Viele Internetseiten nicht zu öffnen

Stefan1973 · 08.09.2008, 20:11

Hi,

Hab seit etwa einer Woche das Problem viele Internetseiten nicht mehr öffnen zu können. Grund hierfür war vermutlich ein download einer infizierten Datei. Mein Sophos hat daraufhin 3 "Probleme" gefunden und bereinigt (hab mir dummerweise die Namen nicht gemerkt).

Jetzt öffnet weder IE noch Firefox die Seiten (z.B. GMX Portal lädt, Postfach nicht zugänglich, McAffee, Symantec, ...)

Hab mich hier drinnen auch schon schlau gemacht, einiges probiert, aber viele Downloads sind leider nicht möglich.

Hab bisher

1. den MTU-Wert geändert (siehe http://w*w.gschwarz.de/mtu-wert.htm)
2. die Windows XP Firewall abgeschaltet
3. Firefox installiert und probiert

Ergebnis immer wieder

Code:

ATTFilter

 Verbindung fehlgeschlagen 

Firefox kann keine Verbindung zu dem Server unter www2.gmer.net aufbauen.

Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden.

    * Könnte die Website temporär nicht verfügbar sein? Versuchen Sie es später nochmals.
    * Können Sie auch andere Websites nicht aufrufen? Überprüfen Sie die Netzwerk-Konfiguration des Computers.
    * Wird Ihr Computer oder Netzwerk durch eine Firewall oder einen Proxy geschützt? Falsche Einstellungen können den Web-Zugriff stören.

Tja, und jetzt bin ich leider am Ende meines Lateins

HijackThis v2.0.2 bringt mir folgendes Logfile

Code:

ATTFilter

 Scan saved at 20:54:29, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: mxlivemedia browser optimizer - {b22e9ada-6b70-8fec-24ea-bc9d52d46736} - C:\WINDOWS\system32\ewchzsbfabxkv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: bgrqfetx - {8B73FA55-6598-43DD-BA06-58BFBE83F5E3} - C:\WINDOWS\bgrqfetx.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ALMon.exe] C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [\Win14.exe] C:\Windows\system32\Win14.exe
O4 - HKLM\..\Run: [\Win15.exe] C:\Windows\system32\Win15.exe
O4 - HKLM\..\Run: [\Win16.exe] C:\Windows\system32\Win16.exe
O4 - HKLM\..\Run: [\Win17.exe] C:\Windows\system32\Win17.exe
O4 - HKLM\..\Run: [\Win18.exe] C:\Windows\system32\Win18.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [{67f02d28-d226-8aba-2a86-c3e9b00e4ab3}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ewchzsbfabxkv.dll" DllStart
O4 - HKLM\..\Run: [WATCHPNP_Xerox] watchPnp.exe Xerox
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Pegasus Mail Notifier] MailNote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [\Win14.exe] C:\Windows\system32\Win14.exe
O4 - HKCU\..\Run: [\Win15.exe] C:\Windows\system32\Win15.exe
O4 - HKCU\..\Run: [\Win16.exe] C:\Windows\system32\Win16.exe
O4 - HKCU\..\Run: [\Win17.exe] C:\Windows\system32\Win17.exe
O4 - HKCU\..\Run: [\Win18.exe] C:\Windows\system32\Win18.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKCU\..\Run: [s9201] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe" /autorun
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195220959718
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195220941859
O17 - HKLM\System\CCS\Services\Tcpip\..\{062AE2E1-339B-4525-A736-EA5F73FD638E}: NameServer = 217.237.151.115 217.237.148.102
O17 - HKLM\System\CS1\Services\Tcpip\..\{062AE2E1-339B-4525-A736-EA5F73FD638E}: NameServer = 217.237.151.115 217.237.148.102
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O21 - SSODL: tfnslopk - {FD7E535A-2661-4748-9196-167ED60BFB85} - C:\WINDOWS\tfnslopk.dll (file missing)
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Novell Arbeitsstations-Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe

--
End of file - 10667 bytes

Im voraus vielen vielen Dank für Eure Hilfe!!!

