Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner - Computerkriminalität des criminal intelligence service Einheit 5.2 (https://www.trojaner-board.de/122074-trojaner-computerkriminalitaet-criminal-intelligence-service-einheit-5-2-a.html)

tom26 14.08.2012 10:55
Trojaner - Computerkriminalität des criminal intelligence service Einheit 5.2
 
Bitte um Hilfe beim Entfernen des Trojaners.
Die Recherche im Netz nach dem Namen der exe.files, sowie der Vollscan mit Avira und Malewarebytes haben kein Ergebnis gebracht.
Computer läßt sich normal booten, nach dem Hochfahren kein Zugriff auf irgendeine Funktion oder Programm.
Nach dem Trennen der Netzverbindung (Kabel (chello/österreich)) weiterhin kein Zugriff auf Taskmanager und Eingabeaufforderung.
Die LAN-Verbindung ist richtig konfiguriert (inkl. Modemtest des Providers),
es kann aber keine Internetverbindung aufgebaut werden.
OTL- Gmer- und Sysinfofiles im Anhang.

Vielen Dank im Voraus

t'john 14.08.2012 12:32
:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
MOD - [2012.08.09 11:10:31 | 000,067,584 | ---- | M] () -- C:\Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.1
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@playstation.com/PsndlCheck,version=1.00: C:\Programme\Sony\PLAYSTATION Network Downloader\nppsndl.dll (Sony Computer Entertainment Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKCU..\Run: [] C:\Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.12.12 12:47:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[2012.08.11 01:13:13 | 000,001,102 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.08.11 00:47:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.08.11 00:22:35 | 000,000,432 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{DF336010-9B98-4944-86CA-2FF5354320C2}.job
[2012.08.10 22:13:11 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.10 22:13:05 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2168805859-599697545-4140982948-1004.job
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

tom26 16.08.2012 21:24
Hallo t'john,

bin wie beschrieben vorgegangen. Leider funktioniert das OTL-Script nicht. Der Computer hängt sich ständig nach starten des Scripts auf.
Obwohl alle Antivirenprogramme geschlossen sind erscheint nach Start des OTL-fix die Malewarebytes-Meldung: MBAMService terminated unexpectedly.

MfG
tom

t'john 17.08.2012 00:56
Neustarten erneut versuchen.

tom26 17.08.2012 09:28
Habe es mehrmals versucht und stundenlang laufen lassen.
Es passiert aber nichts! Selbst nach einem ganzen Tag Laufzeit
verändert sich nichts.
Sollte das Fenster im unteren Bereich den Prozessfortschritt anzeigen?
Der Balken erscheint nicht einmal.

MfG
tom

t'john 17.08.2012 15:24
Diesen Fix probieren:

Code:
:OTL
MOD - [2012.08.09 11:10:31 | 000,067,584 | ---- | M] () -- C:\Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKCU..\Run: [] C:\Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
[2012.08.11 01:13:13 | 000,001,102 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.08.11 00:47:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.08.11 00:22:35 | 000,000,432 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{DF336010-9B98-4944-86CA-2FF5354320C2}.job
[2012.08.10 22:13:11 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.10 22:13:05 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2168805859-599697545-4140982948-1004.job
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]

tom26 17.08.2012 23:33
Dieser OTL-fix funktionierte (aber auch erst nachdem ich Avira und Malewarebytes vom System entfernt hatte).
Hier das Log-file:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate deleted successfully.
C:\Programme\DivX\DivX Update\DivXUpdate.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\tasks\Adobe Flash Player Updater.job moved successfully.
C:\WINDOWS\tasks\User_Feed_Synchronization-{DF336010-9B98-4944-86CA-2FF5354320C2}.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2168805859-599697545-4140982948-1004.job moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes

User: mein meister
->Temp folder emptied: 19210892 bytes
->Temporary Internet Files folder emptied: 57368869 bytes
->Java cache emptied: 22208539 bytes
->FireFox cache emptied: 583785794 bytes
->Flash cache emptied: 1969225 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 58625 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3329448 bytes
RecycleBin emptied: 766263427 bytes

Total Files Cleaned = 1.387,00 mb


OTL by OldTimer - Version 3.2.56.0 log created on 08182012_001419

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

--------------------------------------

Soll ich nun das erste Script laufen lassen?

