Seltsame Dinge geschehen, benötige kompetente Hilfe

  • Hallo Experten,
    bin der Verzweiflung nahe, am Montag früh muss ich ein wichtiges Projekt abliefern - aber statt daran zu arbeiten bin ich seit etlichen Stunden damit beschäftigt die nachstehend beschriebenen Probleme zu lösen. Wenn alles nichts hilft werde ich morgen zusehen müssen, wo ich nen Rechenschieber und einen Karteikasten herbekomme...


    Problem:
    Vor zwei Tagen kam ich seltsamerweise nicht online und habe nach langem checken herausgefunden, dass fälschlicherweise ein Proxy im Browsersetup eingetragen war. Nach Umstellung auf "Kein Proxy" funktioniert der Zugang wieder, allerdings nur mit Firefox, IE6.0 gibt stets Fehler "Server oder DNS nicht gefunden".
    Weitere Phänomene:
    •Auf einer für mich existenziell wichtigen Website (fotolia.de) kann ich keine Flashuploads durchführen, keine Fehlermeldung, passiert einfach nix.
    •ANTIVIR Premium: es läuft nur der Guard, der MailGuard und der WebGuard lassen sich nicht starten
    Meine Massnahmen:
    Nachdem ich mich hier bei PPF eingelesen habe den RegistryBooster erworben und 244 Fehler erhalten - aber die Registrierung hat zunächst nicht geklappt weil er den Server nicht fand. Dann Malwarebytes installiert und die gefundenen Einträge gelöscht. Danach funktionierte zumindest der RegistryBooster und dieser hat alle Fehler gelöscht. Die beiden o.g. Probleme existieren jedoch weiterhin.


    Wäre toll wenn sich jemand meines Problems annimmt und mir nen Tipp zur Lösung gibt bzw. die nachstehenden Logfiles mal checkt.


    Schönen Gruß,
    Stefan, Berlin
    -------------------------------------------------------------------


    Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes


    Datenbank Version: 5687


    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512


    06.02.2011 04:46:36
    mbam-log-2011-02-06 (04-46-36).txt


    Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
    Durchsuchte Objekte: 265393
    Laufzeit: 41 Minute(n), 33 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 2
    Infizierte Registrierungswerte: 2
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 5


    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportMgmtService.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportService.exe (Security.Hijack) -> Quarantined and deleted successfully.


    Infizierte Registrierungswerte:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.


    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateien:
    c:\dokumente und einstellungen\xxx\anwendungsdaten\Uwtuce\vuyqq.exe (Trojan.Zbot) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{9f815d42-d254-4ae5-9908-f7bcad474e69}\RP358\A0050717.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{9f815d42-d254-4ae5-9908-f7bcad474e69}\RP359\A0051715.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{9f815d42-d254-4ae5-9908-f7bcad474e69}\RP359\A0051717.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\dokumente und einstellungen\all users\favoriten\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.


    ----------------------------------------------------------------------


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 04:58:17, on 06.02.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo,



    Schritt 1
    Deinstaliere Ad-Aware da es die Bereinigung stört. Starte den Pc neu.


    Schritt 2
    Systemsäuberung mit Ccleaner
    Download: http://www.paules-pc-forum.de/…ner-systemsaeuberung.html
    Bitte an die Anleitung halten und abarbeiten. Außerdem möchte ich einen Einblick in deine Installieren Programme haben. Schreibe jeweils hinter jedes Programm notwendig (wenn es häufig verwendet wird), unbekannt (wenn es dir unbekannt ist), unnötig (wenn es nicht mehr benötigt wird)

    • Öffne Ccleaner
    • Reiter Extras auswählen
    • Reiter Programme Deinstallieren auswählen
    • Unten rechts auf Als Textdatei speichern...



    Schritt 3
    Combofix
    Download: Combofix

    • Speicher die Combofix.exe auf dem Desktop und führe sie aus. (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
    • Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
    • Doppelklick auf die Combofix.exe und befolge die Anweisungen
    • Es ist möglich, dass der PC während der Bereinigung neustartet.
    • Nach dem Neustart erscheint eine Textdatei. Diesen Inhalt komplett in deinem Beitrag kopieren.
    • Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.



  • Hi Leo,


    Schritt 1 ok


    Schritt 2 ok, log nachstehend


    Schritt 3 MS-Wiederherstellungskonsole wurde nachinstalliert(?), ok, log nachstehend


    ----------------------------------------------------------------------


    CCleaner_progs:




    Gruß Stefan

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo,


    treten die oben genanten Probleme noch auf?


    Eingie Programme von dir sind stark veraltet! -> Weitere Anweisungen folgen.



    Schritt 1
    Eset Online Scanner

    Bitte an diese Anleitung halten. Alle Funde löschen und Report posten.

    Zitat


    Schritt 2

    OTL
    Download: http://oldtimer.geekstogo.com/OTL.exe


    1. Doppelklick auf die OTL.exe (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
    2. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
    3. Hake an "scan all users"
    4. Unter "Extra Registry wähle:
    "Use Safelist" "LOP Check" "Purity Check"
    5. Kopiere in die Textbox:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    ws2ifsl.sys
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    /md5stop
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    CREATERESTOREPOINT


    6. Klicke "Scan"
    7. Es werden 2 Reporte erstellt:
    OTL.Txt sowie Extras.Txt
    Bitte beide Logs Posten!

  • Hi Leo,
    ...ja - die Probleme bestehen momentan leider weiterhin.


