Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Netzwerk und Hardware (https://www.trojaner-board.de/netzwerk-hardware/)
-   -   Nach Entfernung der AV Security Suite kein Internet mehr....aber Ping geht (https://www.trojaner-board.de/88869-entfernung-av-security-suite-kein-internet-mehr-ping-geht.html)

Perle 29.07.2010 16:56
Nach Entfernung der AV Security Suite kein Internet mehr....aber Ping geht
 
Hi!

Hab ein grosses Problem mit einem Laptop (XP Media Center Ed. SP3)

Seitdem ich mir die AV Security Suite eingefangen habe, komm ich mit dem Browser nicht mehr ins Internet. Weder mit IE noch mit FF. Die AV Security Suite ist mittlerweile entfernt, hinterlassen hat sie mir aber eine nicht funktionierende Namensauflösung.

- Ping auf www.google.de geht nicht
- Ping auf Google IP geht aber durch
- Avira (update) und ICQ funktionieren
- Malwarebytes kann sich keine updates holen -> MBAM_ERROR_UPDATING (12007, 0, Win HttpSendRequest)
- Im Browser www.Google.de aufrufen geht nicht, aber über die IP gehts

- Hab schon den DHCP Dienst wieder in Gang gebracht (einer der Treiber war gelöscht)
- Lan Einstellungen gecheckt (alles auf autom. vom DHCP....)
- Winsock gefixt
- uns alles andere was ich im Netz gefunden habe (weiss schon nicht mehr was alles) getan um das Problem zu lösen.....leider bisher ohne Erfolg

Irgendwas verhindert das die Namen aufgelöst werden, nur was....? Hoffe hier gibts noch ein paar Stichworte die mir weiter helfen, denn ich weiss mittlerweile nicht mehr weiter.....

Alle Einstellungen die ich geprüft habe sind genauso wie bei meinem 2. Laptop (XP Pro SP3) das tadellos funktioniert.

Was mir noch aufgefallen ist, ich aber mit Google nicht weitergekommen bin:
Nachdem ich ZoneAlarm am laufen hatte und die Browser gestartet habe will
- FF.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 1039
- IE.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
- jqsnotify.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
Sind die Ports ok? Hab da irgendwas in Erinnerung von wegen das da HTTP stehen müsste.

Gruß,
Perle

cosinus 29.07.2010 21:01
Zitat:
Irgendwas verhindert das die Namen aufgelöst werden, nur was....?
Check mal die proxysettings, es ist neuerdings Mode, dass die Malware 127.0.0.1 als Proxy definiert und dann die Internetverbindung gestört ist.

Perle 29.07.2010 23:11
Wenn Du die Einstellungen im IE meinst, da is alles wie es sein soll. War aber vorher ein Proxy drin der auch immer wieder drin stand bis die AVSS entfernt war. Auch in der Registry war ein ProxyEintrag den HJT als Böse ausgewiesen hatte. Ist aber mittlerweile alles wie es sein soll.

Hosts-Datei is auch ok.

cosinus 30.07.2010 14:11
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Perle 01.08.2010 12:46
Hier die beiden OTL Logfiles:

Code:
OTL logfile created on: 01.08.2010 13:33:32 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 587,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 18,00 Gb Total Space | 2,23 Gb Free Space | 12,36% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,77 Gb Total Space | 3,76 Gb Free Space | 99,73% Space Free | Partition Type: FAT
Drive F: | 406,29 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ******
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\Avira\AntiVir Desktop\update.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS)
PRC - C:\Programme\FinePixViewerS\QuickDCF2.exe (FUJIFILM Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Zone Labs, LLC)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (NuidFltr) -- C:\WINDOWS\system32\drivers\nuidfltr.sys (Microsoft Corporation)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (srescan) -- C:\WINDOWS\system32\ZoneLabs\srescan.sys (Zone Labs, LLC)
DRV - (KLIF) -- C:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (ss_mdm) -- C:\WINDOWS\system32\drivers\ss_mdm.sys (MCCI)
DRV - (ss_mdfl) -- C:\WINDOWS\system32\drivers\ss_mdfl.sys (MCCI)
DRV - (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM) -- C:\WINDOWS\system32\drivers\ss_bus.sys (MCCI)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.king.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: fdm_ffext@freedownloadmanager.org:1.3.4
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.10.16 03:39:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.11.17 16:10:54 | 000,000,000 | ---D | M]
 