MfG
tom

t'john 18.08.2012 14:50
Ja, probiere jetzt den ersten!

tom26 20.08.2012 01:31
Hier das Script vom ersten OTL-fix und alle anderen angeforderten Logfiles:

All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
Service Changer stopped successfully!
Service Changer deleted successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: false removed from browser.search.update
Prefs.js: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.1 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@playstation.com/PsndlCheck,version=1.00\ deleted successfully.
C:\Programme\Sony\PLAYSTATION Network Downloader\nppsndl.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate not found.
File C:\Programme\DivX\DivX Update\DivXUpdate.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
File C:\Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File/Folder C:\WINDOWS\System32\*.tmp not found.
File C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job not found.
File C:\WINDOWS\tasks\Adobe Flash Player Updater.job not found.
File C:\WINDOWS\tasks\User_Feed_Synchronization-{DF336010-9B98-4944-86CA-2FF5354320C2}.job not found.
File C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job not found.
File C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2168805859-599697545-4140982948-1004.job not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: mein meister
->Temp folder emptied: 2649 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 505 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.56.0 log created on 08192012_023549

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

--------------------------------------------------------

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.13.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
mein meister :: VAIO [Administrator]

Schutz: Deaktiviert

19.08.2012 11:27:17
mbam-log-2012-08-19 (11-27-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 299471
Laufzeit: 52 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\_OTL\MovedFiles\08182012_001419\C_Dokumente und Einstellungen\mein meister\Lokale Einstellungen\Temp\derm32.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\IT\software\frequenz\cool edit\installer_cool_edit_pro_Deutsch_Deutsch.exe (PUP.SmsPay.pns) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

-----------------------------------------------------

# AdwCleaner v1.801 - Logfile created 08/20/2012 at 02:18:04
# Updated 14/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : mein meister - VAIO
# Boot Mode : Normal
# Running from : C:\Dokumente und Einstellungen\mein meister\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia

***** [Registry] *****

Key Found : HKCU\Software\Conduit
Key Found : HKCU\Software\Softonic
Key Found : HKLM\SOFTWARE\Conduit

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [768 octets] - [20/08/2012 02:18:04]

########## EOF - C:\AdwCleaner[R1].txt - [895 octets] ##########


# AdwCleaner v1.801 - Logfile created 08/20/2012 at 02:19:09
# Updated 14/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : mein meister - VAIO
# Boot Mode : Normal
# Running from : C:\Dokumente und Einstellungen\mein meister\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia

***** [Registry] *****

Key Deleted : HKCU\Software\Conduit
Key Deleted : HKCU\Software\Softonic
Key Deleted : HKLM\SOFTWARE\Conduit

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [895 octets] - [20/08/2012 02:18:04]
AdwCleaner[S1].txt - [835 octets] - [20/08/2012 02:19:09]

########## EOF - C:\AdwCleaner[S1].txt - [962 octets] ##########


MfG
tom

t'john 20.08.2012 06:42
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

tom26 20.08.2012 11:30
Weiterhin keine Verbindung ins Internet möglich.
ipconfig /all zeigt, dass eine B-Netzadresse via Autokonfig vergeben wird.
Ein renew der ip-adresse wird unterbunden.
LAN-Verbindung: eingeschränkte oder keine Konektivität obwohl alle
TCP/IP-Einstellungen korrekt sind.
Emisoft-Update ist deshalb auch nicht möglich.

MfG
tom

t'john 20.08.2012 13:29
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
:Files
netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c
ipconfig /flushdns /c
ipconfig /all /c
netsh winsock reset catalog /c
netsh winsock reset /c
netsh int ipv4 reset reset.log /c
netsh int ipv6 reset reset.log /c
:Commands
[purity]
[emptytemp]
[Reboot]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

tom26 21.08.2012 01:39
Status unverändert!
OTL-Logfile:

All processes killed
========== OTL ==========
========== FILES ==========
< netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c >
Der folgende Befehl wurde nicht gefunden: interface ipv4 set address name=LAN-Verbindung source=dhcp.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
< ipconfig /all /c >
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : vaio
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physikalische Adresse . . . . . . : 08-00-46-C8-A9-5C
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
< netsh winsock reset catalog /c >
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
< netsh winsock reset /c >
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
< netsh int ipv4 reset reset.log /c >
Der folgende Befehl wurde nicht gefunden: int ipv4 reset reset.log.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
< netsh int ipv6 reset reset.log /c >
IPv6 ist nicht installiert.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\mein meister\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: mein meister
->Temp folder emptied: 63557 bytes
->Temporary Internet Files folder emptied: 71344 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16889 bytes
RecycleBin emptied: 97702284 bytes

Total Files Cleaned = 93,00 mb


OTL by OldTimer - Version 3.2.56.0 log created on 08212012_022334

Files\Folders moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_f24.dat moved successfully.

PendingFileRenameOperations files...
File C:\WINDOWS\temp\Perflib_Perfdata_f24.dat not found!

Registry entries deleted on Reboot...

----------------------------

MfG
tom

t'john 21.08.2012 03:14
Downloade dir bitte Farbar's MiniToolBox auf deinen Desktop und starte das Tool


Setze einen Haken bei folgenden Einträgen
  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset IE Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List Users, Partitions and Memory size

Klicke Go und poste den Inhalt der Result.txt.

tom26 21.08.2012 09:29
Hallo,
hier nun die result.txt - abgesehen von dem Netzwerkverbindungsproblem verstehe ich nicht warum nur 60% des RAM verfügbar sind.
------------------------------------------

MiniToolBox by Farbar Version: 23-07-2012
Ran by mein meister (administrator) on 21-08-2012 at 10:10:10
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================
Windows-IP-KonfigurationDer DNS-Auflösungscache wurde geleert.
========================= IE Proxy Settings: ==============================

Proxy is not enabled.
No Proxy Server is set.

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ==============================


"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================


127.0.0.1 localhost

========================= IP Configuration: ================================

Intel(R) PRO/Wireless 2200BG Network Connection = Drahtlose Netzwerkverbindung (Disconnected)
1394-Netzwerkadapter = 1394-Verbindung (Disconnected)
Intel(R) PRO/100 VE Network Connection = LAN-Verbindung (Media disconnected)


# ----------------------------------
# Schnittstellen-IP-Konfiguration
# ----------------------------------
pushd interface ip


# Schnittstellen-IP-Konfiguration fr ""LAN-Verbindung""

set address name="LAN-Verbindung" source=dhcp
set dns name="LAN-Verbindung" source=dhcp register=PRIMARY
set wins name="LAN-Verbindung" source=dhcp


popd
# Ende der Schnittstellen-IP-Konfiguration


Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : vaio Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection Physikalische Adresse . . . . . . : 08-00-46-C8-A9-5C
Server: UnKnown
Address: 127.0.0.1

Ping-Anforderung konnte Host "google.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.Server: UnKnown
Address: 127.0.0.1

Ping-Anforderung konnte Host "yahoo.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.Server: UnKnown
Address: 127.0.0.1

Ping-Anforderung konnte Host "bleepingcomputer.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.Ping wird ausgefhrt fr 127.0.0.1 mit 32 Bytes Daten:Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128Ping-Statistik fr 127.0.0.1: Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0 (0% Verlust),Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10003 ...08 00 46 c8 a9 5c ...... Intel(R) PRO/100 VE Network Connection
===========================================================================
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
255.255.255.255 255.255.255.255 255.255.255.255 10003 1
===========================================================================
St„ndige Routen:
Keine
========================= Winsock entries =====================================

Catalog5 01 C:\Windows\System32\mswsock.dll [247296] (Microsoft Corporation)
Catalog5 02 C:\Windows\System32\winrnr.dll [16896] (Microsoft Corporation)
Catalog5 03 C:\Windows\System32\mswsock.dll [247296] (Microsoft Corporation)
Catalog5 04 C:\Windows\system32\wshbth.dll [108032] (Microsoft Corporation)
Catalog9 01 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 02 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 03 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 04 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 05 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 06 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 07 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 08 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 09 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 10 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 11 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 12 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 13 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 14 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 15 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 16 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 17 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)
Catalog9 18 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)

========================= Memory info: ===================================

Percentage of memory in use: 37%
Total physical RAM: 1022.98 MB
Available physical RAM: 640.98 MB
Total Pagefile: 2461.45 MB
Available Pagefile: 2047.04 MB
Total Virtual: 2047.88 MB
Available Virtual: 1970.87 MB

========================= Partitions: =====================================

1 Drive c: (VAIO) (Fixed) (Total:27.95 GB) (Free:8.73 GB) NTFS
2 Drive d: (VAIO) (Fixed) (Total:27.95 GB) (Free:3.88 GB) NTFS
6 Drive h: (M-S325) (Removable) (Total:14.94 GB) (Free:9.25 GB) NTFS

========================= Users: ========================================

Benutzerkonten fr \\VAIO

Administrator Gast mein meister
Der Befehl wurde erfolgreich ausgefhrt.


**** End of log ****

MfG
tom

t'john 21.08.2012 15:40
Bitte mal ausfuehren: http://www.trojaner-board.de/72874-s...eparieren.html

Nach neustart: rechtsklick auf Verbindung -> Reparieren/Diagnose

tom26 22.08.2012 10:39
sfc /scannow wurde ausgeführt.
In der Konsole wird nach Ausführen von sfc /scannow keine weitere Information angezeigt. Es öffnet sich lediglich eine neue Prompt-Sequenz.
Der Scan-Fortschritt wird in einem extra Windows-Fenster angezeigt.
Logfile wurde keines erstellt.
Status LAN-Verbindung nach Reparieren weiterhin unverändert.

MfG
tom

t'john 23.08.2012 16:29
Entferne die Karte mal aus dem Geraete-Manager und starte den Rechner neu.

tom26 24.08.2012 11:47
Kann die Netzwerkarte nicht deinstallieren, da ich keinen passenden Treiber für die Neuinstallation finden kann.

MfG
tom

t'john 24.08.2012 15:12
Die sind bereits im Cache, Windows wird sie da holen.

tom26 26.08.2012 00:22
Netzwerkkarte wurde deinstalliert.
Nach Neustart ist automatisch eine neue Netzwerkkarte mit der
Bezeichnung LAN-Verbindung 2 installiert.
Problem wird dadurch nicht behoben.
ipconfig /renew ergibt, daß der DHCP nicht erreicht werden kann.

MfG
tom

t'john 26.08.2012 00:36
Schaue unter Systemsteuerung --> Verwaltung ob der dienst DHCP gestartet ist.

tom26 26.08.2012 10:28
DHCP-Client ist gestartet.

MfG
tom

t'john 27.08.2012 00:40
Downloade dir bitte Farbar's MiniToolBox auf deinen Desktop und starte das Tool


Setze einen Haken bei folgenden Einträgen
  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset IE Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List Users, Partitions and Memory size

Klicke Go und poste den Inhalt der Result.txt.

tom26 27.08.2012 09:21
Hier die Result.txt:

MiniToolBox by Farbar Version: 23-07-2012
Ran by mein meister (administrator) on 27-08-2012 at 10:15:16
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================
Windows-IP-KonfigurationDer DNS-Auflösungscache wurde geleert.
========================= IE Proxy Settings: ==============================

Proxy is not enabled.
No Proxy Server is set.

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ==============================


"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================


127.0.0.1 localhost

========================= IP Configuration: ================================

Intel(R) PRO/Wireless 2200BG Network Connection = Drahtlose Netzwerkverbindung (Disconnected)
1394-Netzwerkadapter = 1394-Verbindung (Disconnected)
Intel(R) PRO/100 VE Network Connection = LAN-Verbindung 2 (Connected)


# ----------------------------------
# Schnittstellen-IP-Konfiguration
# ----------------------------------
pushd interface ip


# Schnittstellen-IP-Konfiguration fr ""LAN-Verbindung 2""

set address name="LAN-Verbindung 2" source=dhcp
set dns name="LAN-Verbindung 2" source=dhcp register=PRIMARY
set wins name="LAN-Verbindung 2" source=dhcp


popd
# Ende der Schnittstellen-IP-Konfiguration


Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : vaio Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : NeinEthernetadapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection Physikalische Adresse . . . . . . : 08-00-46-C8-A9-5C DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse (Autokonfig.). . . . . : 169.254.79.46 Subnetzmaske. . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : Server: UnKnown
Address: 127.0.0.1

