owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

elektrotiger · 04.06.2007, 10:28

dazu kommt, dass nach installation des Ikarus dieser lt. ZoneAlarm auch auf irgendwelche IP-Adressen zugreifen wollte. Angeblich der Ikarus-Autoupdater, aber die IP war eine ...

NS und eine mit ..... : <irgendwelchen zahlen>

da kommt mir doch auch sehr spanisch vor.

->kann mir jemand nen rat geben?

elektrotiger · 04.06.2007, 23:42

nun, also, falls mir hier wer zuhört...

hab nu den spybot drüberlaufen lassen, der hat tatsächlich irgendeinen hwbot 32 oder so gefunden, und nen alexa, der is nun weg.
aber das problem besteht:
beim starten vom firefox fragt mich der ZoneAlarm, ob ich denn auf die 127.0.0.1:Port ... will und dann ob iah auf ein 193. ... : DNS will und wenn ich nicht will, geht gar nix.

kann net wer helfen????

*HELP*

elektrotiger · 19.06.2007, 08:13

jedenfalls, ich hab das problem gelöst.
gehabt euch wohl.

Rene-gad · 19.06.2007, 08:21

Zitat:

Zitat von elektrotiger

jedenfalls, ich hab das problem gelöst.

Das ist aber nicht für sehr lange:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Probleme mit Firefox, IE - logfile

Log-Analyse und Auswertung: Probleme mit Firefox, IE - logfile