Firewall stürzt ab |
||
---|---|---|
#0
| ||
01.07.2005, 18:19
Member
Beiträge: 39 |
||
|
||
01.07.2005, 21:43
Moderator
Beiträge: 6466 |
#2
Die Datei syst32xwinsp.exe mal unter http://virusscan.jotti.org/de/ scannen. Ergebnis = ?
Generell könnte es sein, dass die Firewalls sich mit Etwas nicht vertragen, was noch bei Systemstart geladen wird. Das könnte ein Virenscanner sein (hat der kaspersky irgendwelhe Funktionen auf Netzwerkebene ?) __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
01.07.2005, 21:54
Member
Themenstarter Beiträge: 39 |
#3
mein TaskManager lässt sich auch nicht öffnen
Anwendungen hängen sich zum Teil auf ich vermute ein Backdoor aber welches? ich finde nichts doch hier scheint es zu sein: Auslastung: 0% 100% Datei: syst32xwinsp.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: ARMADILLO AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web BackDoor.Optix.13 gefunden F-Prot Antivirus W32/Backdoor.BGY gefunden Fortinet Thread gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 BDS.Sysxt gefunden und das hier: Datei: syst32loadsp.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: ARMADILLO AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web BackDoor.Optix.13 gefunden F-Prot Antivirus W32/Backdoor.BGY gefunden Fortinet Thread gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 BDS.Sysxt gefunden |
|
|
||
01.07.2005, 23:13
Moderator
Beiträge: 6466 |
#4
Komischer Zufall ? Denke nein- viel mehr, dass die meisten Scanner mit dem packprogramm nicht klar kommen.
Kannst du mir die Dateien mal gezipt auf kontakt@freemail.lt schicken ? Und fixe mal alle Einträge bezüglich dieser Dateien im Log mit hijackthis. => dann Neustart und Log wieder kotrollieren. Arbeite soweing wie möglich am Rechner, nur online gehen wenn nötig !! Fast gleich gelagerter Fall, was meine Annahme bestätigt: http://www.trojaner-board.de/archive/index.php/t-8052.html __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
02.07.2005, 08:49
Member
Themenstarter Beiträge: 39 |
#5
ich bin so blöd und hab die beiden Dateien mit Kill gelöscht
tja nun geht fast nichts mehr bzw. nichts mehr auf laufwerk C bis auf dass, das ich die Net verbindung zum glück starten konnte Problem: C:\ALLES AUF LAUFWERK C.exe konnte nicht gefunden werden. Stellen Sie sicher, dass sie den namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Date zu suchen. Internet Explorer konnte ich über Favoriten Backup von D:/ starten kann ich formatieren irgendwie umgehen? |
|
|
||
02.07.2005, 09:52
Member
Themenstarter Beiträge: 39 |
#6
ich kann auf dateien zugreifen aber nur mit rechter maus taste und dann ausführen als benutzer ... so kann ich ( fast ) alles starten
Dieser Beitrag wurde am 02.07.2005 um 09:56 Uhr von Angelo23 editiert.
|
|
|
||
02.07.2005, 20:54
Moderator
Beiträge: 6466 |
#7
Zitat hab die beiden Dateien mit Kill gelöschtDas fixen der Einträge hätte es vermutlich aucherst mal getan. Schwer zu sagen, wo die neuerlichen Probleme herrühren. Könnte vom mustmaßlichen Backdoor stammen, von dem ich mir fast sicher bin, dass es einer war. Vielleicht ist hattest Du auch schon Gäste auf dem Rechner. Also der kürzeste und vorallem sicherste Weg ist bestimmt - neu aufstzen. S.a : http://board.protecus.de/t13019.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
02.07.2005, 23:43
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Angelo23
mich wuerde der Backdoor interessieren, falls du noch nicht formatiert hast: Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.07.2005, 09:04
Member
Beiträge: 228 |
#9
moin zusammen,
ist es möglich das system mit der wiederherstellungsroutine auf den vorherige stand zu bringen, also ich meine jetzt auch in die infizierte variante! mit dem vermutlichen backdoor/troijaner, oder ist das proggi dazu schon gelöscht worden mit dem kill programm?. (nur mal soone idee) mfg fake __________ Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama) |
|
|
||
04.07.2005, 12:22
Member
Themenstarter Beiträge: 39 |
#10
Hallo
ich musste formatieren .. blieb mir leider nichts anderes übrig :-( aber ein Lob an das Forum hier wird einem super geholfen |
|
|
||
04.07.2005, 19:20
Moderator
Beiträge: 6466 |
||
|
||
04.07.2005, 19:33
Member
Themenstarter Beiträge: 39 |
#12
jetzt habe ich wieder ein problem
ich wollte c retten habe zwischenzeitlich nich auf H Windows XP installiert wollte nun c löschen und da spielt mir H ein streich .. die boot.ini war defekt auf einmal wie kann ich C formatieren ohne das H beaeinträchtigt wird H soll nur starten und C leer sein bitte um unterstüzung P:S das erhalte ich auch immer die angegeben "datei ist ein registrierungsdatei - registrierungsdateien können nur innerhalb des registrierungseditors importiert werden" Dieser Beitrag wurde am 04.07.2005 um 19:49 Uhr von Angelo23 editiert.
|
|
|
||
04.07.2005, 20:18
Moderator
Beiträge: 6466 |
#13
Möglich, dass auf C in der Boot.ini ein Eintrag hinterlegt wird, deswegen kannst du möglicherweise nicht einfach platt machen, ohne das H darunter leidet.
Ist aber auch ein umständliches Vorgehen, wenn Du C früher oder später sowieso formatieren willst. 1. Packe die zu sichernden Daten irgendwo außerhalb von C hin. 2. Lösche C und Partition im XP-Setup 3. Erstelle C-Partition im XP-Setup neu, formatiere C (NTFS), installiere nach C Fertig (H kannst Du später um Festplattenmanager in XP wieder formatieren) __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
04.07.2005, 20:26
Member
Themenstarter Beiträge: 39 |
#14
ich würde aber gerne H schon so behalten da ich schon viel drauf habe usw.
kann ich einfach partition C löschen ? und dann neu hinzufügen? |
|
|
||
meine Firewall wurde mit windows nicht mehr mitgeladen
habs manuell angemacht - geht zwar an aber verschwindet gleich wieder (sygate ) bei Zone Labs das gleiche Problem
an was kann das liegen?
hier mein LOG:
Logfile of HijackThis v1.98.2
Scan saved at 18:18:16, on 01.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\RAM Idle\RAM_XP.exe
C:\windows\system32\syst32xwinsp.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\NoPopUp 2003\nopopup.exe
D:\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle\RAM_XP.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [syst32inwini] C:\windows\system32\syst32xwinsp.exe
O4 - HKLM\..\RunServices: [syst32inwini] C:\windows\system32\syst32xwinsp.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - (no file)
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - (no file)
O15 - Trusted Zone: http://www.computerbase.de
O15 - Trusted Zone: http://signin.ebay.de
O15 - Trusted Zone: http://www.ebay.de
O15 - Trusted Zone: http://www.praktica.de
O15 - Trusted Zone: http://www.vcdhelper.com
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098002938437
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA7EA46-C161-4384-B6E8-A48956AB8F40}: NameServer = 195.50.140.250 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{4FA7EA46-C161-4384-B6E8-A48956AB8F40}: NameServer = 195.50.140.250 145.253.2.203