    Schritt 1
    Eset Online Scanner
    Im ersten Fenster nach Firefox-Addon-Installation kommt "Updates funktionieren nicht. Ist ein Proxy eingerichtet?" Um weiter zu kommen musste ich "Benutzereinstellungen für Proxy verwenden" anhakeln. Denke das ist für mein Problem relevant. Im folgenden Fenster Computer-Prüfeinstellungen habe ich es wieder abgehakt, Scanprozess lief dann durch. Quarantänefiles hab ich nicht gelöscht, Eset nicht deinstalliert.


    Log:
    ESETSmartInstaller@High as downloader log:
    Can not open internetESETSmartInstaller@High as downloader log:
    Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
    Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
    Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
    Can not open internet# version=7
    # OnlineScannerApp.exe=1.0.0.1
    # OnlineScanner.ocx=1.0.0.6419
    # api_version=3.0.2
    # EOSSerial=d8a03ca2293d2a4ca3a86261950e8b79
    # end=finished
    # remove_checked=true
    # archives_checked=false
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2011-02-06 02:21:35
    # local_time=2011-02-06 03:21:35 (+0100, Westeuropäische Normalzeit)
    # country="Germany"
    # lang=1031
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=512 16777215 100 0 0 0 0 0
    # compatibility_mode=1792 16777195 100 0 0 0 0 0
    # compatibility_mode=8192 67108863 100 0 3953 3953 0 0
    # scanned=117864
    # found=17
    # cleaned=17
    # scan_time=1470

    Einmal editiert, zuletzt von Volkmar ()

  • OTL Extras logfile created on: 06.02.2011 15:34:26 - Run 1
    OTL by OldTimer - Version 3.2.20.6 Folder = F:\DOWNLOADS
    Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 6.0.2900.5512)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy


    3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 79,00% Memory free
    5,00 Gb Paging File | 5,00 Gb Available in Paging File | 89,00% Paging File free
    Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]



    Gruß Stefan

    Einmal editiert, zuletzt von Volkmar ()

  • Nachtrag:
    Im IE war "Proxyserver verwenden" angehakelt, obwohl ich dies davor schon kontrolliert hatte und mir sicher bin, dass es auf 'kein Proxy verwenden' stand. Habs also abgehakt und siehe da IE geht online, kann auf fotolia flashuploaden, selbiges beim Firefox. Des war ja mein Hauptproblem. Die Macke mit AntiVir besteht nach wie vor. Sollte ich vielleicht mal komplett neu installieren?
    Auf jeden Fall hast Du mir schon ganz super geholfen - dafür und für die geopferte Sonntagszeit einen ganz ganz lieben Dank.


    Sollte Dir an den geposteten Logs noch etwas einfallen wäre es toll wenn wir das gelegentlich nochmal angehen...will damit nur sagen, dass die Relevanz meines Problems durch Deinen Einsatz stark gesunken ist.


    Gruß Stefan

  • Hallo,


    Zitat

    Die Macke mit AntiVir besteht nach wie vor. Sollte ich vielleicht mal komplett neu installieren?


    Du meinst damit Avira neu Installieren? Ja das würde ich dir raten.


    Zitat


    Sollte Dir an den geposteten Logs noch etwas einfallen wäre es toll wenn wir das gelegentlich nochmal angehen...will damit nur sagen, dass die Relevanz meines Problems durch Deinen Einsatz stark gesunken ist.


    Ich brauch etwas Zeit um den OTl Logfile auszuwerten. Solang du ersteinmal ohne Störungen weiter Arbeiten kannst ist es gut. Wenn du dein Projekt abgeliefert hast machen wir weiter. Denn es ist noch einiges zu tun. Nicht das du wieder vor einer Projektabgabe in solche schwierigkeiten geräts;).
    Um dein Proxy Problem werd ich mich auch noch kümmern...


    Als reine Vorsichtsmahsnahme unterlasse zur Zeit Online Banking und Co.
    Meld dich ob Avira nach der Reinstallation wieder läuft. Am besten mit Avira eine Vollsuche durchführen.


    Wenn du weitere fragen hast immer raus damit;)


    Was ist mit RegistryBooster? Brauchst du das unbedingt? CCleaner reicht alle male aus und ist kostenlos.

  • Hi Leo,


    ...zuerst: Projektabgabe hat geklappt und ist auch sehr erfolgreich gewesen.
    Dafür erst nochmal vielen Dank, dass Du mir dies möglich gemacht hast.


    Avira hab ich erfolgreich neu installiert und alle Guards liessen sich dann aktivieren, der Vollscan brachte 0 Funde.


    Den RegistryBooster werd ich dann wieder entfernen wenn CCleaner genügt.


    Ansonsten stehe ich bereit für weitere Instruktionen, eilt aber wie gesagt nicht!


    Bis die Tage,
    Gruß aus Berlin
    Stefan

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!