Silent sharK · 08.09.2008, 20:15

Hi,
die Funde von Sophos stehen meist bei Ereignisse oder Report(e).

Zum Logfile:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Windows\system32\Win17.exe
C:\Programme\VAV\vav.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Stefan1973 · 08.09.2008, 20:27

Hi Dark Viruz,

erst mal danke für die schnelle Antwort.

Habe Punkt 1 ausgeführt.

Nach dem klick auf den link kommt aber leider wieder

Code:

ATTFilter

 Verbindung fehlgeschlagen

Firefox kann keine Verbindung zu dem Server unter www.virustotal.com aufbauen.

  
Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden.

    * Könnte die Website temporär nicht verfügbar sein? Versuchen Sie es später nochmals.
    * Können Sie auch andere Websites nicht aufrufen? Überprüfen Sie die Netzwerk-Konfiguration des Computers.
    * Wird Ihr Computer oder Netzwerk durch eine Firewall oder einen Proxy geschützt? Falsche Einstellungen können den Web-Zugriff stören.

Silent sharK · 08.09.2008, 20:28

Hm,
Kannst du die beiden Dateien in ein passwortgeschütztes ZIP-Archiv packen (PW: infected) und an meine Emailaddresse senden?

Stefan1973 · 08.09.2008, 20:45

Sorry, hat etwas gedauert!

Problem: ich finde die beiden Dateien nicht. Weder die Suche nach "vav.exe" noch nach "win17.exe" noch das manuelle Nachsehen in den Ordnern führt zum Erfolg. Der vav-Ordner ist komplett leer und im System32 ist alles mögliche, aber kein win17.exe

Hm und jetzt?

Silent sharK · 08.09.2008, 21:01

Dann folge bitte der Anleitung für Malwarebytes Anti-Malware.

Stefan1973 · 08.09.2008, 21:10

Hab ich schon in einem anderen Beitrag gelesen, wollte es probieren, aber beim klick auf den Download kommt wieder mal

Code:

ATTFilter

 Verbindung fehlgeschlagen

Firefox kann keine Verbindung zu dem Server unter www.besttechie.net aufbauen.

Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden.

    * Könnte die Website temporär nicht verfügbar sein? Versuchen Sie es später nochmals.
    * Können Sie auch andere Websites nicht aufrufen? Überprüfen Sie die Netzwerk-Konfiguration des Computers.
    * Wird Ihr Computer oder Netzwerk durch eine Firewall oder einen Proxy geschützt? Falsche Einstellungen können den Web-Zugriff stören.

Hm

Silent sharK · 08.09.2008, 21:28

Hast du einen Zweitrechner zur Verfügung?

Stefan1973 · 08.09.2008, 21:33

Hab ich leider nicht!

Silent sharK · 08.09.2008, 21:36

Hm, das sieht nicht gut aus.
Da wird dann wohl nur Neuaufsetzen bleiben...

Hast du eine Andere Win%ZweistelligeZahl%.exe gefunden?

Stefan1973 · 08.09.2008, 21:55

Das sind meine einzigen win's die ich habe!

Ich hoffe man kanns lesen!?!

Silent sharK · 08.09.2008, 21:59

Hm okay.
Kommst du mit dem Internet Explorer ohne Probleme ins Netz?

Stefan1973 · 08.09.2008, 22:03

Kein Unterschied zwischen IE und Firefox. Bei beiden laden sehr viele Seiten nicht.

Silent sharK · 08.09.2008, 22:09

Okay, versuch mal das:

MalwareBytes

ComboFix
(Befolge bei ComboFix die Anleitung, die ich zuvor gepostet hab!)

Stefan1973 · 08.09.2008, 22:13

Muß jetzt langsam Schluß machen. Morgen um 5:30 läutet mein Wecker.

Bin aber für alle Tipps, Tricks und sonstige Hilfen und Ideen dankbar!! Werde alles morgen Abend probieren und anschließend berichten.

Vielen Dank Dark Viruz für deine prompte Unterstützung

und alle anderen vielen Dank im voraus!!

Gruß Stefan

Viele Internetseiten nicht zu öffnen

Log-Analyse und Auswertung: Viele Internetseiten nicht zu öffnen