Hallo zusammen,

meine Internetverbindung verabschiedet sich immer nach ein paar Minuten (friert ein). Ich kann sie nicht mehr trennen, kein Status abfragen etc.
Nur ein Neustart hilft.

Ein Virenscan mit Antivir hat TR/Dropper.Gen und TR/Crypt.XPACK.Gen gefunden und angeblich repariert. Das Problem mit der Internetverbindung bleibt aber.

CCleaner kann einen Reg-Schlüssel nicht entfernen (ich manuell auch nicht)
Der Wert ist unbesetzt und befindet sich in
HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
und in
HKEY_LOCAL_MACHINE\Software\Classes\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}


Hier ein HiJack Log-File:

Kann man daran etwas erkennen?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:18, on 27.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\programme\asus\pc probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\PROGRA~1\HAMAS1~1\S1_2k.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mersenne.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\asus\pc probe\AsusProb.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [La_View Mouse] C:\PROGRA~1\HAMAS1~1\S1_2k.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-842925246-920026266-1343024091-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-21-842925246-920026266-1343024091-1006\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\UltimateBet\UltimateBet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127376454050
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - D:\PostgreSQL\8.2\bin\pg_ctl.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 5829 bytes


Danke

Gruß
Opop

Hallo... und


Also "80b8c23c-16e0-4cd8-bbc3-cecec9a78b79" ist ein Reg.-Schlüsel von Antivir.
Den findet mein CCleaner immer. Für weitere Infortmationen: Forum von Antivir (http://www.trojaner-board.de/86087-8...9-problem.html)

Warum hast du noch SP2 drauf?
Hast du das automatische Windows-update an?


1.) Antivir
- http://www.trojaner-board.de/54192-a...tellungen.html

2.) Deinstaliere:
- Spybot - Search & Destroy (alt)
- Adobe Reader 8.0 (es gibt 9.0)

3.) Führe folgende Programme aus:
- Ccleaner
- Malewarebytes
- Superantispyware

4.) Erstelle mit HijackThis eine Liste der installierten Programme

Hijackthis starten --> klicke "Open the Misc Tool Section" -->
klicke "Misc Tools" --> klicke "Open uninstall Manager" --> klicke "Save List"

Das SP3 hatte ich mal installiert, aber danach funktionierte vieles nicht mehr auf dem Rechner.
Nach der Deinstallation ging es wieder; daher habe ich es nicht drauf.

Automatische Updates habe ich nicht aktiviert.

Bei den AntiVir Einstellungen habe ich das in der Anleitung abgebildete Win32 Dateiheuristik nicht.
Ich habe dort ein AHeAD Dateiheuristik; diese habe ich auf die höchste Stufe gestellt.

SpyBot habe ich deinstalliert.
Adobe Reader habe ich deinstalliert.

AntiVir hat zwei andere Viren ( GAME/Casino.Gen und APPL/PsKill.E ) gefunden und gelöscht.
Ich habe den PC dann rebootet und AntiVir erneut durchlaufen lassen.
Bei diesem Durchlauf hat AntiVir keine Fehler gemeldet.


CCleaner hat alles aufgeräumt. Nur die o.a. ungenutzten Dateiendungen blieben übrig.

Die Malwarebytes Logdatei habe ich gespeichert und dann den geforderten Neustart durchgeführt.
Allerdings war dann die Log Datei auch weg (??)
Ich habe das Prog dann nochmal durchlaufen lassen; es kam dann zu folgendem Ergebnis:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2049
Windows 5.1.2600 Service Pack 2

27.04.2009 22:38:04
mbam-log-2009-04-27 (22-38-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 154246
Laufzeit: 38 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Dann habe ich SUPERAntiSpyware laufenlassen:

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 04/27/2009 at 11:39 PM

Application Version : 4.26.1000

Core Rules Database Version : 3867
Trace Rules Database Version: 1816

Scan type : Complete Scan
Total Scan Time : 00:56:52

Memory items scanned : 572
Memory threats detected : 0
Registry items scanned : 5751
Registry threats detected : 0
File items scanned : 58111
File threats detected : 5

Adware.Casino Games (Golden Palace Casino)
C:\PROGRAMME\PROPAGANDAPOKER\CASINO.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\PROPAGANDAPOKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\PROPAGANDAPOKER\PROPAGANDAPOKER.LNK

Trojan.Agent/Gen-FSG
D:\BACKUP\WINRAR3.71\KEYGEN.EXE

Unclassified.Monitor/ActualSpy
D:\MAP&GUIDE PROFESSIONAL VERSION 13\SUPPORT\MGGSTR32.DLL


Bei den folgenden Schritten bin ich mir nicht sicher, ob alles richtig war:
Nach ausführen der "Repair broken Safe-Boot Key" tat sich nichts ausser einem Neustart.


