Internetverbindung und Firewall defekt nach Virenbefall |
||
---|---|---|
#0
| ||
24.09.2010, 18:26
Member
Beiträge: 12 |
||
|
||
25.09.2010, 14:33
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Die Programme musst Du auf dem anderen PC laden und dann auf den infizierten mittels Stick bringen. Schritt 1 CD-Emulatoren mit DeFogger deaktivieren Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop. • Starte das Tool mit Doppelklick. Vista User: Bitte mit Rechtsklick "als Administrator starten". • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren. • Wenn der Scan beendet wurde ( Finished ), klicke auf OK. • Defogger fordert nun zum Neustart auf. Bestätige dies mit OK. • DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort. Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button. Schritt 2 Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Schritt 3 Proxy deaktivieren IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen. Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken. Schritt 4 Rkill anwenden • Download rkill.com auf den Desktop Desktop. • Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)… • Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen. • Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“. • Bitte poste mir das Logfile. Schritt 5 Downloade Malwarebytes Anti-Malware (ca. 2 MB) von diesen Downloadspiegel: Malwarebytes • Installiere das Programm in den vorgegebenen Pfad. • Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten. • Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB). • Aktiviere "Komplett Scan durchführen" => Scan. • Wähle alle verfügbaren Laufwerke aus und starte den Scan. • Wenn der Scan beendet ist, klicke auf "Zeige Resultate". • Versichere Dich, dass alle Funde markiert sind und drücke "Löschen". • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread. • Nachträglich kannst du den Bericht unter "Scan-Berichte" finden. • Berichte, wie der Rechner nun läuft. Hier findest Du eine ausführliche und bebilderte Anleitung. |
|
|
||
26.09.2010, 14:52
Member
Themenstarter Beiträge: 12 |
#3
Hallo,
vielen Dank schonmal für deine Antwort! Habe alles so gemacht, wie du es beschrieben hast. Ich beschreibe einfach mal, was mir aufgefallen ist, weil ich nicht weiß, was davon wichtig sein könnte: 1. defogger hat nicht von sich aus zu einem Neustart aufgefordert. Habe trotzdem neu gestartet und das Logfile war da. 2. rkill wollte irgendwie nicht. 3. Malwarebytes Anti-Malware konnte ich nicht updaten, da ja mein Internet nicht funktioniert. Ansonsten läuft mein Rechner wie vorher. Eigentlich sehr stabil, nur mein Internet und die Firewall funktionieren nicht. Außerdem macht er eine lange Pause beim hochfahren, während das "Willkommen-Bild" angezeigt wird. Hier die Logs: 1. defogger Code defogger_disable by jpshortstuff (23.02.10.1) 2. rkill Code This log file is located at C:\rkill.log. 3. Malwarebytes Code Malwarebytes' Anti-Malware 1.46 Vielen Dank für Deine Hilfe! |
|
|
||
26.09.2010, 21:50
Moderator
Beiträge: 5694 |
#4
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • BleepingComputer • ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören. • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread. |
|
|
||
27.09.2010, 11:00
Member
Themenstarter Beiträge: 12 |
#5
Hallo,
habe das Programm runtergeladen und ausgeführt. Es kam dann aber die Fehlermeldung, dass ich die Microsoft-Wiederherstellungskonsole nicht installiert habe. Ich konnte sie dann auch nicht über Combofix runterladen, weil meine Internetverbindung nicht funktioniert. Den Suchlauf habe ich dann trotzdem machen lassen. Habe dann im Internet nach einer Lösung gesucht und wollte sie über die XP-CD installieren. Da kam dann die Fehlermeldung, dass die installierte Version neuer sei, als die auf der CD. Danach kam trotzdem die Frage, ob ich es installieren möchte, was ich dann auch getan habe. Beim Neustart konnte ich dann auch beim booten auswählen, ob ich Windows Normal oder die Wiederherstellungskonsole starten möchte. Habe dann erstmal normal gestartet, dann kam wieder die Fehlermeldung bei Combofix. Habe dann beim nächsten Startversuch die Wiederherstellungskonsole gestartet, was auch funktioniert hat. Trotzdem die Fehlermeldung bei Combo-Fix. Hier trotzdem das Log von dem zweiten Suchlauf nach der vermeintlichen Installation der Wiederherstellunskonsole: Code
Danke schonmal! |
|
|
||
27.09.2010, 20:40
Moderator
Beiträge: 5694 |
#6
Combofix mit Skript laufen lassen
• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen! • Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt. Anwendung • Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument: Code File::• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist. . . • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint. Bitte füge es hier als Antwort ein. Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
|
|
||
27.09.2010, 21:17
Member
Themenstarter Beiträge: 12 |
#7
Hallo,
hier das Log: Code
|
|
|
||
27.09.2010, 22:09
Moderator
Beiträge: 5694 |
#8
Gehen wir einmal näher auf deine Internetverbindung ein. Also weder mit Kabel noch mit WLAN funktionierts?