Ping-Anforderung konnte Host "google.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.Server: UnKnown
Address: 127.0.0.1

Ping-Anforderung konnte Host "yahoo.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.Server: UnKnown
Address: 127.0.0.1

Ping-Anforderung konnte Host "bleepingcomputer.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.Ping wird ausgefhrt fr 127.0.0.1 mit 32 Bytes Daten:Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128Ping-Statistik fr 127.0.0.1: Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0 (0% Verlust),Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x20003 ...08 00 46 c8 a9 5c ...... Intel(R) PRO/100 VE Network Connection - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 169.254.79.46 169.254.79.46 20
169.254.79.46 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.79.46 169.254.79.46 20
224.0.0.0 240.0.0.0 169.254.79.46 169.254.79.46 20
255.255.255.255 255.255.255.255 169.254.79.46 169.254.79.46 1
===========================================================================
St„ndige Routen:
Keine
========================= Winsock entries =====================================

Catalog5 01 C:\Windows\System32\mswsock.dll [247296] (Microsoft Corporation)
Catalog5 02 C:\Windows\System32\winrnr.dll [16896] (Microsoft Corporation)
Catalog5 03 C:\Windows\System32\mswsock.dll [247296] (Microsoft Corporation)
Catalog5 04 C:\Windows\system32\wshbth.dll [108032] (Microsoft Corporation)
Catalog9 01 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 02 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 03 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 04 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 05 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)
Catalog9 06 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)
Catalog9 07 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 08 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 09 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 10 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 11 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 12 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 13 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 14 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 15 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 16 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 17 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 18 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)

========================= Memory info: ===================================

Percentage of memory in use: 40%
Total physical RAM: 1022.98 MB
Available physical RAM: 604.04 MB
Total Pagefile: 2461.45 MB
Available Pagefile: 2027.19 MB
Total Virtual: 2047.88 MB
Available Virtual: 1970.93 MB

========================= Partitions: =====================================

1 Drive c: (VAIO) (Fixed) (Total:27.95 GB) (Free:8.65 GB) NTFS
2 Drive d: (VAIO) (Fixed) (Total:27.95 GB) (Free:3.88 GB) NTFS

========================= Users: ========================================

Benutzerkonten fr \\VAIO

Administrator Gast mein meister
Der Befehl wurde erfolgreich ausgefhrt.


**** End of log ****

MfG
tom

t'john 27.08.2012 18:00
Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
  • Windows XP (nur 32-bit)
  • Windows Vista (32-bit/64-bit)
  • Windows 7 (32-bit/64-bit)


Vorbereitung und wichtige Hinweise

  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte fragen.


  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.


  • Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
  • Während des Laufs von Combofix nichts anderes am Computer machen!
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".


  • Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
  • Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
  • Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
  • Bitte nicht in dieses Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es wird ein Backup Deiner Registry erstellt.
  • Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.


  • Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
  • Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  • Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.


  • Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
  • Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.



Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

tom26 28.08.2012 12:22
Combofix hat sich scheinbar aufgehängt, da selbst nach stundenlangem
Warten nichts passiert. Es läßt sich auch weder schließen noch beenden.
(Recovery console konnte wegen fehlender Internetverbindung nicht installiert werden - combofix wollte trotzdem mit dem scannen fortfahren)

MfG
tom

t'john 28.08.2012 19:48
Gabs ein Log?
C:\ComboFix.txt

tom26 29.08.2012 00:57
Es wurde kein Logfile erstellt.

