Internet blocked nach kurzer Zeit

[schnuffy1de]

hi

ich bin's mal wieder

Code:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:54, on 09.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
F:\programme\Schutz\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\ScsiAccess.EXE
F:\programme\Brenner\Alc\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] F:\programme\Schutz\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - F:\programme\Schutz\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F50E59D2-97E9-4E57-892B-F553CD305C3E}: NameServer = 217.237.151.225 217.237.150.225
O20 - AppInit_DLLs: F:\PROGRA~1\Schutz\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - F:\programme\Schutz\Outpost Firewall\outpost.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\programme\Brenner\Alc\Alcohol 120\StarWind\StarWindService.exe

Code:

Spyware Scan Details
Start Date: 09.01.2006 16:40:15
End Date: 09.01.2006 17:55:18
Total Time: 1 hrs 15 mins 3 secs 

Detected spyware

BackWeb Lite Low Risk Adware  more information...
Details: Adware by Backweb Technologies.
Status: Deleted

Infected files detected
c:\programme\kodak\kodak software updater\7288971\program\backweb-7288971.exe


WhenU.WhenUSearch Low Risk Adware  more information...
Details: a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism.
Status: Deleted

Infected files detected
F:\programme\DVD\DoItFast4U\Gif89.dll

[Ruby]

Hallo schnuffy1de

Download eine Trial Version von Ewido (falls noch nicht geschehen).
Klicke auf den Update Button und starte den Update.
enn der Update beendet ist, klicke auf den Scanner Button.
Schliesse Ewido.

Drucke die folgenden Anweisungen aus, da du keinen Browser offen haben darfst und das Kabel aus deinem Rechner nehmen musst.

Die Internet Verbindung muss aufgehoben sein. Kein Kontakt zum Netz!

1
Bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.

2
Download den ccleaner, (falls noch nicht geschehen) installieren, starten -> unter options settings -> german einstellen, nun bereinige damit dein system (windows, applications, registry) (quick-tour und screenshots).

3
Fahre nun den Rechner runter, mach ihn aus, nimm das Kabel aus der Maschine, beende den Kontakt zum Internet!

4
Du musst nun im abgesicherten Modus (Anleitung) arbeiten. Der Kontakt zum Netz muss unterbrochen SEIN!!!

5
Scanne dein gesamtes System mit Ewido.
Speichere das Logfile.

6
Öffne den Ewido Ordner.
Leere den Inhalt des Quarantäne-Ordner von Ewido.

7
Öffne Ewido und mache Folgendes:
Klicke auf Scanner
Klicke dann auf Einstellungen:
Wähle Scanne jede Datei
Klicke OK
Klick auf Complete System Scan (Full System Scan/vollständigen Systemscan) und damit wird der Scan beginnen.
Lass Ewido deinen Rechner scannen.
Während der Scan läuft, wirst du immer mal wieder gefragt, ob du erlaubst, dass Dateien gelöscht werden, die infiziert sind. Bestätige das Löschen.
Lass aber die herkömmlichen Einstellungen so wie sie sind (entfernen und Backup) und klicke auf ok.
Um Zeit zu sparen, kannst du auswählen "Perform action with all infections" (Scanne den Rechner zu allen Infektionen... oder sowas steht da) > Klicke auf ok.
Mit der Einstellung "Scanne jede Datei" (scan every file), werden eine menge Cookies entfernt.

8
Boote in den normalen Modus.

9
Schliesse das Kabel wieder an.

10
Speichere das Ewido Logfile
-> und poste es.
-> Poste auch das Logfile vom normalen Ewido Scan.

[schnuffy1de]

Hi

Ich hoffe, das ich das richtig verstanden hatte:

Ich habe zuerst einmal mein system mit Ewido gescannt. Das kam dabei raus:

Code:

---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:		15:10:22, 11.01.2006
 + Report-Checksumme:	64675BFD

 + Scanergebnis:

	:mozilla.13:C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Mozilla\Firefox\Profiles\8nh42avf.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Alle\Cookies\alle@2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Alle\Cookies\alle@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
	D:\Dokumente und Einstellungen\Default User\Cookies\administrator@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup


::Report Ende

danach Systemwiederherstellung aus und wieder eingeschaltet.
danach mit cclearer mein system gesäubert.

