|
Plagegeister aller Art und deren Bekämpfung: XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu WerbungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.04.2009, 17:54 | #1 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo, ich befürchte, ich habe ein fast unlösbares Problem: 1. Obwohl ich die XP Home-Edition habe, wird bei meiner XP-Firewall "einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert" und die Firewall aktivierung ist grau - also nicht aktivierbar. 2. Wenn ich Ausführen... Regedit eingebe, dann verschwinden kurz alle Icons vom Desktop, aber das Programm wird nicht gestartet. 3. Wenn ich bei Google eine Webseite eingebe, werde ich zuerst mal zu einer Werbeseite weitergeleitet und wenn ich im Explorer die Rückwärtstaste klicke, dann gelange ich an die gewünschte Seite. Mein System: Intel Pentium 4 mit 3,06 GHz/Board unbek./512MB Ram/NVIDIA GeForce FX5600XZ Ich habe nach Anleitung CCleaner/Anti-Malware/ und HijackThis ausgeführt, wobei CCleaner jetzt schon wieder objekte findet und Anti-Malware sich nicht per Internet updaten lies. Die Ergebnisse: 1. anti malware Bericht: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 3 14.04.2009 17:48:43 mbam-log-2009-04-14 (17-48-43).txt Scan-Methode: Vollständiger Scan (C:\|D:\|M:\|P:\|) Durchsuchte Objekte: 307426 Laufzeit: 2 hour(s), 11 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 3 Infizierte Dateien: 42 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\XPPoliceAntivirus (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\sounds (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\XPPoliceAntivirus\Plugins\cevakrnl.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\cevakrnl.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\cevakrnl.rvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\ceva_dll.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\ceva_emu.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\ceva_vfs.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\ceva_vfs.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\cookie.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\cran.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\cran.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\emalware.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\e_spyw.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\e_spyw.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\gvmscripts.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\hpe.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\java.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\mdx_97.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\mdx_97.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\mdx_w95.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\mdx_x95.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\mdx_xf.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\mobmalware.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\na.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\nelf.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\regarch.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\regscan.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\rup.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\sdx.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\sdx.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\unpack.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\unpack.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\vb0.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\vb1.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\vb2.dat (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\ve.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\ve.ivd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\Plugins\vedata.cvd (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\sounds\alert.wav (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\sounds\click.wav (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\Programme\XPPoliceAntivirus\sounds\fire.wav (Rogue.XPPoliceAntivirus) -> Quarantined and deleted successfully. C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully. 2. HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:10:12, on 14.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\nvsvc32.exe P:\Programme\Spyware Doctor\pctsAuxs.exe P:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\System32\alg.exe P:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\DitExp.exe P:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Gemeinsame Dateien\AOL\1166017718\ee\AOLSoftware.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe P:\Programme\AOL 9.0\aoltray.exe P:\Corel\Graphics8\Programs\MFIndexer.exe P:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE P:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe P:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe E:\trojaner-board\HijackThis\HiJackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFre1.dll O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [OpwareSE2] "P:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1166017718\ee\AOLSoftware.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISTray] "P:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [NBJ] "P:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = P:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = P:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = P:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = P:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = P:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = P:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Sitecom WL-168 Wireless LAN Utility.lnk = ? O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O4 - Global Startup: WinZip Quick Pick.lnk = P:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: *.alice-dsl.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162021467875 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27748696-315C-4C0F-95C0-3B63EC0C9FA7}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - P:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - P:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9192 bytes So - ich hoffe so alles korrekt gemacht zu haben. Vielleicht kann ja jemand helfen. Gruß Endro |
15.04.2009, 12:45 | #2 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo,
__________________ich habe die regedit gegen eine regedit von einem anderen PC ausgetauscht. Der Aufruf war trotzdem nicht möglich. Dann habe ich die regedit.exe total umbenannt und dann ist sie ausführbar. Es sitz also irgendo etwas, was die Ausführung kontrolliert und regedit.exe blockiert. Und ganz merkwürdig: Die gelöschte regedit.exe ist nach ein paar Sekunden wieder im Verzeichnis Windows vorhanden!!! Sie wird also wieder erzeugt. Kann jetzt jemand weiterhelfen??? Geändert von endro (15.04.2009 um 12:58 Uhr) |
15.04.2009, 13:35 | #3 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hi,
__________________das HJ-Log gibt nichts her, schau-mehr-mal: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ |
15.04.2009, 16:36 | #4 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo, hier das ComboFIX-Ergebnis: http://www.materialordner.de/1hCkKCRJq6Uv3092xkP7aBv5p338QxY.html Hier das RSIT-Ergebnis: http://www.materialordner.de/bxEajGBeQ8elLH06RfcIRoI8BFrCFfD.html http://www.materialordner.de/ZppEAcOVWaxJefmjlA8C2BEXECSHRyaE.html Was auffällig ist: es erscheinen wieder ein paar Prozesse, die ich vorher per HijackThis entfernt hatte. Gruß Endro |
16.04.2009, 06:31 | #5 | |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hi, Du hast eine Menge Treiber auf der Kiste, brauchst du die alle...? Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\drivers\pctfw2.sys c:\windows\system32\wonpfyzzj c:\WINDOWS\system32\OLE32.DLL C:\WINDOWS\system.ini -> mal bitte hochladen/posten C:\WINDOWS\system32\wasco.sys C:\WINDOWS\system32\DRIVERS\wanatw4.sys (sollte eigentlich im AOL-Verzeichnis laufen...)
