Trojaner-Board - nach cidres verbesserungen!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - nach cidres verbesserungen! (https://www.trojaner-board.de/22456-cidres-verbesserungen.html)

nach cidres verbesserungen!

moin!
habe nach zweitägigem kampf mit escan-log und diverser verenentfernung dank dieses forums alle probleme beheben können! daraufhin wollte ich nach cidres anleitung mein system sicherer machen (eingeschränktes benutzerkonto, abstellen der dienste mit dingens)! seither ist irgendwie einiges durcheinander (kaspersky lässt sich nicht mehr updaten, windows firewall startet nicht mehr autom. und ließ sich als eingeschränkter ben. gar nicht aktivieren, ...) habe das eingeschr. konto wieder gelöscht und arbeite derzeit wieder als admin., habe mit tunup 2006 im autostart einen plötzlichen doppelten eintrag von kaspersky deaktiviert und gelöscht, computer runtergefahren und beim neustart eine meldung bekommen, die ich noch nie gesehen habe (windows musste aus sicherheitsgründen heruntergefahren werden, techn. informatio 0x0000007E (0x0000005, 0xF8B3BBEC, 0xF8B3B8E8), dann neu gestartet, kaspersky gestartet, versucht upzudaten, geht aber nicht! was ist hier los?
torsten

hier nochmal ein hjt-logfile

Logfile of HijackThis v1.99.1
Scan saved at 13:04:59, on 05.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/countries/at/dea/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121293923972
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51213E1E-9294-455C-BF19-7ACD285F2D7C}: NameServer = 192.168.178.1,194.25.2.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{51213E1E-9294-455C-BF19-7ACD285F2D7C}: NameServer = 192.168.178.1,194.25.2.130
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - (no file)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

[edit]
links entfernt
[/edit]

Dein Log sieht kein Deut besser aus,btw wieso bleibst du nicht in deinem alten Thread?

dachte, es wäre ein neues thema! anscheinend nicht! wie soll ich also vorgehen? habe schon ad-aware und spybot im abges. modus laufen lassen, finden aber nix, clearprog und regseeker ändern auch nichts an dem problem!

Du solltest mal einen escan nach Anleitung machen http://www.trojaner-board.de/showthread.php?t=17492

Gruss

ja, hab ich schon mehrfach getan! das problem war allerdings, dass der irgendwann mehrfach ab einer bestimmten datei nicht mehr weiterlief!

Kommt keine Meldung?

Solltest dir ggf den Dateinamen mal aufschreiben!

btw seh das grad die 10er Files sind doch OK,Log is eigentlich sauber,was du noch fixen kannst sind die File Missing Einträge!

Allerdings ist das mit escan nicht normal....aber dazu kann ich wenig sagen,ich kenne escan nicht so sehr!

ne kommt keine meldung! die datei ist folgende
C:\Dokumente und Einstellungen\tostamistica\Anwendungsdaten\Thunder bird\Profiles\3l9ddlf6.default\Mail\Local Folders\*.*

so, habe nochmal escan versucht, wieder bei der datei hängengeblieben! hab trotzdem nen escan-log erstellt! adaware und spybot hab auch nochmal laufen lassen im abges. modus (keine funde)! kaspersky dated immer noch nicht!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 05 13:35:14 2005 => System found infected with edonkey2000 Spyware/Adware ({320154bb-d666-48f6-990e-172b32954620})! Action taken: No Action Taken.
Wed Oct 05 13:35:14 2005 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Wed Oct 05 13:35:14 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Wed Oct 05 13:35:20 2005 => System found infected with easysearch Spyware/Adware (index.html)! Action taken: No Action Taken.
Wed Oct 05 13:35:35 2005 => System found infected with easysearch Spyware/Adware (index.html)! Action taken: No Action Taken.
Wed Oct 05 13:35:36 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Wed Oct 05 13:59:35 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 05 13:35:16 2005 => Offending Key found: HKLM\Software\mm !!!
Wed Oct 05 13:35:16 2005 => Offending Key found: HKCU\Software\mm !!!
Wed Oct 05 13:35:16 2005 => Offending value found in HKLM\Software\Licenses: {i56b3cf0d9ab991e1} !!!
Wed Oct 05 13:35:16 2005 => Offending value found in HKLM\Software\Licenses: {056b3cf0d9ab991e1} !!!
Wed Oct 05 13:35:20 2005 => Offending file found: C:\Dokumente und Einstellungen\tostamistica\Eigene Dateien\downloads\lame\index.html
Wed Oct 05 13:35:29 2005 => Offending Folder found: C:\Dokumente und Einstellungen\tostamistica\Eigene Dateien\eigene musik\midnight oil
Wed Oct 05 13:35:35 2005 => Offending Folder found: C:\Dokumente und Einstellungen\tostamistica\Eigene Dateien\Eigene Musik\midnight oil
Wed Oct 05 13:35:35 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\index.html
Wed Oct 05 13:35:36 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 05 13:59:35 2005 => Total Virus(es) Found: 12
Wed Oct 05 13:59:36 2005 => Total Errors: 87
Wed Oct 05 13:59:36 2005 => Time Elapsed: 00:25:07
Wed Oct 05 13:59:35 2005 => Total Objects Scanned: 24044
Wed Oct 05 13:33:56 2005 => Virus Database Date: 2005/10/05
Wed Oct 05 13:59:36 2005 => Virus Database Date: 2005/10/05
Wed Oct 05 13:59:40 2005 => Virus Database Date: 2005/10/05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

so, noch was obendrauf! ich lasse im moment antir pe laufen, da kein kaspersky update! gerade sagt mir das windows sicherheitscenter allerdings, mein virenschutz wäre nicht aktiviert!

Ist mir ein Rätsel mit Kaspersky habe meinen zb grad geupdatet ohne Probleme,also an Server etc liegts mal nicht!

Hast du die Systemwiederherstellung deaktiviert?

ja! soll ich wieder einschalten?

Ich wollte nur wissen ob du sie aus gemacht hast wegen Spybot und Adware ist schon richtig jetzt kannst du sie dann aber wieder anmachen!

habe kaspersky jetzt mal deinstalliert und wieder drauf gespielt! jetzt funktionierts wieder!
komme jetzt allerdings nicht mehr in den startupmanager von tuneup2006!
hab immer noch das gefühl, daß das was mit den veränderungen anhand der cidres-site zu tun hat! hatte auch komisches verhalten, nachdem ich gestern mit ausführen, msconfig was im autostart verändert hatte!

gleich dreh ich durch! jetzt funktioniert wie gesagt das updaten von kaspersky wieder, in startupmanager von tuneup komm ich immer noch nicht und da dachte ich: pause erstmal, guck ich doch mal in meine e-mails! und siehe da:
verbunden mit pop.gmx.net und dann passiert gar nix! benutze thunderbird und bis eben auch ohne probleme!