IE & Firefox funktionieren nach 3 Min nicht mehr - Verbindung besteht aber!

#0
19.05.2005, 12:57
...neu hier

Beiträge: 4
#1 Hallo zusammen!
Mein Problem ist, dass sowohl mein Internet Explorer als auch Mozilla Firefox nach ca 3 Minuten keine Seite mehr anzeigen! Angefangene Downloads werden aber beendet - die Verbindung steht also scheinbar noch!
Hab AVGuard, Spybot und CWShredder ohne Ergebnis drüber laufen lassen und mit Hijackthis (Logfile) kenn ich mich nicht aus.
Da mein Internetzugang wie ihr seht beeinträchtigt ist hab ich nicht mehr die Möglichkeit im Minutentakt zu antworten - ich würde mich dennoch über jegliche Hilfe freuen!

Danke!
Seitenanfang Seitenende
19.05.2005, 23:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@taxischeria

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

Lade: rkfiles.zip

http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2005, 13:27
...neu hier

Themenstarter

Beiträge: 4
#3 Hier die Hijack.this Logfile!
Was ist mit dieser Zeile:
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Ist das nur ne zweite Quelle? Denn im abgesicherten Modus komm ich wohl nicht ins Internet!

Logfile of HijackThis v1.98.0
Scan saved at 13:20:36, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\system32\uzzuodhq.exe
C:\PROGRA~1\ICQ\ICQNet.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SpySubstract\SpySub.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Downloads\Viren,Trojaner,etc\HijackThis-1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comunio.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/redirect
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Internet] uzzuodhq.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Internet] uzzuodhq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [Internet] uzzuodhq.exe
O4 - HKCU\..\RunServices: [Internet] uzzuodhq.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubstract\SpySub.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com


Die Seite "http://www.atribune.org/downloads/DllCompare.exe" kann nicht gefunden werden

Nach Ausführen von rkfiles.bat im abgesicherten Modus erscheint zwischendurch 2mal "Pfad wurde nicht gefunden" oder so ähnlich - ist das normal?

Es entstand aber trotzdem ne Logfile:

C:\Dokumente und Einstellungen\Manuel\Desktop\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

Danke schön!
Mfg, taxischeria
Dieser Beitrag wurde am 25.05.2005 um 14:05 Uhr von taxischeria editiert.
Seitenanfang Seitenende
25.05.2005, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Internet] uzzuodhq.exe
O4 - HKLM\..\RunServices: [Internet] uzzuodhq.exe
O4 - HKCU\..\Run: [Internet] uzzuodhq.exe
O4 - HKCU\..\RunServices: [Internet] uzzuodhq.exe

PC neustarten

loeschen
: (am besten im abgesicherten Modus)
C:\WINDOWS\system32\uzzuodhq.exe

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:


•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt oder mwav.log und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2005, 17:10
...neu hier

Themenstarter

Beiträge: 4
#5 Zeilen mit "infected":
Wed May 25 15:33:53 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Wed May 25 15:35:05 2005 => File C:\WINDOWS\system32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus! Action Taken: No Action Taken.

Wed May 25 15:40:12 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Wed May 25 15:40:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0038385.EXE.VIR

Wed May 25 15:40:12 2005 => File C:\Programme\AVPersonal\INFECTED\A0038385.EXE.VIR infected by "Backdoor.Win32.Agobot.oz" Virus! Action Taken: No Action Taken.

Wed May 25 15:40:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\POPCAPLOADER.DLL.VIR

Wed May 25 15:40:12 2005 => File C:\Programme\AVPersonal\INFECTED\POPCAPLOADER.DLL.VIR tagged as not-a-virus:RiskWare.Downloader.PopCap.a. No Action Taken.

Wed May 25 15:40:13 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\winmes.VIR

Wed May 25 15:40:13 2005 => File C:\Programme\AVPersonal\INFECTED\winmes.VIR infected by "Backdoor.Win32.Rbot.jt" Virus! Action Taken: No Action Taken.

Wed May 25 15:40:13 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\winmes.VIR00

Wed May 25 15:40:13 2005 => File C:\Programme\AVPersonal\INFECTED\winmes.VIR00 infected by "Backdoor.Win32.Rbot.jt" Virus! Action Taken: No Action Taken.

Wed May 25 15:55:24 2005 => File C:\System Volume Information\_restore{C0D23E3B-F495-48F2-A473-3A74CB48C66E}\RP29\A0013652.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.

Wed May 25 16:18:38 2005 => File C:\WINDOWS\system32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus! Action Taken: No Action Taken.

Wed May 25 16:45:03 2005 => File C:\WINDOWS\system32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus! Action Taken: No Action Taken.

Wed May 25 16:49:31 2005 => Total Disinfected Files: 0



Zusammenfassung:

Wed May 25 16:49:31 2005 => Total Objects Scanned: 83624
Wed May 25 16:49:31 2005 => Total Virus(es) Found: 9
Wed May 25 16:49:31 2005 => Total Disinfected Files: 0
Wed May 25 16:49:31 2005 => Total Files Renamed: 0
Wed May 25 16:49:31 2005 => Total Deleted Objects: 0
Wed May 25 16:49:31 2005 => Total Errors: 60
Wed May 25 16:49:31 2005 => Time Elapsed: 01:16:35
Wed May 25 16:49:31 2005 => Virus Database Date: 2005/05/23
Wed May 25 16:49:31 2005 => Virus Database Count: 131417

Wed May 25 16:49:31 2005 => Scan Completed.
Seitenanfang Seitenende
25.05.2005, 17:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Loesche:

C:\WINDOWS\system32\.pif

Deaktivieren Wiederherstellung--> dann aktiviere sie wieder
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

mache zwei oder drei Onlinescans (vor allem mit panda)+ berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2005, 14:18
...neu hier

Themenstarter

Beiträge: 4
#7 Ist das wichtig was du als letztes geschrieben hast?
Hab meine Explorer mal ausprobiert und sie funktionieren wieder!

Danke schön!!! ;)
Seitenanfang Seitenende
01.06.2005, 15:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Ja, es ist superwichtig, dass du genau das machst, was ich geschrieben hatte ;)

Zitat

Sabina postete
Loesche:

C:\WINDOWS\system32\.pif

Deaktivieren Wiederherstellung--> dann aktiviere sie wieder
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

mache zwei oder drei Onlinescans (vor allem mit panda)+ berichte
http://virus-protect.org/onlinescan.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: