Firewall stürzt ab

#0
01.07.2005, 18:19
Member

Beiträge: 39
#1 Tach

meine Firewall wurde mit windows nicht mehr mitgeladen
habs manuell angemacht - geht zwar an aber verschwindet gleich wieder (sygate ) bei Zone Labs das gleiche Problem
an was kann das liegen?
hier mein LOG:

Logfile of HijackThis v1.98.2
Scan saved at 18:18:16, on 01.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\RAM Idle\RAM_XP.exe
C:\windows\system32\syst32xwinsp.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\NoPopUp 2003\nopopup.exe
D:\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle\RAM_XP.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [syst32inwini] C:\windows\system32\syst32xwinsp.exe
O4 - HKLM\..\RunServices: [syst32inwini] C:\windows\system32\syst32xwinsp.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - (no file)
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - (no file)
O15 - Trusted Zone: http://www.computerbase.de
O15 - Trusted Zone: http://signin.ebay.de
O15 - Trusted Zone: http://www.ebay.de
O15 - Trusted Zone: http://www.praktica.de
O15 - Trusted Zone: http://www.vcdhelper.com
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098002938437
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA7EA46-C161-4384-B6E8-A48956AB8F40}: NameServer = 195.50.140.250 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{4FA7EA46-C161-4384-B6E8-A48956AB8F40}: NameServer = 195.50.140.250 145.253.2.203
Seitenanfang Seitenende
01.07.2005, 21:43
Moderator
Avatar joschi

Beiträge: 6466
#2 Die Datei syst32xwinsp.exe mal unter http://virusscan.jotti.org/de/ scannen. Ergebnis = ?
Generell könnte es sein, dass die Firewalls sich mit Etwas nicht vertragen, was noch bei Systemstart geladen wird. Das könnte ein Virenscanner sein (hat der kaspersky irgendwelhe Funktionen auf Netzwerkebene ?)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
01.07.2005, 21:54
Member

Themenstarter

Beiträge: 39
#3 mein TaskManager lässt sich auch nicht öffnen
Anwendungen hängen sich zum Teil auf

ich vermute ein Backdoor aber welches? ich finde nichts
doch hier scheint es zu sein:
Auslastung: 0% 100%

Datei: syst32xwinsp.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: ARMADILLO

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web BackDoor.Optix.13 gefunden
F-Prot Antivirus W32/Backdoor.BGY gefunden
Fortinet Thread gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 BDS.Sysxt gefunden

und das hier:
Datei: syst32loadsp.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: ARMADILLO

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web BackDoor.Optix.13 gefunden
F-Prot Antivirus W32/Backdoor.BGY gefunden
Fortinet Thread gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 BDS.Sysxt gefunden
Seitenanfang Seitenende
01.07.2005, 23:13
Moderator
Avatar joschi

Beiträge: 6466
#4 Komischer Zufall ? Denke nein- viel mehr, dass die meisten Scanner mit dem packprogramm nicht klar kommen.

Kannst du mir die Dateien mal gezipt auf kontakt@freemail.lt schicken ?
Und fixe mal alle Einträge bezüglich dieser Dateien im Log mit hijackthis. => dann Neustart und Log wieder kotrollieren.
Arbeite soweing wie möglich am Rechner, nur online gehen wenn nötig !!

Fast gleich gelagerter Fall, was meine Annahme bestätigt:
http://www.trojaner-board.de/archive/index.php/t-8052.html
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.07.2005, 08:49
Member

Themenstarter

Beiträge: 39
#5 ich bin so blöd und hab die beiden Dateien mit Kill gelöscht
tja nun geht fast nichts mehr bzw. nichts mehr auf laufwerk C bis auf dass, das ich die Net verbindung zum glück starten konnte
Problem:
C:\ALLES AUF LAUFWERK C.exe konnte nicht gefunden werden. Stellen Sie sicher, dass sie den namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Date zu suchen.
Internet Explorer konnte ich über Favoriten Backup von D:/ starten



kann ich formatieren irgendwie umgehen?
Seitenanfang Seitenende
02.07.2005, 09:52
Member