[2009.03.14 12:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.06.06 13:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3m4qkiy8.default\extensions
[2009.10.16 03:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3m4qkiy8.default\extensions\staged-xpis
[2010.07.29 11:52:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.08.24 21:25:19 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.08.24 21:25:19 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.08.24 21:25:19 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.08.24 21:25:19 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.08.24 21:25:19 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.29 16:28:04 | 000,000,736 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS)
O4 - HKCU..\Run: [cfkmaqdu] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk\uvrftcytssd.exe File not found
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\RunOnce: [Shockwave Updater] C:\WINDOWS\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -Mozilla\4.0 ( File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher S.lnk = C:\Programme\FinePixViewerS\QuickDCF2.exe (FUJIFILM Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Pampers Pregnancy Widget.lnk = C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für PGPregnancyWidget_Win_de_DE.zip\PampersPregnancyWidget.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 157
O8 - Extra context menu item: Alles mit FDM herunterladen - C:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Auswahl mit FDM herunterladen - C:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - C:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Videos mit FDM herunterladen - C:\Programme\Free Download Manager\dlfvideo.htm ()
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} hxxp://downloads.ewido.net/ewidoOnlineScan.cab (ewidoOnlineScan Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220373424578 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220373508156 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.09.02 16:03:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.02.09 11:28:46 | 000,000,060 | R--- | M] () - F:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{bc6a7344-6948-11de-83c2-0040d0990f84}\Shell - "" = AutoRun
O33 - MountPoints2\{bc6a7344-6948-11de-83c2-0040d0990f84}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bc6a7344-6948-11de-83c2-0040d0990f84}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup.exe -- [2003.04.23 04:54:00 | 000,040,960 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.01 13:32:43 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.07.29 16:36:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.07.29 16:28:37 | 000,000,000 | ---D | C] -- C:\ERDNT
[2010.07.29 11:36:04 | 000,138,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\afd.sys
[2010.07.20 15:14:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.07.20 15:14:47 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.20 15:14:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.20 15:14:44 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.20 15:14:44 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.17 15:08:34 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.17 14:55:10 | 000,472,064 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\***\Desktop\RootRepeal.exe
[2010.07.17 14:49:06 | 001,154,616 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\***\Desktop\ccsetup233_slim.exe
[2010.07.17 14:48:01 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
[2010.07.12 18:28:48 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2010.07.12 14:24:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.01 13:32:12 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.08.01 13:31:25 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.01 13:31:22 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.01 13:31:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.01 13:30:24 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.07.30 02:41:11 | 070,740,000 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2010.07.30 02:41:11 | 000,821,276 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2010.07.30 02:40:49 | 004,194,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.07.30 02:40:49 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.07.29 17:43:08 | 000,358,382 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2010.07.29 16:28:04 | 000,000,736 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.29 14:02:21 | 000,000,304 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\registry enable proxy.reg
[2010.07.29 11:03:58 | 000,081,220 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\registry.reg
[2010.07.21 18:05:24 | 004,317,270 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.17 17:17:12 | 000,000,015 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\settings.dat
[2010.07.17 14:49:20 | 001,154,616 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\***\Desktop\ccsetup233_slim.exe
[2010.07.17 14:48:08 | 000,401,720 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
[2010.07.06 08:45:39 | 000,095,831 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\dis
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.29 13:59:18 | 000,000,304 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\registry enable proxy.reg
[2010.07.29 11:03:58 | 000,081,220 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\registry.reg
[2010.07.17 17:16:53 | 000,000,015 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\settings.dat
[2010.07.17 14:55:01 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\gmer.exe
[2010.07.17 14:51:05 | 000,030,259 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\hjtscanlist.bat
[2010.07.12 19:26:58 | 000,001,044 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.07.06 08:45:39 | 000,095,831 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\dis
[2010.02.22 20:51:06 | 000,001,158 | ---- | C] () -- C:\WINDOWS\DirPrintOK.ini
[2009.10.01 21:42:18 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2009.10.01 21:42:17 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.03.29 11:13:16 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.01.12 15:22:00 | 000,000,142 | ---- | C] () -- C:\WINDOWS\bctester_de.INI
[2009.01.12 12:40:31 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2008.10.17 14:15:13 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll
[2008.10.17 14:15:13 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll
[2008.10.17 14:14:57 | 000,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll
[2008.09.02 22:51:49 | 000,000,065 | ---- | C] () -- C:\WINDOWS\FISHUI.INI
[2008.09.02 22:48:34 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2008.09.02 22:48:34 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2008.09.02 22:48:33 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2008.09.02 22:48:33 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ogg.dll
[2005.08.05 14:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
< End of report >
Code:
OTL Extras logfile created on: 01.08.2010 13:33:32 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 587,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 18,00 Gb Total Space | 2,23 Gb Free Space | 12,36% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,77 Gb Total Space | 3,76 Gb Free Space | 99,73% Space Free | Partition Type: FAT
Drive F: | 406,29 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: *****
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0E4BC542-9CFD-4E97-B586-9F1E5516E7B9}" = Microsoft IntelliPoint 6.1
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4ACBBFC6-3F39-48DE-8D85-182736B2749B}" = Garmin MapSource
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{641FE800-650B-4E99-A304-9D50E7235BAF}" = Topo Deutschland v2
"{67B9AF41-C0B9-4960-84D9-A61D23DE85D8}" = Garmin Trip and Waypoint Manager v4
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{88B32652-CAE0-4909-A463-5840D2689D93}" = FUJIFILM FinePixViewer S Ver.2.1
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9A40CE-4BC6-40EC-AB37-FCAD554AE534}" = PC Stop-It
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C19BE821-89B1-4A96-AC7C-873810C0CB5F}" = ContentSAFER for Wizmax
"{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = Samsung Media Studio 5
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCD90636-D97D-4130-A44A-3AD4E63B9220}" = OpenOffice.org 2.4
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5B35376-6F9E-47B3-A9F8-791824EBFE0D}" = Samsung PC Studio 3
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3560CF6-5831-46E3-90ED-D36B08769735}" = webmiles-Sammelfreund
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"Ankh" = Ankh
"Ankh - Heart of Osiris" = Ankh - HdO
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CNXT_MODEM_HDA_HSF" = HDAUDIO Soft Data Fax Modem with SmartCP
"DirPrintOK" = DirPrintOK
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Dragonboard_is1" = Dragonboard 0.9
"ffdshow_is1" = ffdshow [rev 3078] [2009-09-17]
"Free Download Manager_is1" = Free Download Manager 3.0
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"JDownloader" = JDownloader
"king.com" = king.com (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.3)" = Mozilla Firefox (3.5.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"SAMSUNG CDMA Modem" = SAMSUNG CDMA Modem Driver Set
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.0.2
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wecker 2.2" = Wecker 2.2 2.2
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 29.07.2010 11:34:15 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 12:34:30 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 14:02:14 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 15:07:35 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 15:37:09 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 16:34:18 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 17:34:17 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 18:34:18 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 29.07.2010 19:34:19 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
Error - 01.08.2010 07:31:46 | Computer Name = ***** | Source = Google Update | ID = 20
Description =
 
[ System Events ]
Error - 29.07.2010 10:31:30 | Computer Name = ***** | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 29.07.2010 10:31:32 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 29.07.2010 10:45:05 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 29.07.2010 10:47:51 | Computer Name = ***** | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 29.07.2010 10:47:51 | Computer Name = ***** | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 29.07.2010 10:59:41 | Computer Name = ***** | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 29.07.2010 10:59:41 | Computer Name = ***** | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 29.07.2010 11:22:00 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 01.08.2010 07:31:43 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet:  %%2
 
Error - 01.08.2010 07:32:45 | Computer Name = ***** | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
 "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
 eine Verbindung herzustellen.
 
 
< End of report >

cosinus 01.08.2010 19:33
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
O4 - HKCU..\Run: [cfkmaqdu] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk\uvrftcytssd.exe File not found
:Files
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wfwespxtk
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Perle 03.08.2010 11:26
Hi!

Werd noch Wahnsinnig.....leider immer noch das selbe Problem. Hier das Logfile von OTL:

Code:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cfkmaqdu deleted successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\+++\Lokale Einstellungen\Anwendungsdaten\wfwespxtk folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: +++
->Temp folder emptied: 149056 bytes
->Temporary Internet Files folder emptied: 151189 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 36482433 bytes
->Flash cache emptied: 3889 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1240390 bytes
%systemroot%\System32 .tmp files removed: 6200199 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32768 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 42,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 08032010_121515

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 03.08.2010 14:24
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:[indent]Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Perle 04.08.2010 13:09
CCleaner und ComboFix ausgeführt. Update und Wiederherstellungskonsole wurden zwar vorgeschlagen, konnten aber nicht heruntergeladen werden --> Keine Verbindung.

Code:
ComboFix 10-08-03.04 - +++ 04.08.2010  13:56:22.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.664 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\+++\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\muzapp.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-04 bis 2010-08-04  ))))))))))))))))))))))))))))))
.

2010-08-03 10:15 . 2010-08-03 10:15        --------        d-----w-        C:\_OTL
2010-07-29 14:28 . 2010-07-29 14:28        --------        d-----w-        C:\ERDNT
2010-07-29 09:36 . 2008-04-13 19:19        138112        -c--a-w-        c:\windows\system32\dllcache\afd.sys
2010-07-29 09:36 . 2008-04-13 19:19        138112        ----a-w-        c:\windows\system32\drivers\afd.sys
2010-07-20 13:14 . 2010-07-20 13:14        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\Malwarebytes
2010-07-20 13:14 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 13:14 . 2010-07-20 13:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-20 13:14 . 2010-07-20 13:14        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-07-20 13:14 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-17 13:08 . 2010-07-17 13:08        --------        d-----w-        c:\programme\CCleaner

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 09:09 . 2008-10-17 12:18        821468        --sha-w-        c:\windows\system32\drivers\fidbox.idx
2010-08-04 09:09 . 2008-10-17 12:18        70740000        --sha-w-        c:\windows\system32\drivers\fidbox.dat
2010-08-03 10:12 . 2008-09-02 16:11        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\ICQ
2010-08-03 10:11 . 2008-09-02 15:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-07-06 06:16 . 2008-09-10 05:35        1        ----a-w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-07-06 06:16 . 2008-09-10 05:34        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\OpenOffice.org2
2010-06-24 10:55 . 2009-03-12 08:22        --------        d-----w-        c:\programme\ICQ6.5
2010-06-24 10:13 . 2006-03-24 12:00        84280        ----a-w-        c:\windows\system32\perfc007.dat
2010-06-24 10:13 . 2006-03-24 12:00        458766        ----a-w-        c:\windows\system32\perfh007.dat
2010-06-13 21:51 . 2009-05-04 15:12        --------        d-----w-        c:\programme\JDownloader
2010-06-13 21:48 . 2010-06-06 10:50        --------        d-----w-        c:\dokumente und einstellungen\+++\Anwendungsdaten\Free Download Manager
2010-06-06 17:50 . 2008-09-02 18:41        --------        d-----w-        c:\programme\Microsoft Silverlight
2010-06-06 10:50 . 2010-06-06 10:50        --------        d-----w-        c:\programme\Free Download Manager
2010-06-06 10:50 . 2010-06-06 10:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2010-03-19 19:59 . 2010-03-19 19:58        2114184        ----a-w-        c:\programme\Install_Facebook_Plug-In_1.0.3[1]
2009-04-19 11:55 . 2009-04-19 11:55        1048200        ----a-w-        c:\programme\MoveMediaPlayer_071303000004.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-19 729178]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-10-19 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-10-19 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-10-19 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-10-19 14743552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SMSTray"="c:\programme\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-12-14 132624]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Exif Launcher S.lnk - c:\programme\FinePixViewerS\QuickDCF2.exe [2009-6-13 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.01.2010 02:14 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.12.2009 19:46 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-08-04 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-02 14:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.king.com/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
FF - ProfilePath - c:\dokumente und einstellungen\+++\Anwendungsdaten\Mozilla\Firefox\Profiles\3m4qkiy8.default\
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 14:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2010-08-04  14:03:41
ComboFix-quarantined-files.txt  2010-08-04 12:03

Vor Suchlauf: 2.311.421.952 Bytes frei
Nach Suchlauf: 2.343.022.592 Bytes frei

- - End Of File - - 30290877429D6EAEA151BA8A4B08B008

cosinus 05.08.2010 14:47
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Perle 05.08.2010 17:43
GMER und Bootkit-Remover hab ich laufen lassen. OSAM geht nicht da keine Verbindung zur DB.

Bootkit-Remover meint: Unknown Bootcode has been found on some of your phisical disks

Weiss nicht ob das vielleicht daran liegt das D: nicht formatiert ist..?

