TR/ATRAPS.Gen in C:\Windows\System32\aptwaouxz.dll
 

Hallo markusg,

ich habe dein lustiges Online-Spiel Atraps.gen mit Duskdragon mitverfolgt und würde gerne mitspielen :-))) (notgedrungen).

Anbei lade ich sämtliche Protokolle mit hoch einschließlich OTL.txt und Extras.txt und warte mal auf ein entsprechendes Skript.

Im Voraus vielen Dank für eure Bemühungen.

chrhu

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
• Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Markusg ist im Urlaub, aber ich helfe dir gern! :)

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Marius,

vielen Dank für deine Bemühungen, besonders am Sonntagnachmittag :-)

Zunächst die Combofix.txt:

Combofix Logfile:
--- --- ---

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Marius,

anbei die beiden Logfiles. Beim Eset hatte ich die Hakeneinstellung nicht geändert, jetzt lasse ich ihn halt nochmals laufen mit dem Archiv-Haken.

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.28.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Susanne Hummel :: KANZLEI-LAPTOP [Administrator]

28.05.2012 13:43:20
mbam-log-2012-05-28 (18-54-08).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 426905
Laufzeit: 2 Stunde(n), 17 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Susanne Hummel\Downloads\SoftonicDownloader_fuer_netzmanager.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Program Files\ISOBURN\iso_burn.exe (Malware.Packer.Gen) -> Keine Aktion durchgeführt.

(Ende)



C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi application deleted - quarantined
C:\Users\Susanne Hummel\Downloads\PDFCreator-1_2_3_setup.exe Win32/Toolbar.Widgi application deleted - quarantined
C:\Users\Susanne Hummel\Downloads\registrybooster.exe Win32/RegistryBooster application deleted - quarantined
E:\KANZLEI-LAPTOP\Backup Set 2011-06-10 161659\Backup Files 2011-06-10 161659\Backup files 16.zip multiple threats deleted - quarantined
E:\KANZLEI-LAPTOP\Backup Set 2011-06-10 161659\Backup Files 2011-11-12 103251\Backup files 1.zip JS/TrojanDownloader.Iframe.NHP trojan deleted - quarantined
E:\KANZLEI-LAPTOP\Backup Set 2011-06-10 161659\Backup Files 2011-11-12 103251\Backup files 6.zip JS/TrojanDownloader.Iframe.NHP trojan deleted - quarantined


MfG

Christian

Schritt 1: Software deinstallieren

• Klicke Start-->Systemsteuerung.
• Öffne Programme und Funktionen.
• Suche und deinstalliere folgende Einträge:
  
  Zitat:

  ISOBURN

• Schließe das Fenster.

Schritt 2: Adobe Flash Player update


Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden.
Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:

• Lade dir den aktuellen Adobe Flash Player von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
• Starte das Setup und folge den Anweisungen auf dem Bildschirm.
• Melde dich umgehend, falls Schwierigkeiten auftreten.

Schritt 3: Adobe Reader update


Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

• Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
• Starte die Installation und folge den Anweisungen auf dem Bildschirm.
• Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
• Suche und entferne alle älteren Reader-Versionen.

Schritt 4: Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 4 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Macht der Rechnber noch Probleme?

Hallo Marius,

also zunächst funktioniert der Rechner normal. Der Ausgangspunkt war allerdings, dass das Microsoft Netzwerk nicht mehr funktionierte, ich daraufhin den Client für Microsoft Netzwerk gelöscht hatte und wieder installieren wollte.

Unverändert kommt beim Installieren des Clients die Fehlermeldung "Das System kann die angeforderte Datei nicht finden". Ich dachte dies liegt an dem Atraps.gen, ist aber wohl nicht der Fall.

By the way: kannst du bitte das Malewarebyte-log-Files herauslöschen? Da steht zuviel Klartext drin...

Vielen Dank.

Christian Hummel

Wir löschen oder ändern grundsätzlich keine Themen oder logfiles.


OTL (custom)


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Marius!

Ich habe den Scanner jetzt 3 x laufen lassen mit Hacken an Extra-Registry. Es gibt aber kein Extra-Logfile.
OTL Logfile:
--- --- ---

Schritt 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2: TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.


Schritt 3: FSS


Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Das ist ja hier schlimmer wie eine Fahrschule :-))

Nix für ungut, hier geht es weiter:

Kaspersky schreibt: No threads found, kein Protokoll


All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.
C:\Programme\Ask.com\Updater\Updater.exe moved successfully.
ADS C:\ProgramData\TEMP:BF3D62E7 deleted successfully.
ADS C:\ProgramData\TEMP:5C321E34 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator.Kanzlei-Laptop
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 400707 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Susanne ***
->Temp folder emptied: 7463983 bytes
->Temporary Internet Files folder emptied: 10189492 bytes
->Java cache emptied: 9786 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 221694266 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 9918 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 82065 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 630001 bytes
RecycleBin emptied: 19343204 bytes

Total Files Cleaned = 248,00 mb


OTL by OldTimer - Version 3.2.43.1 log created on 05312012_200232

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\hsperfdata_KANZLEI-LAPTOP$\2260 not found!
File move failed. C:\Windows\temp\asat0000.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...



