|
Internet Explorer stellt keine Verbindung her Hallo, seit einiger Zeit habe ich Probleme mit Spyware auf meinem Rechner. Betriebssystem Windows XP home SP3, alle Windows Updates durchgeführt (Stand 11.07.2008). Allerdings startet der Internet Explorer 7.0 trotz bestehender Verbindung nicht oder erst nach mehrfachem Versuchen. Installiertes Virenprogramm: AntiVir, neuestes Update, Expertenmodus Installiertes Spyware-Programm: Adaware, neuestes Update. Letzter Fund von AntiVir: (von heute vormittag) Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 11. Juli 2008 09:39 Es wird nach 1411247 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: FRANKFUR-B568C9 Versionsinformationen: BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:34:24 ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 14:34:27 ANTIVIR3.VDF : 7.0.5.95 147968 Bytes 10.07.2008 14:36:34 Engineversion : 8.1.0.64 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.46 283002 Bytes 10.07.2008 14:34:43 AESCN.DLL : 8.1.0.22 119157 Bytes 10.07.2008 14:34:42 AERDL.DLL : 8.1.0.20 418165 Bytes 10.07.2008 14:34:42 AEPACK.DLL : 8.1.1.6 364918 Bytes 10.07.2008 14:34:36 AEOFFICE.DLL : 8.1.0.20 192891 Bytes 10.07.2008 14:34:35 AEHEUR.DLL : 8.1.0.35 1298806 Bytes 10.07.2008 14:34:34 AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 14:34:31 AEGEN.DLL : 8.1.0.29 307573 Bytes 10.07.2008 14:34:31 AEEMU.DLL : 8.1.0.6 430451 Bytes 10.07.2008 14:34:30 AECORE.DLL : 8.1.0.32 168311 Bytes 10.07.2008 14:34:29 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 11. Juli 2008 09:39 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\ntos.exe [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e60f11.qua erstellt ( QUARANTÄNE ) c:\windows\system32\wsnpoem\audio.dll [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db0f12.qua erstellt ( QUARANTÄNE ) c:\windows\system32\wsnpoem\video.dll [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db0f06.qua erstellt ( QUARANTÄNE ) c:\windows\system32\wsnpoem [INFO] Das Verzeichnis ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e50f10.qua erstellt ( QUARANTÄNE ) Es wurden '51411' Objekte überprüft, '4' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'JSDAEMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '25' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Freitag, 11. Juli 2008 10:22 Benötigte Zeit: 42:43 min Der Suchlauf wurde vollständig durchgeführt. 5064 Verzeichnisse wurden überprüft 234325 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 234324 Dateien ohne Befall 830 Archive wurden durchsucht 1 Warnungen 4 Hinweise 51411 Objekte wurden beim Rootkitscan durchsucht 4 Versteckte Objekte wurden gefunden Und hier noch die HiJack This File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:02:00, on 11.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\GEARSec.exe c:\jetsuite\jsdaemon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HiJack This\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{91270A0F-167F-4D75-A24F-B5A5317DE8ED}: NameServer = 195.50.140.178 195.50.140.114 O17 - HKLM\System\CCS\Services\Tcpip\..\{BFEE27A6-25BF-4C7E-B158-58BBD42AF761}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6227 bytes Würde mich sehr freuen, wenn mir jemand weiter helfen könnte... Um Rückfragen vorzubeugen. Eine Firewall ist nicht installiert, Windows Firewall wurde aufgrund eines anderen Forums deaktiviert. |
Hi, du hast einen richtig bösen Kollegen an board: Zitat:
Solltest du Onlinebanking betreiben, solltest du auch dein Konto in nächster Zeit in Auge behalten. Solltest du eine Webseite besitzen, überprüfe bitte ob diese nicht ebenfalls kompromittiert ist und versucht deine Besucher mit demselben Trojaner zu infizieren. Bitte den Rechner bis zum Neuaufsetzen vom Internet getrennt lassen. lg myrtille |
Danke für die schnelle Antwort. Ich habs befürchtet... Danke. Bin dann mal offline... |
Wichtig! Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:
Dein Befall sammelt alle Daten, die er bekommen kann! MBR Rootkit Lade dir mbr.exe von gmer herunter und führe ihn aus. Poste das Log bitte hier, nur zur Sicherheit. |
Danke für den Tipp. "Gott sei Dank" habe ich kein Online Banking o.ä. Die Passwörter für Ebay u.ä. werde ich dann vom heimischen Laptop ändern. Ich habe noch eine Frage: Ich habe als Sicherung eine externe Festplatte, auf der eine 1:1 Spiegelung dieser vorhanden ist. Ich vermute mal, dass dort der Fehler mit hin überspielt wurde. Kann ich diese Sicherung nutzen für eventuelle Datenverluste bei der Neuinstallation? |
Zitat:
|
Hier das mbr log: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x17499f00 size 0x1e4 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. |
Auf der externen Platte ist beides vorhanden. Würde für eine eventuelle Rücksicherung nur das Datenbackup nutzen und das Systembackup nach Wiederherstellung meiner Platte komplett eliminieren. |
Ok, mit einer Neuinstallation ist es nicht getan, erst müssen wir den MBR säubern. Lade Dir die Datei mbr.bat.txt auf Deinen Dekstop. Ändere die Endung in mbr.bat. auf Deinem Desktop sollte auch die mbr.exe liegen. Dann doppelkliche die mbr.bat. Poste dann das mbr.log hier. |
mbr.bat log: @echo off mbr.exe -f |
Hm, hast Du die Datein in mbr.bat umbenannt und dann einen Doppelklick auf diese gemacht? |
neuer Versuch: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x17499f00 size 0x1e4 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Ich hoffe so ist s korrekt... |
Hi, machts doch einfach über die Kommandozeile. :rolleyes: Kopier die Datei mbr.exe auf den Desktop Gib unter Start->Ausführen cmd ein Ein schwarzes Fenster öffnet sich. In dieses Fenster dann erstmal cd Desktop eingeben und Enter drücken Danach mbr.exe -f eingeben und enter drücken. Das Ergebnis abtippen/abkopieren und hier posten. lg myrtille |
Hm, mal sehen ob es so klappt. - Lade Dir bitte das zip Archiv mbr.zip. - Entpacke es auf Deinem Desktop. - Doppelklicke die mbr.bat - Poste den Inhalt des mbr.log |
Here we go: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x17499f00 size 0x1e4 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. original MBR restored successfully ! Ist glaub ich immer noch nicht das was wir suchen.. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board