Nach dem Neustart im abgesicherten Modus tat sich nichts (keinerlei Scan oder sonstige
Aktivität). Ich habe dann (noch im abgesicherten Modus) msconfig eingegeben, um den Haken
bei Safeboot zu entfernen; dieser war aber gar nicht gesetzt. Nach dem Neustart kam dann
ein Fenster, in dem ich den Startmodus auf "Normalen Systemstart" zurückgesetzt habe.
Nach erneutem Neustart habe ich dann mit HiJack diese Liste erstellt:



ACDSee 5.0 PowerPack
Adobe Flash Player ActiveX
Allzeit Atomzeit 2.00
ASUS Probe V2.24.02
AsusUpdate
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Control Panel
ATI Display Driver
ATI HYDRAVISION
Audiograbber 1.83 SE
Audiograbber Lame PlugIn 3.96 APS
AutoHotkey 1.0.46.09
Avira AntiVir Personal - Free Antivirus
Camtasia Studio 4
CCleaner (remove only)
CHIPDRIVE - Gerätetreiber V2.14.16 B2
CloneDVD2
DFÜ-Optimierer 1.30
Die große PC-Spielesammlung Sudoku
DVD Decrypter (Remove Only)
DVDFab Platinum 3.1.3.2 Ghosthunter release
Empire Earth
FormsForWeb® Filler 2.5
freundin - Jewel Master Persia
Full Tilt Poker
Gamblers Little Helper
getPlus(R)_ocx
Hama Slide S1 Gaming Mouse
HijackThis 2.0.2
HP Deskjet 460
HP Deskjet 460 Series
ICM Trainer Light
Malwarebytes' Anti-Malware
map&guide 13 professional
map&guide Karte Europa City Release 12/2006
Marvell Miniport Driver
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft Age of Empires II
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
mIRC
Nero 8 Trial
neroxml
OpenMG Secure Module 4.1.00
PartyCasino
PartyPoker
Poker Grapher
Poker Tracker Version 2.12.00b
Poker Tracker Version 2.17.02
Poker Tracker Version 2.17.03d
PokerAce Hud (remove only)
PokerStars
PokerStove version 1.21
Ports Of Call Classic Edition - astragon 1.2.2
PostgreSQL 8.2
Postpaket Ausfüllhilfe 2.3
Prime95
Realtek AC'97 Audio
Setometer
Skype™ 3.6
SpadeEye
SpadeEye
SpadeEye
Spelling Dictionaries Support For Adobe Reader 8
SUPERAntiSpyware Free Edition
TeamSpeak 2 RC2
TeamViewer 3
Telekom TK-Soft
Timerle 1.0
Total Commander (Remove or Repair)
Update für Windows XP (KB898461)
VCRedistSetup
VLC media player 0.9.6
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player 10
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB887797
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
WinRAR Archivierer
xp-AntiSpy 3.96-6


Es hat etwas gedauert (die Scans dauerten alle so lange), aber ich hoffe,
dass das Ergebnis ungefähr dem entspricht, was es werden sollte

Gruß
Opop

Hallo Opop,

an Deinem HiJackThis-Log fallen mir auf Anhieb zwei Dinge direkt auf, welche nicht normal zu sein scheinen:

Zitat:

C:\PROGRA~1\HAMAS1~1\S1_2k.exe

und

Zitat:

O4 - HKCU\..\Run: [La_View Mouse] C:\PROGRA~1\HAMAS1~1\S1_2k.exe

Ich schätze, daß es sich hierbei nicht um gewünschte Software handelt. Hinzu kommt, ist nur meine persönliche Meinung, das Du Dinge wie

Zitat:

Trojan.Agent/Gen-FSG
D:\BACKUP\WINRAR3.71\KEYGEN.EXE

Unclassified.Monitor/ActualSpy
D:\MAP&GUIDE PROFESSIONAL VERSION 13\SUPPORT\MGGSTR32.DLL

möglichst schnell deinstallieren solltest. Bei beiden genannten Dateien gehe ich davon aus, daß Sie nicht wirklich legal erworben sind und um weiteren Schaden zu vermeiden, sollte nicht legale und somit potenziell gefährliche Software schnellst möglich entfernt werden. Die Datei MGGSTR32.DLL wird nich zum ersten Mal als "unsauber" angeprangert.