Themenstarter

Beiträge: 39
#6 ich kann auf dateien zugreifen aber nur mit rechter maus taste und dann ausführen als benutzer ... so kann ich ( fast ) alles starten
Dieser Beitrag wurde am 02.07.2005 um 09:56 Uhr von Angelo23 editiert.
Seitenanfang Seitenende
02.07.2005, 20:54
Moderator
Avatar joschi

Beiträge: 6466
#7

Zitat

hab die beiden Dateien mit Kill gelöscht
Das fixen der Einträge hätte es vermutlich aucherst mal getan.

Schwer zu sagen, wo die neuerlichen Probleme herrühren. Könnte vom mustmaßlichen Backdoor stammen, von dem ich mir fast sicher bin, dass es einer war.
Vielleicht ist hattest Du auch schon Gäste auf dem Rechner.
Also der kürzeste und vorallem sicherste Weg ist bestimmt - neu aufstzen.
S.a : http://board.protecus.de/t13019.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.07.2005, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@Angelo23

mich wuerde der Backdoor interessieren, falls du noch nicht formatiert hast:

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 09:04
Member

Beiträge: 228
#9 moin zusammen,

ist es möglich das system mit der wiederherstellungsroutine auf den vorherige stand zu bringen, also ich meine jetzt auch in die infizierte variante! mit dem vermutlichen backdoor/troijaner, oder ist das proggi dazu schon gelöscht worden mit dem kill programm?. (nur mal soone idee)

mfg fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)
Seitenanfang Seitenende
04.07.2005, 12:22
Member

Themenstarter

Beiträge: 39
#10 Hallo

ich musste formatieren .. blieb mir leider nichts anderes übrig :-(

aber ein Lob an das Forum hier wird einem super geholfen
Seitenanfang Seitenende
04.07.2005, 19:20
Moderator
Avatar joschi

Beiträge: 6466
#11

Zitat

ich musste formatieren .. blieb mir leider nichts anderes übrig
Auf das es lange hält ;) .....
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
04.07.2005, 19:33
Member

Themenstarter

Beiträge: 39
#12 jetzt habe ich wieder ein problem
ich wollte c retten habe zwischenzeitlich nich auf H Windows XP installiert
wollte nun c löschen und da spielt mir H ein streich .. die boot.ini war defekt auf einmal

wie kann ich C formatieren ohne das H beaeinträchtigt wird
H soll nur starten und C leer sein

bitte um unterstüzung

P:S das erhalte ich auch immer die angegeben
"datei ist ein registrierungsdatei - registrierungsdateien können nur innerhalb des registrierungseditors importiert werden"
Dieser Beitrag wurde am 04.07.2005 um 19:49 Uhr von Angelo23 editiert.
Seitenanfang Seitenende
04.07.2005, 20:18
Moderator
Avatar joschi

Beiträge: 6466
#13 Möglich, dass auf C in der Boot.ini ein Eintrag hinterlegt wird, deswegen kannst du möglicherweise nicht einfach platt machen, ohne das H darunter leidet.

Ist aber auch ein umständliches Vorgehen, wenn Du C früher oder später sowieso formatieren willst.
1. Packe die zu sichernden Daten irgendwo außerhalb von C hin.
2. Lösche C und Partition im XP-Setup
3. Erstelle C-Partition im XP-Setup neu, formatiere C (NTFS), installiere nach C

Fertig
(H kannst Du später um Festplattenmanager in XP wieder formatieren)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
04.07.2005, 20:26
Member

Themenstarter

Beiträge: 39
#14 ich würde aber gerne H schon so behalten da ich schon viel drauf habe usw.

kann ich einfach partition C löschen ? und dann neu hinzufügen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »