Windows 2000Pro: Kein Internetzugang mehr

Hast du vielleicht ungebetene Gäste im System? Scanne mal dein System im abgesicherten Modus nach Viren, Spyware etc.

Hier ist das Hijack-Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 18:42:37, on 30.01.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\ibmtools\aptezbtn\aptezbp.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Creative\ShareDLL\MEDIADET.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINNT\Mixer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\ibmtools\aptezbtn\rakusb.exe
C:\Programme\Spybot - Search & Destroy\SDFiles.exe
C:\unzipped\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {B8A7839C-51E8-4067-ADA3-CA74BABC1976} - (no file)
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe "Administrator"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)
O9 - Extra 'Tools' menuitem: GigaSize Toolbar - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.de/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130080560703
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6FE885E-3867-4169-B066-125FD38187AB}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AAV UpdateService - Unknown - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service - Unknown - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

Der Eintrag zu BlueSoleil geht in Ordnung.
Habe übrigens kein ZoneAlarm auf dem Rechner  -  und in den letzten Monaten ein stabiles System.
Danke, Bob

 

O2 - BHO: (no name) - {B8A7839C-51E8-4067-ADA3-CA74BABC1976} - (no file)

Danke Carpenter.

Den von Dir angesprochenen Eintrag fand ich auch sofort verdächtig, ich kann ihn jedenfalls nicht zuordnen. Was ist zu tun? Löschen?

Zwei weitere Einträge machen mir ebenfalls Sorgen:

O9 - Extra button: (no name) - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)
O9 - Extra 'Tools' menuitem: GigaSize Toolbar - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

Ich würde ungern etwas ohne euren fachlichen Rat unternehmen.

Grüße, Bob

Hallo
Also, die genannten Einträge sind auf Toolbars und die damit häufig verbundenen Autostart-Einträge (was etwas weniger schlimm wäre), aber eher auf Schadprogramme zurück zu führen.
Alle Endungen mit>(no file)< bitte aus der Reg. löschen.
Wenn du nicht weisst, wie:
Start-ausführen: regedit   eintippen. Ok.
In der Reg.:
Arbeitsplatz->Reiter bearbeiten->suchen->
weitersuchen.
In das Feld diese genannten Einträge reinkopieren.
Suchen lassen.
Sollten dann irgendwo in HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BHO\run liegen.

Einträge löschen. Neustart.

Carpenter    

Kann ich nicht alternativ auch die HiJack-Funktion "Fix checked" benutzen?

Grüße, Bob

Ja, und dann:
Erst eine Plattenbereinigung
http://www.hijackthis-forum.de/tipps-tricks/27959-malwarebytes-anti-malware-anleitung.html
Programm updaten und im abgesicherten Modus (F8) einen Vollscan durchführen, alle Funde löschen und dann den neu erstellten Report hier posten. 

Hi,

So Jungs, das hat es gebracht.

Das Fixen der drei verdächtigen Einträge in HiJack brachte zwar keinerlei positives Ergebnis, doch die Software "malwarebytes" hat drei infizierte Dateien erkannt und beseitigt. Hier das Log, gebt acht auf die letzten Zeilen:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1712
Windows 5.0.2195 Service Pack 4

31.01.2009 15:04:05
mbam-log-2009-01-31 (15-04-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 92218
Laufzeit: 34 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\mrvtdpqe.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINNT\system32\gaopdxmqlrwipj.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\drivers\gaopdxjenqqoqx.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Vielen Dank an "dd", "Carpenter" und "copy" für Mühe und Beistand! Ich wünsche Euch einen schönen Sonntag. Und weiter den Durchblick behalten! Ihr werdet noch gebraucht.

Grüße, Bob
 

Ist klar,versuchte system kann man reinigen.Wer kommt auf solche schmalen sachen?
Ich würde hier daten sichern und neuinstalieren.Was die gäste genau verändert haben,weis keiner,geschweige denn,das mann es repariert bekommt.
Aber besser reinigen und restrisiken eingehen,als sauber das system zu instalieren.