Bitte nicht misszuverstehen, was ich sagte betreffend nicht legal erworbener Software, aber gerade hier ist das Risiko nun mal am höchsten, sich unfreundlichen Besuch einzuhandeln.

LG ElDragon

Der erste Eintrag (HamaS1) ist der Original Treiber der Maus von der Internetseite des
Herstellers (Hama ist die Firma, S1 heißt das Modell). Das ist irgendwie DOS-basiert, daher
die ~ Zeichen, wenn es mehr als acht Zeichen sind.

Was macht die Keygen.exe? Das ist eine Datei, die in einem Backup-Verzeichnis liegt,also gar
nicht ausgeführt wird. Dem Namen nach scheint die zu Winrar zu gehören, dass aber in einem
anderen Verzeichnis liegt. Winrar ist schon sehr lange auf dem Rechner (hat ein Bekannter
installiert), und das Problem taucht ja erst seit 2-3 Tagen auf.

Auch die Map&Guide Datei habe ich schon sehr lange und bis vorgestern ging alles.


Die Winrar-Datei also aus der Quarantäne löschen und die Map&Guide DLL auch?


Nun sind diese Dateien ja in der Quarantäne, und trotzdem ist das Problem noch da
(wird immer schlimmer, kann kaum noch zwei Seiten im Internet aufrufen). Die Stecker
hab ich natürlich überprüft, die sitzen fest (sonst würde ich ja gar nicht erst ins
Internet kommen).


Wenn ich auf dem Internetsymbol (die beiden Monitore rechts unten) auf trennen gehe, passiert nix.
Wenn ich auf Status gehe passiert auch nix. Wenn ich auf Netzwerkverbindung öffnen gehe, dann steht
da:

Breitband: Verbindung hergestellt
Lan-Verbindung: Verbindung hergestellt

Aber auch hier kann ich sie nicht unterbrechen (die Verbindung).

Die Verbindung scheint also (laut Netzwerkverbindungsanzeige) zu stehen, aber es geht nix mehr
(keine Seiten aufrufen, keine Mail abholen). Ich schaffe es gerade noch, 3-4 Seiten aufzurufen,
dann friert die Verbindung ein.

Wenn ich die Verbindung herstelle, und dann sofort wieder trenne, dann geht das. Auch den Status
kann ich abfragen. Nach kurzer Zeit aber geht dann nix mehr.

Was kann ich jetzt noch machen?

Gruß
Opop

Moin Opop,

hätte nicht gedacht, daß es der Maus-Treiber ist, denn alleine bei Google ist merkwürdiger weise die Datei in vielen vielen infizierten System zu finden. Gib einfach mal S1_2k.exe in Google als Suche ein und Du wirst sehen, daß viele infizierte Systeme komischer weise die gleiche Datei aufweisen als gemeinsamen Nenner. Andere Frage die ich mir gerade Stelle ist, ob der Treiber eventuell Dein System stört.

LG ElDragon

Der Maustreiber ist schon "ewig" drauf und es funktionierte ja bisher alles einwandfrei.

Wofür ist diese keygen.exe gut? Kann ich die aus dem Quarantäneordner löschen?

Soll ich auch die M&G dll löschen?


Ich habe alle Scans noch einmal durchgeführt (AntiVir, Malewarebytes und SuperAntiSpyware); es wurden keine weiteren Fehler gemeldet.


Wie kann es denn angehen, dass eine Internetverbindung 1,5 Jahre einwandfrei funktioniert, und dann plötzlich nicht mehr,
ohne dass man eine Ursache dafür findet?

Gibt es noch irgend etwas (ausser einer Neuinstallation) das ich tun kann?

Danke

Gruß
Opop

Hhmmm, offensichtlich kommt keine Antwort mehr; schade.

Trotzdem vielen Dank für die Mühe.

Bis denne
Opop