Farbar Service Scanner Version: 27-05-2012
Ran by Susanne *** (administrator) on 31-05-2012 at 20:11:20
Running from "C:\Users\Susanne ***\Desktop\Trojaner\310512"
Microsoft® Windows Vista™ Business Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Yahoo IP is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Disabled Policy:
========================


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2012-05-09 08:15] - [2012-03-30 14:39] - 0905600 ____A (Microsoft Corporation) 27D470DABC77BC60D0A3B0E4DEB6CB91

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

Sieht gut aus - laut dem letzten Tool ist mit dem Windows-Netzwerk alles okay.
Hast du das Problem mit dem client immer noch?

Hallo Marius,

beim Installieren des Clients für Microsoft Netzwerke kommt die Fehlermeldung "Kann die angegebene Datei nicht finden". Wenn ich die netmscli.inf starte rödelt er kurz, aber ohne Ergebnis.

Durch den Atraps.gen wurde das das Microsoft-Netzwerk ausgeknockt. Ich hatte deshalb den Client gelöscht und kann ihn nicht mehr installieren. Jetzt ist der Atraps weg, aber den Client bekomme ich nicht mehr installiert. Bleibt wohl nur die Neuinstallation.

Ich danke dir vielmals für die ausführliche Hilfe.

MfG

Chrhu

Hast du bereits neu installiert oder können wir noch versuchen, das Problem auf andere Weise zu lösen?


Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Nein, neu installieren darf ich erst wenn ich einen zweiten Rechner entsprechend eingerichtet habe. Und das wird frühestens zwischen Weihnachten und Neujahr sein :-))). Wir können gerne noch was ausprobieren.

Der Rechner hatte außer dem dem Netzwerk-Client keine Beschwerden. Nach der Bereinigung startet er jetzt schneller, das ist richtig. Bedeutet die Fehlermeldung bei der Client-Installation zwingend einen immer noch aktiven Virus o.ä., oder fehlt jetzt einfach eine Installations-Datei?

MfG

chrhu

Nein, das bedeutet, dass der Schädling bei seiner Entfernung Teile des TCP/IP-Stacks auf der Maschine geschrottet hat...das können wir hinbekommen, aber es ist fummelig und du musst genau tun, was ich dir sage!

Wollen wirs versuchen?

Ok, machen wir weiter. Ich kann aber leider untertags nichts machen. Zieht sich halt etwas hin.

MfG

Chrhu

Gut, dann gehen wir einfach vom leichten zum schweren und schauen, wann es wieder tut:


TCP/IP-Stack reparieren:

• Drücke Start, schreibe cmd - Windows wird kurz suchen und dir den Eintrag cmd anzeigen.
• Starte diesen per Rechtsklick-->als Administrator ausführen
• Gib folgendes im Fenster ein:
  
• Code:

  ---

  netsh int ip reset C:\resetlog.txt

  ---

• Schließe das Fenster.
  
• Starte den Rechner neu.
  
• Poste mir die resetlog.txt hier und berichte, ob das Netzwerk funktioniert.

Also, Marius:

Eine resetlog.txt hat er nicht angelegt. Ich habe den Befehl nochmals gestartet mit einem ">":


Fehler beim Zur�cksetzen von Echoanforderung.
Zugriff verweigert

Schnittstelle wird zur�ckgesetzt, OK!
Es ist ein Neustart erforderlich, um den Vorgang abzuschlieáen.


Soweit so gut. Beim ersten Start hat er mir bestimmt 4 x OK mitgeteilt, das ist jetzt aber leider futsch.

Die Installation des Netzwerk-Clients bringt noch den gleichen Fehler. Ich habe keine Benutzerkontensteuerung aktiviert, mein Benutzer hat ohnehin Administratorrechte. Ich starte deshalb nicht "Als Administrator". Aber man weis ja nie...

Gruß

chrhu

Bitte führe dieses Tool aus (und zwar ausdrücklich per Rechtsklick-->als Administrator starten) und poste das Ergebnis hier.

(Auch wenn der User unter Vista angeblich Administratorrechte hat, so trifft dies letztendlich doch nicht zu und systemkritische Aufgaben werden verweigert. Das siehst du beim letzten Ergebnis mehr als deutlich. Einem Systemadministrator wird der Zugriff nicht verweigert!)