Hier das Log von GMER:

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-05 18:04:27
Windows 5.1.2600 Service Pack 3
Running: o54m4r8c.exe; Driver: C:\DOKUME~1\+++\LOKALE~1\Temp\pgtdapog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateFile [0xAA0C9930]
SSDT            F7C3DD96                                                                    ZwCreateKey
SSDT            F7C3DD8C                                                                    ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteFile [0xAA0C9F20]
SSDT            F7C3DD9B                                                                    ZwDeleteKey
SSDT            F7C3DDA5                                                                    ZwDeleteValueKey
SSDT            F7C3DDAA                                                                    ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenFile [0xAA0C9D70]
SSDT            F7C3DD78                                                                    ZwOpenProcess
SSDT            F7C3DD7D                                                                    ZwOpenThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRenameKey [0xAA0D6250]
SSDT            F7C3DDB4                                                                    ZwReplaceKey
SSDT            F7C3DDAF                                                                    ZwRestoreKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetInformationFile [0xAA0CA120]
SSDT            F7C3DDA0                                                                    ZwSetValueKey
SSDT            F7C3DD87                                                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?              srescan.sys                                                                  Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \FileSystem\Fastfat \Fat                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

cosinus 05.08.2010 18:09
Zitat:
Nachdem ich ZoneAlarm am laufen hatte und die Browser gestartet habe will
- FF.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 1039
- IE.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
- jqsnotify.exe Zugriff auf die Sichere Zone 127.0.0.1 Port 5152
Sind die Ports ok? Hab da irgendwas in Erinnerung von wegen das da HTTP stehen müsste.
Nochmal zu diesem Thema, ZoneAlarm ist der letzte Schrott, es ist für unbegreiflich warrum es Zugriffe auf den localhost (Dein Rechner selbst, loopback) melden muss! Warum benutzt Du ZoneAlarm überhaupt wenn Du schon mit solchen Meldungen nichts anfangen kannst?
ZoneAlarm solltest Du umgehend komplett deinstallieren, nutz die Windows-Firewall!

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Perle 05.08.2010 23:34
Also ZA benutze ich nur um zu wissen was nach draussen will. Sicherer fühl ich mich dadurch nicht. Um das zu blocken was rein will ist hauptsächlich mein Router zuständig. Z.B. hätt ich nix von meinem ersten und einzigen Rootkit mitbekommen wenn ZA nicht gemeldet hätte dass da immer wieder was raus will. Ich benutz Win seit 3.1 und hatte bis jetzt nur dies eine Mal nen Schädling drauf. Ich denke mal das ist kein schlechter Schnitt dafür das ich fast 20 Jahre mit dem IE unterwegs war und meine Rechner seit den Anfängen der Flatrates fast immer 24/7 online sind. Also wenn man noch vorsichtiger sein will als ich, dann muss man seinen Internetvertrag kündigen :lach:

Der aktuelle Fall betrifft den Rechner meiner Freundin, aber den Schädling hab ich mir damit eingefangen. Und zwar von einem Werbe-PopUp auf OnlineTVRecorder.de. Avira hat auch angeschlagen und nen HTML-Script Virus gemeldet. Ich hab ihn gleich löschen lassen. Hat aber nix gebracht.

Und als ich mir den Schädling eingefangen hab lief die Windows FW, war kein ZA drauf, war Avira auf aggressiv eingestellt und auch Windows durfte sich bei Bedarf täglich an Updates bedienen. ZA hab ich nur installiert um evtl. einen Hinweise zu bekommen falls was raus funkt, denn wie Du ja selbst siehst ist mein Fall nicht so einfach und ich war mit meinem Latein am Ende. Und wenn auch Du nicht mehr weiter weisst dann sag Bescheid....werde dann schweren Herzens die Windows CD einlegen.... :killpc:

cosinus 06.08.2010 09:08
Zitat:
Also ZA benutze ich nur um zu wissen was nach draussen will.
Nur dummerweise geht sowas nicht zuverlässig, da es genug Möglichkeiten gibt, an der PFW vorbei zu senden. Ironischerweise war es ZA einmal selbst, was nach Hause telefoniert hat. :balla:

Zitat:
Z.B. hätt ich nix von meinem ersten und einzigen Rootkit mitbekommen wenn ZA nicht gemeldet hätte dass da immer wieder was raus will.
Da ist reine Glückssache. Aktive Malware kann auch problemlos das Regelwerk ändern oder andersweitig an ZA vorbei senden. Oder ZA einfach abschießen, das ZA-Traysymbol würde dann solange im Systray (bei der Uhrzeit) bleiben, bis Du mit der Maus drübergehst.

Bitte ZA jetzt deinstallieren. OSAM Nochmal ausführen, den Schritt mit der Online-DB musst Du überspringen!

felix1 06.08.2010 21:20
Da hat cosinus schon recht.
Deinstalliere ZA und poste ein HJT-Lgfile.

Felix


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:55 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131