Trojaner-Board - internetverbindung wird einfach getrennt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - internetverbindung wird einfach getrennt (https://www.trojaner-board.de/33279-internetverbindung-einfach-getrennt.html)

internetverbindung wird einfach getrennt

hallo!
ich habe folgendes problem: jedes mal wenn ich ins internet connecte kann ich zunächst problemlos surfen etc. nach einiger zeit aber (manchmal früher, manchmal später) wird die verbindung einfach getrennt. dies wird aber in der taskleiste gar nicht angezeigt. des weiteren kann ich den status meiner dfü-verbindung nicht mehr aufrufen und sie auch nicht mehr trennen. um wieder ins internet zu können muss ich rebooten. kaspersky hat mir dann irgendwann angezeit dass die drwtsn32.exe auf meine svchost.exe zugreifen will, bevor die trennung erfolgt. also hab ich drwatson über die registry gelöscht. jetzt kommt folgende fehlermeldung:

Zitat:

svchost.exe - Fehler in Anwendung

Die Ausnahme "Unbekannter Softwarefehler" (0xc0000409) ist in der Anwendung an der Stelle 0x597da3c0 aufgetreten.

so lange ich die fehlermeldung aber nicht mit "ok" wegklicke bleibt die verbindung aufrecht. erst nach dem bestätigen ist sie gekappt.

hab neben kaspersky auch noch antivir, avg, stinger und spybot drüberlaufen lassen, haben alle nichts gefunden.

hier meine hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 09:00:59, on 02.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Meister\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VideoKeyCodec\isaddon.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0307A885-A566-4D19-8E14-84E056431B84}: NameServer = 217.237.151.115 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{0307A885-A566-4D19-8E14-84E056431B84}: NameServer = 217.237.151.115 217.237.150.33
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

vielen dank im voraus für eure hilfe!

hab den hier jetzt mal gelöscht:

O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VideoKeyCodec\isaddon.dll (file missing)

denke aber nicht dass das mein problem behebt, da ich diesen mistigen codec erst nachdem das problem aufgetreten war runtergeladen hab.

edit:

nachtrag zum thema:

kurz bevor oder nachdem die verbindung gekappt wird wechselt mein skin von xp-style zu windows klassisch.

Geh mit der Systemwiederherstellung etwas zurück, dann müsste dieses Problem erledigt sein

Versuche dies möglichst genau abzuarbeiten, wenn etwas wirklich nicht geht, dann einfach nächsten Schritt ausführen:

Deaktivieren der Systemwiederherstellung
Gehen Sie folgendermaßen vor, um die Systemwiederherstellung zu deaktivieren:
1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Eigenschaften.
2. Klicken Sie auf die Registerkarte Systemwiederherstellung.
3. Aktivieren Sie das Kontrollkästchen Systemwiederherstellung deaktivieren (oder das Kontrollkästchen Systemwiederherstellung auf allen Laufwerken deaktivieren), und klicken Sie auf OK.
4. Klicken Sie auf Ja, wenn Sie gefragt werden, ob Sie die Systemwiederherstellung wirklich deaktivieren möchten.
http://support.microsoft.com/default...d=kb;de;310405

dann

Start > Systemsteuerung
Software.

SaveUninst.exe entfernen/deinstallieren

dann
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = fireproxy.tgm.ac.at:3128
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

wenn diese nicht bekannt sind, dann fix auch diese Einträge
O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Programme\zendstudio client-5.1.0\bin\ZendIEToolbar.dll/DebugCurrent.html
O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Programme\zendstudio client-5.1.0\bin\ZendIEToolbar.dll/DebugNext.html
O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\ZENDST~1.0\bin\ZENDIE~1.DLL
O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\ZENDST~1.0\bin\ZENDIE~1.DLL

dann

lade Dir die Killbox
http://www.bleepingcomputer.com/files/killbox.php
klicke auf: KillBox Download Link
Anleitung: http://virus-protect.org/killbox.html
(Option "delete on reboot", nach jeder Datei auf das weisse Kreuz mit roten Hintergrund klicken und erst nach der letzten Datei den Neustart bejahen) und lösche folgende Dateien:
C:\Programme\daemon tools\SetupDTSB.exe

dann

installiere
CleanUp!
http://www.stevengould.org/downloads...CleanUp451.exe

öffne Cleanup! - doppelklick auf das Icon auf dem Desktop (oder von: Start All Programme)

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Klick "Options..."

Bewege den Zeiger von "Custom CleanUp!" wie oben angezeigt (Custom Clean Up)

Hake an:

* Empty Recycle Bins
* Delete Cookies
* Delete Prefetch files
* Cleanup! All Users

Click OK

Klicke den CleanUp! Button, um das Programm zu starten
Wenn man am Ende gefragt wird, ob der PC neustarten soll (reboot), klicke "yes"

dann installiere kostenlose Testversion:

ConterSpy http://www.sunbelt-software.com/CounterSpy-Download.cfm

* Installation

* Der PC muss neu gestartet werden

* Nach dem Neustart/Installieren wird CounterSpy geupdatet

* Klicke: "Run a Spyware Scan Now"

* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu

Counterspy killt immer nur einen Teil Dateien. Man muss also immer wieder neu damit scannen, solange bis Counterspy nichts mehr findet.

dann

Neustart F8 mehrmals drücken, abgesichter Modus starten.

Kaspersky starten wenn es funktioniert, voller Scan, alle Funde löschen

dann sofort weiterhin im abgesicherten Modus:

Counterspy nochmals starten voller Scan, alle Funde löschen, kopiere den Report ab und poste ihn hier.

Neustart Normalstart.

Hijackthis erneut ausführen und posten

Dann gehts weiter!

MFG

Zitat:

Start > Systemsteuerung
Software.

SaveUninst.exe entfernen/deinstallieren

die hab ich nicht.. was tun?

edit:
systemwiederherstellung hat übrigens nichts gebracht. er meinte er könne nichts verändern. hab nen stand von september aufgerufen, warn aber laut win auch keine veränderungen dabei.

wenn du es nicht hast, dann führ einfach die vollgeschritte aus, wie oben beschrieben

mfg

Zitat:

Zitat von 1ny4f4c3

.. was tun?

Board- bzw. Google-Suche benutzen: http://www.trojaner-board.de/showthread.php?t=31379

Zitat:

Goldene Regel 1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

danke für den hinweis. bei der google suche hab ich leider nichts hilfreiches gefunden, und die board-suche hab ich schlichtweg vergessen :)