Danach in dem Abgesicherten Modus (inkl offline und Netzwerkstecker raus)
mit ewido nochmal gescannt. Hier das Ergebnis

Code:

---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:		17:26:03, 11.01.2006
 + Report-Checksumme:	172A5BC2

 + Scanergebnis:

	Keine infizierten Objekte gefunden.


::Report Ende

Mfg und schönen Dank

[Ruby]

Hallo Schnuffy1de

dein Betriebssystem und der Internet Explorer sind veraltet: -> bitte www.windowsupdate.com besuchen, das SP2 runterladen und aufspielen, den IE updaten! Der IE muss aktuell sein, auch dann, wenn du ihn nicht verwendest. Alle Software auf einem System MUSS auf dem aktuellen Stand sein, sonst hat das System Lücken, durch die Malware eindringen kann.

Bitte folgende Verzeichnisse leeren:

C:\Dokumente und Einstellungen\Alle\Cookies
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Mozilla\Firefox\Profiles
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles
D:\Dokumente und Einstellungen\Administrator\Cookies
D:\Dokumente und Einstellungen\Default User\Cookies

Lade den EasyCleaner runter.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
nach jeder Sitzung im Netz anwenden.)

Lass den EasyCleaner laufen
klicke auf die einzelnen Abbildungen (nicht auf Duplikate), dann auf 'Suche' und wenn der Scan zu ende ist auf 'Lösche'. Mach das am besten mit allen Abbildungen, ausser mit der Funktion für Duplikate, um deinen Rechner von überflussigen Dateien und Registry-Einträgen zu reinigen und Spyware keine Chance zu geben auf diese Weise auf deinem System Fuss zu fassen.

nachdem du das alles gemacht hast, bitt ein neues HJT-Logfile erstellen und posten.

[schnuffy1de]

Hi

Muß ein update auf SP2 unbedingt sein?
ich habe es wieder runtergeschmissen, da ich nur probleme damit hatte...

[Ruby]

Hallo Schnuffy1de

ohne das SP2 hat dein Betriebssystem Sicherheitslücken.
Es wird immer wieder Malware eindringen.
Sowohl dein BS als auch dein Browser sind veraltet.
Damit ist es verlorene Zeit, dein System zu reinigen.
Du wirst einer unserer Dauergäste, allerdings nur wenn du jemanden findest, der bereit ist, immer wieder das Selbe zu machen.

[schnuffy1de]

dauergast?
mhhhh, ne danke

dank prob ich das nochmal mit dem sp2
schönen dank

[schnuffy1de]

so

hi, wußte gar net das das so schlimm ist wenn man nicht alle updates drauf hat. sorry!

so, habe alles gelöscht
und nun das neue hjt-log

Code:

Logfile of HijackThis v1.99.1
Scan saved at 14:04:11, on 13.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
F:\programme\Schutz\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\ScsiAccess.EXE
F:\programme\Brenner\Alc\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] F:\programme\Schutz\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: F:\PROGRA~1\Schutz\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - F:\programme\Schutz\Outpost Firewall\outpost.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\programme\Brenner\Alc\Alcohol 120\StarWind\StarWindService.exe

mfg


p.s. nun tut irgendwie mein firefox nicht mehr.

[Ruby]

Hallo Schnuffy1de

dein System sieht jetzt sauber aus.
Lade bitte die neueste Version des Firefox runter, konfiguriere ihn entsprechend einer der hier gegebenen Anleitungen.

Gibt es noch Probleme?

[schnuffy1de]

Hi

erstmal schönen dank für die mehr als ausführliche hilfe.
leider tut mein firefox (trotz neuinstallation) nicht.
im internet bleiben kann ich nun wenigstens so lange ich will, aber wenn ich was runterlade bricht der download irgendwie ab. ich kann nicht mehr surfen usw.
dann bleibt mir nur verbindung trennen, neue verbindung herstellen . dann klappt es wieder, bis ich was downloaden möchte
habe auch schonmal die verbindung komplett gelöscht und eine neue verbindung erzeugt. klappt leider auch nicht