MfG
tom

t'john 29.08.2012 01:49
Run the ServicesRepair tool and perform a computer scan
  1. Double-click ServicesRepair.exe, which you downloaded in part I.
  2. If security notifications appear, click Continue or Run and then click Yes when asked if you want to proceed.
  3. Once the tool has finished, you will be prompted to restart your computer. Click Yes to restart.
  4. Once your computer has restarted, open the main program window by double-clicking the ESET icon http://www.trojaner-board.de/library...205%20icon.png in your Windows notification area or by clicking Start http://www.trojaner-board.de/assets/...-rarr_10x9.png All Programs http://www.trojaner-board.de/assets/...-rarr_10x9.png ESET http://www.trojaner-board.de/assets/...-rarr_10x9.png ESET Smart Security or ESET NOD32 Antivirus.
  5. Click Computer Scan http://www.trojaner-board.de/assets/...-rarr_10x9.png Custom scan... and select In-depth scan from the Scan profile drop-down menu.

tom26 30.08.2012 00:29
die letzten beiden Analyse-Tools sind nicht wirklich

hilfreich.
Combofix funktioniert selbst nach Installation der Recovery Console nicht.
Nach Ausführen der ServicesRepair.exe wird kein ESET-Programmordner angelegt. Das installierte Programm ist auf dem Rechner nicht auffindbar!!!-?

MfG
tom

t'john 30.08.2012 18:41
Das koennen wir noch versuchen:


Windows Repair Tool (AIO)

  • Downloade Windows repair tool
  • Entpacke das Zip und starte Repair_Windows.exe
  • Klicke auf Start repairs Tab dann: Start

    folgende Punkte auswählen

    Reset Registry Permissions
    Reset File Permissions
    Register System Files
    Repair WMI
    Repair Windows Firewall
    Repair Internet Explorer
    Remove Policies Set By Infections
    Repair Winsock & DNS Cache
    Repair Proxy Settings
    Repair Windows Updates
    Set Windows Services To Default Startup
    Repair MSI (Installer)



    Auswählen: Restart System When Finished
    Dann Start Button klicken.

tom26 01.09.2012 00:42
Windows repair tool ausgeführt.
Bei dynamischer IP-Vergabe weiterhin keine LAN-Verbindung.
IP statisch vergeben. LAN-Verbindung hergestellt (TCP/IP-Einstellungen korrekt)– trotzdem kann keine Webseite angezeigt werden.

Was mich stutzig macht ist, dass der RAS-Dienst nicht beendet werden
kann – Hack via VPN-Tunnel über Kabelmodem?

MfG
tom

t'john 01.09.2012 02:30
Entscheide: Neuaufsetzen oder InplaceUpgrade

tom26 01.09.2012 12:45
InplaceUpgrade ist für XP nicht verfügbar und neu Aufsetzen keine Option
(sonst hätte ich es längst gemacht).
Es sollte doch möglich sein, herauszufinden wie die Netzwerkverbindung
manipuliert wurde.
Werde mal den Treiber neu installieren.

MfG
tom

t'john 01.09.2012 17:44
Du kannst noch versuchen eine statische IP zu vergeben.

tom26 01.09.2012 23:42
Hatte ich in #33 bereits ausgeführt, dass ich es versucht habe.
Nebenbei bemerkt bringt es mir gar nichts, da der Provider keine statischen
Adressen zuläßt.
Gibt es auf diesem Board Helfer, die sich mit Netzwerkproblemen auskennen und die ich über eine PN erreichen kann?
Danke für die Tipps.

MfG
tom

t'john 02.09.2012 09:19
Ich nehme an, du benutzt ein MODEM und keinen Router.

Schon mal das Modem neugestartet?

tom26 02.09.2012 10:23
Selbstverständlich.(Hatte ich auch anfangs ausführlich dargestellt).
Kabel (chello/österr.)- Modemtest durch Provider ausgeführt.
Abgesehen davon funktioniert die Verbindung auf einem anderen Rechner klaglos.

MfG
tom

t'john 02.09.2012 10:44
Schon mal das Modem neugestartet?

tom26 02.09.2012 22:45
Diese Frage sollte durch Tread #39 geklärt sein!

MfG
tom

t'john 03.09.2012 20:00
http://www.trojaner-board.de/122074-...tml#post901646

tom26 04.09.2012 22:44
Das Modem wird vor jedem Hochfahren neu gestartet, da es nach jedem Herunterfahren vom Netz genommen wird.

mfg
tom

t'john 05.09.2012 14:25
http://www.trojaner-board.de/122074-...tml#post901646

t'john 26.10.2012 02:41
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19