Ping überprüfen start --> ausführen --> cmd (reinschreiben) --> OK Gib nun im dos fenster ipconfig ein. Hier findest Du Deine IP- Adresse. Gib nun ein ping, Deine IP- Adresse, Leerzeichen -t Beispiel: ping xx.xxx.xxx.xx -t Lass das einmal 10 min laufen, Ende mit strg +c Wieviel Pakete gingen verloren, oder braucht er manchmal mehr Zeit für ein Paket? |
|
|
||
28.09.2010, 20:31
Member
Themenstarter Beiträge: 12 |
#9
Hallo,
danke für deine schnelle Antwort. Ich habe kein WLAN und der PC erkennt nichtmal einen Unterschied, ob ein Kabel drin steckt oder nicht. Wenn ich versuche über DOS meine IP herauszufinden, so wie du es beschrieben hast, kommt direkt nach der Eingabe "ipconfig" die Fehlermeldung: "Windows-IP-Konfiguration. Ein interner Fehler ist aufgetreten: Die Anforderung wird nicht unterstützt. Soll ich vielleicht den Netzwerktreiber neu installieren? Meinst du denn mein System ist wieder so sauber, dass ich theoretisch wieder guten Gewissens ins Internet könnte? |
|
|
||
30.09.2010, 19:38
Moderator
Beiträge: 5694 |
#10
Also ich sehe keine Hinweise auf Malware. Da muss irgend ein Knopf in der Leitung sein. Ich könnte den Thread einmal verschieben in das Internet Forum. Danach würde ich gerne nochmals neue Logs sehen.
|
|
|
||
01.10.2010, 09:56
Member
Themenstarter Beiträge: 12 |
||
|
||
01.10.2010, 13:25
Moderator
Beiträge: 5694 |
#12
Beschreibe bitte nochmals genau die Internetprobleme und seit wann diese bestehen.
|
|
|
||
02.10.2010, 15:45
Member
Themenstarter Beiträge: 12 |
#13
Hallo,
seit einem Virenbefall funktioniert meine Firewall und meine Internetverbindung nicht mehr. Direkt nach dem Virenbefall funktionierte sie noch, aber nach verschiedenen Bereinigungen ging gar nichts mehr. Die Firewall kann ich auch nicht manuell einschalten, dann kommt die Fehlermeldung: "Der Dienst "Windows Firewall/Internet Connection Sharing (ICS)" konnte nicht gestartet werden." Mein Lan-Anschluss registriert nicht mal, ob überhaupt ein Kabel angeschlossen ist oder nicht. Ansonsten läuft mein System sehr stabil. Hier nochmal die Details zu den Virenproblemen: Letzten Samstag war ich im Internet unterwegs und auf einmal kam ein kurzer Bluescreen und der Rechner war aus. Beim erneuten hochfahren meldete sich Antivir. Er fand in der Datei tcpip.sys den "Virus" Win32/PatchedXD (oder so ähnlich, kann es leider nicht mehr nachvollziehen). Habe dann auch noch Antivir drüber laufen lassen. Der fand in derselben Datei den Virus TR/Rootkit.Gen3. Verschiedenen Anleitungen folgend, habe ich dann noch verschiedene Programme drüber laufen lassen. Im abgesicherten Modus wurde noch der Virus TR/Crypt.ZPACK.Gen3 gefunden (unter C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\1A4.tmp). Diese gennanten Funde konnten auch beseitigt werden. Ich hoffe ihr könnt mir helfen Vielen Dank! |
|
|
||
04.10.2010, 08:33
Member
Beiträge: 4730 |
#14
Du kannst es erstmal mit der Systemdatei-Reparatur ausprobieren:
Start -> Ausführen -> sfc /scannow Die XP-CD muss dazu eingelegt sein. Außerdem die Treiber für die Netzwerkkarte neu installieren. Falls das nicht hilft würde ich eine Reparaturinstallation von Windows in Betracht ziehen. Windows-CD einlegen und den PC davon starten. Als erstes die Option "Windows installieren" wählen (nicht die Reparatur über die Wiederherstellungskonsole). Das Windows-Setup sucht dann nach vorhandenen Installationen und bietet Dir dann die Möglichkeit zur Reparatur an. Du benötigst dazu eine Windows-CD mit integriertem SP3. Falls Du die nicht hast, musst Du sie selbst erstellen. Eine Anleitung findest Du hier: http://www.wintotal.de/artikel/artikel-2008/185.html __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
05.10.2010, 20:05
Member
Themenstarter Beiträge: 12 |
#15
Hallo,
danke für die Antwort. Habe die Systemdatei-Reperatur durchgeführt. Die ist einfach gelaufen und hat danach nichts angezeigt. Ist das normal? Habde dann die Ethernet-Treiber von meinem Mainboard neu installiert. Waren das die richtigen? Bisher hat sich leider nichts geändert. Bevor ich die Reperaturinstallation durchführe noch eine Fragen: Muss ich danach noch irgendwas anderes neu installieren oder sind danach irgendwelche Dateien weg? Habe Windows auf einer anderen Partition, als die meisten meiner Daten. Danke |
|
|
||
nach einem Virenbefall funktioniert meine Firewall nicht mehr und auf das Internet kann ich auch nicht zugreifen (schreibe von einem anderen Rechner). Ich schildere kurz den Ablauf wie es dazu kam und füge dann die geforderten Logfiles an:
Am Samstag war ich im Internet unterwegs und auf einmal kam ein kurzer Bluescreen und der Rechner war aus. Beim erneuten hochfahren meldete sich Antivir. Er fand in der Datei tcpip.sys den "Virus" Win32/PatchedXD (oder so ähnlich, kann es leider nicht mehr nachvollziehen). Habe dann auch noch Antivir drüber laufen lassen. Der fand in derselben Datei den Virus TR/Rootkit.Gen3. Verschiedenen Anleitungen folgend, habe ich dann noch verschiedene Programme drüber laufen lassen. Im abgesicherten Modus wurde noch der Virus TR/Crypt.ZPACK.Gen3 gefunden (unter C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\1A4.tmp). Diese gennanten Funde konnten auch beseitigt werden. Zumindest wurde in neueren Suchläufen nichts mehr gefunden.
Das System läuft seitdem auch stabil nur die Internetverbindung funktioniert nicht mehr und die Firewall kann nicht gestartet werden (Fehlermeldung: Der Dienst "Windows Firewall/Internet Connection Sharing (ICS)" konnte nicht gestartet werden.)
Ich habe dann auch schonmal GMER drüber laufen lassen und der hat immer was in der sptd.sys angezeigt, die ich daraufhin irgendwann gelöscht habe. Danach hat sich aber nichts verändert.
Mit Sicherheit wäre es das Beste einfach den Rechner neu aufzusetzen. Aus Zeitgründen würde ich das aber gerne vermeiden. Deswegen wäre ich sehr dankbar, wenn ihr mir helfen könntet und ich das Ganze vielleicht umgehen könnte
Hier die Logs:
1.OTL
Code
2. OTL Extras
Code
3. GMER
Code
Vielen Dank für eure Hilfe!