Welche Files sind wieder aufgetaucht... catchme meldet eine Modifikation, darum bitte noch GMER: Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. und MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Weiterhin scannen wir noch mit Prevx: Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... Was eindeutiges ist noch nicht zu erkennen... chris Ps.: Regedit wiederbeleben: Start->Auführen->cmd, dann das reinschreiben bzw. kopieren: Code:
ATTFilter REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /t REG_DWORD /d 00000000 /f
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (16.04.2009 um 07:22 Uhr) |
16.04.2009, 09:06 | #6 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo Chris, mir sind ein paar Dinge auf- und eingefallen, die relevant sind: 1. Ich habe auf meinem Laptop - der sich höchst unauffällig verhält und höchstwahrscheinlich auch vollkommen ok ist - die regedit.exe gelöscht und siehe da: nach ein paar Sekunden wurde die wieder automatisch im Verzeichnis Windows angelegt. Das scheint also so normal zu sein. kann inzwischen auch wieder die regedit ohne Umbenennung aufrufen, muß aber leider gestehen, daß ich nicht sagen kann, ob das durch eine Änderung meinerseits in der Registry gestern behoben wurde. Ich schreibe mir eigentlich alles wichtige auf, aber in diesem Fall kann ich es nicht sagen. 2. Ich konnte doch die Firewall nicht aktivieren. Jetzt ist mir eingefallen, daß ich vor zwei Monaten den Virus "XP Police Antivirus" eingefangen hatte. Der könnte ja damals die Windows Firewall außer Kraft gesetzt haben. Ich habe dann mit "Spyware Doctror" das "XP Police Antivirus" scheinbar wegbekommen, aber gewisse Einträge in der Registry könnten von damals vielleicht noch verändert sein. Ich habe inzwischen händisch in der Registry die Firewall enabled und sie ist auch wieder aktiv, nur zeigt sie immer noch den Eintrag "Einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert". Ich vermute jetzt, daß gewisse Registry Einträge bezüglich der Firewall noch wieder richtig gesetzt werden müssen. Vielleicht wars das dann. Den MBR-Check habe ich gestern schon gemacht. Alles ok. Also Chris - soll ich trotzdem alle Tests deines letzten Eintrages durchführen, oder haben wir eine neue "Stoßrichtung" wegen XP-Police? Endro |
16.04.2009, 10:01 | #7 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hi, probieren wir mal das hier aus: b]System Reparieren:[/b] Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindows...l?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... chris Ps.: Lass bitte GMER noch laufen und Log posten....
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (16.04.2009 um 10:34 Uhr) |
16.04.2009, 15:11 | #8 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo Chris, zuerst den kurzen Log von MGER - das wurde beim Start gleich angezeigt: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-16 16:00:31 Windows 5.1.2600 Service Pack 3 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip pctfw2.sys (PC Tools TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\Tcp pctfw2.sys (PC Tools TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\Udp pctfw2.sys (PC Tools TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\RawIp pctfw2.sys (PC Tools TDI Driver/PC Tools) ---- EOF - GMER 1.0.15 ---- und dann habe ich noch einen Scan gemacht - aber das file ist deutlich länger: http://www.materialordner.de/5RfGatw428RcsGCdpHcZ4jgdT6ZXrvkk.html Laut Ergebnis fehlt die Datei C:\WINDOWS\system32\Drivers\mchInjDrv.sys Gruß Endro |
16.04.2009, 16:00 | #9 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hi, ist Okay, die fehlende Datei sollte zu "Spyware Doctor" gehören... Was treibt der Rechner so? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.04.2009, 10:16 | #10 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo Chris, der Rechner verhält sich unauffällig. Das einzige, was noch ist, ist bei der Windows-Firewall oben die Einblendung "einige Einstellungen werden durch eine Gruppenrichtlinie gesteuert". UIch vermute, daß da noch in paar Registry-Einträge von dem "XP Police Antivirus"-Virus verändert geblieben sind. Ich werde mal googeln, welche Registry-Einträge evtl. in Frage kommen. Hast du eine Idee? Gruß und vielen Dank für die Mühe Endro |
17.04.2009, 19:16 | #11 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hi, auf die Schnelle: https://www.mcseboard.de/windows-forum-lan-wan-32/firewall-problem-virenentfernung-121413.html chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
20.04.2009, 10:32 | #12 |
| XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung Hallo Chris, ich habe jetzt die richtige Maßnahme gefunden: In der gab es einen Schlüssel für die Windows Firewall, den es in der XP-Home-Edition nicht geben sollte: http://www.forum.windows-tweaks.info/thread.php?threadid=35626 Registry Eintrag gelöscht -der komische hinweis mit der Gruppenrichtlinie ist verschwunden. Für mich ist damit die Aktion beendet. Tausend Dank für Deine Mühe. Endro |
Themen zu XP Firewall nicht aktiviebar/regedit nicht aufrufbar/Google Umleitung zu Werbung |
.dll, adobe, anti malware, canon, desktop, disabled.securitycenter, einstellungen, explorer, gruppe, hijackthis, hkus\s-1-5-18, internet, internet explorer, object, pop-up-blocker, problem, programm, registrierungsschlüssel, richtlinie, rogue.xppoliceantivirus, security, software, sparbuch, spyware, tr/psw.ldpinch.aogg, trojan.agent, trojaner-board, werbung, windows xp, wireless lan |