Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Seiten laden weder über FF, noch über IE (https://www.trojaner-board.de/60539-seiten-laden-weder-ff-noch-ie.html)

Kleine84 23.09.2008 21:38
Seiten laden weder über FF, noch über IE
 
Hallo zusammen,

ich hab mich mittlerweile schon durch einige Threads lesen können, aber leider kenn ich mich anscheinend doch nicht gut genug aus um mein Problem allein in den Griff zu bekommen. Derjenige, der meine PC-Probleme immer in den Griff bekommt ist bis Mitte Oktober in Kanada... also muss ich andere belästigen (um Hilfe bitten) :dummguck:.

Folgendes Problem:
Ich hab heut Nachmittag meinen Rechner gestartet und alles lief ganz normal.
Ich war dann 2 - 3 Stunden weg vom PC und als ich wieder komme, bauen sich keine Seiten mehr auf. Weder über IE, noch über FF. Wenn sich Seiten aufbauen, dann nur sehr langsam. ICQ stürzt ständig ab und läd neu. Zwischenzeitlich läuft alles wieder als wäre nix. Komm mir vor wie im falschen Film.

Antivir, Spybot und TuneUp sind der Meinung, dass alles in bester Ordnung ist. Leider konnte ich diese Meinung nicht teilen.

Nun ja... was macht Frau wenn sie nicht weiter weiss? Sie bemüht Herrn Google. Herr Google brachte auch einige Seiten (u. A. dieses Forum) und ich las immer wieder, dass man doch ein Logfile posten soll. Deshalb tu ich das jetzt auch (brav wie ich bin). Ich hoffe, dass ich alles so gemacht und editiert hab wie es sein soll.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:58, on 23.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Tagoria-Lobby\Auto-TG-Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe
C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
H:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tagoria.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AutoTG-LobbyPatcher] C:\Programme\Tagoria-Lobby\Auto-TG-Update.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EvenSystems - Unknown owner - c:\Recycler\svchost.exe (file missing)
O23 - Service: GFI LANguard N.S.S. Scheduled Scans Service (lnss_sscans) - GFI Software Ltd. - C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7909 bytes
Sieht ja schon interessant aus (vielleicht kann ich ja in ein paar Jährchen was damit anfangen), nur leider könnte der Text auch russisch oder chinesisch sein und ich wüsste genausoviel wie jetzt :(.

Ich würde mich freuen, wenn mir jemand weiterhelfen kann.

Vielen Dank schon mal für´s lesen!!!!!!!!!

GLG
Kleine84

Mellosun 23.09.2008 23:43
Hallo Kleine84 :hallo:

ich würd Dich bitten, folgende Tools laufen zu lassen und die logfiles bitte posten:


1.) Blacklight

2.) Malwarebytes Antimalware


Gruß

xonic 24.09.2008 01:15
Hallo,
bist du dir sicher, dass dein Internet den richtig funktioniert, es muss sich dabei ja nicht immer zwingend um Malware handeln.
- Wlan Verbindung schlecht
- Internetstörung (oder PPoE Fehler)
(Das müsste vorher im Router sichergestellt werden.)
Dafür kann man verschiedene Adressen in die Adresszeile eingeben.
Bei Fritz Boxen geht fritz.box ;)

Außerdem kann es behilflich sein, mal die Netzwerkverbindung reparieren zu lassen. Rechtsklick auf Netzwerkverbindung und dann reparieren. Sollte beides nicht helfen, kommen wir dem Malwareverdachtsfall näher.
Da es ja noch manchmal geht schließe ich eine Manipulation der Hostdatei aus.

Interessant wäre mal noch eine Übersicht über die laufenden Programme die aufs Internet Zugreifen. Das geht mit dem Programm TCPView sehr gut.

Kleine84 24.09.2008 10:49
Hui, vielen Dank für die schnelle Antwort.
Im Moment läuft alles recht stabil und schnell. Aber das hat ja nicht wirklich was zu bedeuten.


Also Blacklight hat nichts gefunden.