Hallo Marius,

dachte den "Administrator ausführen" gibt es nur bei aktivierten Benutzerkonten. Mittlerweile habe ich ihn auch gefunden...

Jetzt habe ich den netsh nochmals gemacht mit Administrator, Ergebnis ist aber das Gleiche.

MfG

chrhu

==== ServiceGroupOrder =========

PNP_TDI
TDI
NetBIOSGroup

==========================
PNP_TDI = [0e], 05, 01, 02, 03, 0a, 04, 06, 07, 08, 09, 0b, 0c, 0d, 0e

SERVICE_NAME: AFD
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
START_TYPE : 1 SYSTEM_START
ERROR_CONTROL : 1 NORMAL
SteelWerX Service Controller 2.0
Written by Bobbi Flekman 2006 (C)

Access violation at address 00409A4C in module 'SWSC.exe'. Read of address 00000000


==========================

SERVICE_NAME: Crypto
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : \??\C:\Windows\system32\Drivers\Crypto.sys
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Crypto

SERVICE_NAME: Dhcp
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
PID : 1168
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP-Client
DEPENDENCIES : NSI, Tdx, Afd

SERVICE_NAME: Dnscache
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
PID : 1684
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DNS-Client
DEPENDENCIES : Tdx

SERVICE_NAME: dot3svc
STATE : 1 STOPPED
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1077 (0x435)
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Automatische Konfiguration (verkabelt)
DEPENDENCIES : RpcSs, Ndisuio, Eaphost

SERVICE_NAME: IPSECMON
STATE : 1 STOPPED
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe"
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : SafeNet Monitor Service

SERVICE_NAME: IreIKE
STATE : 4 RUNNING
(STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
PID : 1732
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe"
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : SafeNet IKE Service
DEPENDENCIES : CRYPTO, IPSECDRV

SERVICE_NAME: lmhosts
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
PID : 1168
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : TCP/IP-NetBIOS-Hilfsdienst
DEPENDENCIES : NetBT, Afd

SERVICE_NAME: Wlansvc
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
PID : 1224
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Automatische WLAN-Konfiguration
DEPENDENCIES : nativewifip, RpcSs, Ndisuio, Eaphost

==========================
NetBIOSGroup = [02], 01, 02

SERVICE_NAME: NetBIOS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
START_TYPE : 1 SYSTEM_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : system32\DRIVERS\netbios.sys
LOAD_ORDER_GROUP : NetBIOSGroup
TAG : 2
DISPLAY_NAME : NetBIOS Interface

Hm...ich werde mal Rücksprache halten!

Das habe ich heute schon mal gehört. Ich war beim Arzt...

Ach herrje!

Nein, ich frage die Kollegen, ob die eine Idee hierzu haben. ;)

Nun, der Arzt will mein System zwar nicht neuinstallieren, aber zum Abschluss des Vorgangs soll doch neu gestartet werden (=kleine OP) :-))).

Ich hatte vorab versucht eine andere Vista-Ultimate drüber zu installieren bzw. eine "Reparatur" durchführen zu lassen. Dies funktionierte nicht weil ich 1. Bussiness habe und 2. SP2

Bei unserem Thread #14-#16 hatte ich Microsoft kontaktiert. Die haben mir angeboten eine Vista-SP2-Version zuzuschicken, mit der eine Reparaturinstallation möglich sein könnte.

MfG

chrhu

Wir bereiten nach, dann verweise ich dich an die Kollegen des Windows-Forums! :daumenhoc


Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button



ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



OTL

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Antviren-Software

• Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
  Eine Auswahl kostenloser Antivirenprogramme:

• AVG Free Anti-Virus
• Avast! Free Anti-Virus
• Microsoft Security Essentials
  Hinweis:MSE wird auch durch Windows Updates angeboten, falls kein Virenscanner am System erkannt wird

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.



Wegen TCP/IP: Eröffne hier ein Thema und lass die dortigen Experten die Sache bewerten! :)

Hallo Marius,

also, alles erledigt. Auf jeden Fall ist die Kiste jetzt sauber. Falls diese Woche tatsächlich eine CD von Microsoft kommen sollte versuche ich zunächst diese Reparaturinstallation. Vielleicht nützt dies was. Andernfalls schaue ich beim Windows-Forum noch weiter.

Auf jeden Fall: vielen Dank für deine umfangreichen Bemühungen.

Gruß

chrhu

Schön, dass wir helfen konnten! :abklatsch:


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

Letzter Status:

Der Client für Microsoft Netzwerke funktioniert wieder !!

Habe von Microsoft nun eine CD bekommen mit Vista Service Pack 2. Mit der Upgrade-Installation wurde der Client wieder installiert. Jetzt funktioniert der Zugriff auf das LAN bzw. NAS-Server etc. wieder.

Vielen Dank