| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win.Firewall deaktiviert sich für wenige Sekunden nach startWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.07.2010, 15:59
| #1 | |
 |  Win.Firewall deaktiviert sich für wenige Sekunden nach start Hallo lieber Mitglieder, ich brauche einmal eure Hilfe. Ich hatte mir wohl einen Virus eingefangen, der meine Firewall nach dem Systemstart wenige Sekunden deaktiviert hat. Avira Antivir und Spybot S&D lieferten zwar funde, konnten dies aber nicht beheben. In einem Forum las ich, die sauberste Methode würde es wohl sein, seinen PC neu aufzusetzen, dies habe ich nun auch getan. Das Problem besteht allerdings weiterhin. Mein Schutz besteht aus Avira Antivir, Spybot Search and Destroy und der Windows Firewall. Desweiteren habe ich Windows XP, SP3 installiert. Edit: Ich habe einen Router über den ich ins Internet gehe. Ich poste hier einmal die Logs, falls das schonmal weiterhilft: hijackthis: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:36:49, on 12.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1278760913562 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5578 bytes Antivir: Zitat:
Geändert von multifit (12.07.2010 um 16:17 Uhr) |
|
12.07.2010, 16:51
| #2 |
| /// Malware-holic   | Win.Firewall deaktiviert sich für wenige Sekunden nach start bitte deinstaliere zu erst spybot, das macht probleme bei der bereinigung. starte dann neu.
__________________download malwarebytes: Malwarebytes instalieren, registerkarte aktualisierung, programm updaten. dann, schalte alle laufenden programme ab, auch den avir guard. bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest. malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste die beiden. |
|
12.07.2010, 19:15
| #3 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start Malwarebytes
__________________instalieren, registerkarte aktualisierung, programm updaten. dann, schalte alle laufenden programme ab, auch den avir guard. bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest. malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten. Ich habe ja nur die "Testversion", nen Scan hab ich gemacht und 20/120 Problemen beheben können. Konnte aber kein Log erstellen. Edit: Mit nem anderen Link komme ich zu dem Malware aus dem Tutorial, ich schaue nochmal gleich...melde mich dann wieder. Die OTL-Datei ist riesig, kopieren würde 3 Posts kosten und hochladen geht aufgrund der Größe nicht, hab aber alle Einstellungen von die übernommen... Geändert von multifit (12.07.2010 um 19:27 Uhr) |
|
12.07.2010, 20:23
| #4 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start Ich muss dann wohl versuchen die OTL zu zerstückeln...sie ist 300kb groß, hab ich was falsch gemacht? |
|
12.07.2010, 20:26
| #5 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start und die OTL's...gestaffelt von 1 (Anfang) nach 4 (Ende). Gruß, ich hoffe ich habe nun erstmal alles geliefert? Geändert von multifit (12.07.2010 um 20:33 Uhr) |
|
12.07.2010, 22:24
| #6 |
| /// Malware-holic | Win.Firewall deaktiviert sich für wenige Sekunden nach start bitte deinstaliere erst einmal spybot, es kann die arbeit behindern, starte neu. Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKLM..\Run: [nwiz] File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten nutze den ccleaner, bereinige dateien + registry: http://www.trojaner-board.de/51464-a...-ccleaner.html bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix öffne dann mal avira, berichte und zeige uns den oder die scan reports, du sagtest ja, avira macht funde die nicht entfernt werden können. |
|
13.07.2010, 05:21
| #7 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start Der oben gepostete Malewarebytes-Link verweist mich auf ein anderes Programm welches Funde liefert, ich sie aber nicht löschen kann aufgrund von eingeschränkten Lizensrechten. Antivir läuft sauber durch seit meinem Systemneustart. Werde die Schritte dennoch mal durchführen. |
|
13.07.2010, 11:53
| #8 |
| /// Malware-holic | Win.Firewall deaktiviert sich für wenige Sekunden nach start du hast doch Malwarebytes schon genutzt... du solltest weiter mit otl fix und combofix machen, was fürn programm hast du dir denn noch instaliert? |
|
13.07.2010, 12:23
| #9 | |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach startZitat:
Author: Malwarebytes Date: 2010-04-29 Size: 5.86 MB License: Shareware $24.95 Requires: Win XP/2003/Vista/Windows7 Downloaded: 4070134 Times Die ist ein anderes Programm als das, welches im Forum für Tutorials als Malwarebytes genannt wird... |
|
13.07.2010, 13:02
| #10 |
| /// Malware-holic | Win.Firewall deaktiviert sich für wenige Sekunden nach start hmm ist aber die selbe seite. evtl. hast du die pro version gedownloaded, das ist die falsche. |
|
13.07.2010, 13:25
| #11 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start Naja, ich poste dann mal was ich rausbekommen habe. Antivir läuft seit dem Neuaufsetzen des Systems sauber durch. Die Firewall deaktiviert sich nun auch nicht mehr. Ich glaube an die Besserung, aber ich denke ihr wisst das besser. OTL: Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
========== FILES ==========
========== COMMANDS ==========
[EMPTYFLASH]
User: All Users
User: Anna
->Flash cache emptied: 4142 bytes
User: Default User
User: LocalService
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: All Users
User: Anna
->Temp folder emptied: 188620586 bytes
->Temporary Internet Files folder emptied: 465779187 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139177 bytes
%systemroot%\System32 .tmp files removed: 50705610 bytes
%systemroot%\System32\dllcache .tmp files removed: 1710080 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 689988 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 676,00 mb
OTL by OldTimer - Version 3.2.9.0 log created on 07132010_132457
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
13.07.2010, 13:36
| #12 |
| /// Malware-holic | Win.Firewall deaktiviert sich für wenige Sekunden nach start ok, dann noch avira konfiguration> avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. reinige mit otcleanit: http://oldtimer.geekstogo.com/OTM.exe Klicke cleanup! dein pc wird evtl. neu starten programm löscht sich selbst, + die verwendeten tools instaliere dir secunia um deine software aktuell zu halten http://www.trojaner-board.de/83959-s...ector-psi.html |
|
13.07.2010, 17:53
| #13 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start So Antivir ist hochgeladen, weiterhin fehlerfrei. Secunia ist drauf und lass ich dann drauf um mein System zu aktualisieren. OTL ist runter. Was mach ich mit dem: - CCleaner - Malwarebytes Kann ich Spybot nun wieder installieren? Was ist denn die Beste Möglichkeit mein System nun sauber zu halten? Ich dnake für die ganze Hilfe =) |
|
13.07.2010, 18:03
| #14 |
| /// Malware-holic | Win.Firewall deaktiviert sich für wenige Sekunden nach start malwarebytes kannst von zeit zu zeit nutzen, ccleaner auch, mach spybot drauf wenn du magst. um noch etwas sicherer zu sein, nutze sandboxie http://www.trojaner-board.de/71542-a...sandboxie.html |
|
13.07.2010, 19:43
| #15 |
| | Win.Firewall deaktiviert sich für wenige Sekunden nach start Alles kla. Ich bedanke mich herzlich. |
|
| Themen zu Win.Firewall deaktiviert sich für wenige Sekunden nach start |
| 0 bytes, adobe, antivir, antivir guard, avira, bho, bonjour, desktop, dllhost.exe, explorer, firewall, hkus\s-1-5-18, internet, internet explorer, logfile, modul, nach start, nt.dll, nvidia, plug-in, problem, programme, prozesse, registry, rundll, schutz, sekunden, software, versteckte objekte, verweise, virus, virus eingefangen, virus gefunden, windows, windows xp |
Linear-Darstellung