Hier das Ergebnis von Malwarebytes:
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1200
Windows 5.1.2600 Service Pack 3

24.09.2008 11:45:52
mbam-log-2008-09-24 (11-45-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 283059
Laufzeit: 1 hour(s), 12 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
@xonic:
Also am Wlan kanns nicht liegen, weil ich es gestern auch mit Kabel versucht hab und das hat am Problem nichts verändert.
Am Router hängen noch zwei weitere PC´s, die beide einwandfrei laufen.

TCPView werd ich gleich mal noch laufen lassen.

VLG,
Kleine


Edit: Ergebnis von TCPView

Code:
[System Process]:0        TCP        nilpferd.speedport_w_700v:3835        pop.gmx.net:pop3        TIME_WAIT       
[System Process]:0        TCP        nilpferd.speedport_w_700v:3836        ro10282.plusserver.de:pop3        TIME_WAIT       
alg.exe:2428        TCP        nilpferd:1025        nilpferd:0        LISTENING       
firefox.exe:2784        TCP        nilpferd:2047        localhost:2048        ESTABLISHED       
firefox.exe:2784        TCP        nilpferd:2048        localhost:2047        ESTABLISHED       
firefox.exe:2784        TCP        nilpferd:2045        localhost:2046        ESTABLISHED       
firefox.exe:2784        TCP        nilpferd:2046        localhost:2045        ESTABLISHED       
firefox.exe:2784        TCP        nilpferd.speedport_w_700v:2183        194.255.21.182:10096        CLOSE_WAIT       
firefox.exe:2784        TCP        nilpferd.speedport_w_700v:2709        194.255.21.182:10178        CLOSE_WAIT       
ImApp.exe:1408        UDP        nilpferd:3352        *:*               
IncMail.exe:3164        UDP        nilpferd:3783        *:*               
lsass.exe:700        UDP        nilpferd:isakmp        *:*               
lsass.exe:700        UDP        nilpferd:4500        *:*               
mbam.exe:2772        UDP        nilpferd:3236        *:*               
mysqld-nt.exe:504        TCP        nilpferd:3306        nilpferd:0        LISTENING       
PnkBstrA.exe:568        UDP        nilpferd:44301        *:*               
svchost.exe:908        TCP        nilpferd:epmap        nilpferd:0        LISTENING       
svchost.exe:948        UDP        nilpferd:ntp        *:*               
svchost.exe:948        UDP        nilpferd.speedport_w_700v:ntp        *:*               
System:4        TCP        nilpferd.speedport_w_700v:netbios-ssn        nilpferd:0        LISTENING       
System:4        TCP        nilpferd:microsoft-ds        nilpferd:0        LISTENING       
System:4        UDP        nilpferd.speedport_w_700v:netbios-ns        *:*               
System:4        UDP        nilpferd.speedport_w_700v:netbios-dgm        *:*               
System:4        UDP        nilpferd:microsoft-ds        *:*

xonic 24.09.2008 12:37
Hallo,
folgende Prozesse kamen mir daher merkwürdig vor.
Zitat:
mbam.exe:2772 UDP nilpferd:3236 *:*
mysqld-nt.exe:504 TCP nilpferd:3306 nilpferd:0 LISTENING
ImApp.exe:1408 UDP nilpferd:3352 *:*
IncMail.exe:3164 UDP nilpferd:3783 *:*
  • mbam.exe -> Setzt du ein Programm von Malwarebytes ein? --ok sehe gerade damit hast du ja das eine Log gemacht ^^
  • mysqld-nt.exe -> Hast du MySQL Daemon installiert?
  • imapp.exe -> IncrediMail installiert?
  • IncMail.exe -> das Gleiche...IncrediMail installiert?

Zu dem Malwarebytes Log:
Zitat:
Infizierte Registrierungsschlüssel: 1
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
Eigentlich müsste es reichen, wenn du den Key per Start/Ausführen/regedit aufsuchst und löscht. Da bin ich mir aber nicht ganz sicher also warte mal noch auf eine andere Bestätigung.
Da a-squared Free diese Adware in den Signaturen hat, wäre es eventuell noch besser erstmal a-squared Free runterzuladen / installieren / updaten / komplett Scan zu machen und anschließend hier zu sagen was gefunden wurde. Dabei musst die die Tracking Cookies nicht nennen, da diese harmlos sind.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19