WIE neue IP bei Arcor Wlanmodem200 ?

Dieses Thema im Forum "Netzwerk, Telefon, Internet" wurde erstellt von Flieger-Ass, 25. März 2007 .

Schlagworte:
Seite 2 von 2
  1. 30. März 2007
    AW: WIE neue IP bei Arcor Wlanmodem200 ?

    es is doch nur im papierkorb, den kann ich doch wiederherstellen?

    warum 2mal neustarten?

    und was is jetzt mit diesen dateien,die ich nicht anzeiegen kann?
    oder diesem einen link,den ich prüfen sollte?

    neue logfile

    Logfile of HijackThis v1.99.1
    Scan saved at 15:25:39, on 30.03.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\atiptaxx.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\WLAN Monitor\wlconfig.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\sndvol32.exe
    C:\Programme\WLAN Monitor\accwpac.exe
    C:\Programme\QIP\qip.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Dokumente und Einstellungen\Martin\Desktop\AntiSpyware Programme\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = Startseite - Arcor Magazin
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {55AF5679-349E-4FDF-8128-9F16FAA7AAE6} - C:\WINDOWS\system32\WMSUI32d.DLL
    O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing)
    O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
    O4 - HKLM\..\Run: [VSPDXP] C:\Programme\VSPD XP\vspdconfig.exe /quiet
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [htm log bolt web] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\multi soap htm log\eq second.exe
    O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
    O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
    O4 - HKCU\..\Run: [noun 1] C:\DOKUME~1\Martin\ANWEND~1\DRAWBA~1\owns inside.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Startup: Lautstärkeregelung.lnk = C:\WINDOWS\system32\sndvol32.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe
    O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
    O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
    O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_3_0_1.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - MSN Games - Free Online Games
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09bf92203b3bbf2f5705/netzip/RdxIE601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123627549031
    O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123627536968
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - MSN Games - Free Online Games
    O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
    O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O18 - Filter: text/html - {7284FB3D-9B8A-4068-AD26-872B36741E91} - C:\Programme\MessageBlocker\MsgBlock.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe



    danke dass du mir hilfst ,aber das mit den posts war vollkommen unbeabsichtigt.
    normalerweise geht das in foren ja auch garnicht, als es aber ging,dachte ich ok des scheint hier wohl erlaubt zu sein<(ohne jede faq auswendig zu kennen).

    Gruß (und echtes danke,dass du mir so gut hilfst)
     
    + Multi-Zitat Zitieren
  3. 30. März 2007
    AW: WIE neue IP bei Arcor Wlanmodem200 ?

    nun, durch das verschieben der dateien in den papierkorb kann einiges passieren. zum einen dass die malware weg ist. aber das ist leider nur in ca 2% aller fälle der fall. denn malware wird ja programmiert um auf einem rechner zu verweilen. deshalb gibt es schutzmaßnahmen, die soetwas gekonnt verhindern. wie sehen diese maßnahmen aus.
    - die dateien werden neu wiederhergestellt
    - andere dateien werden an anderen punkten mit gleichen funktionen erstellt.

    in deinem logfile wenn du das so gemacht hast, wie ich sagt trifft der erste punkt zu.
    obwohl sich die dateien jetzt im papierkorb befinden müssten sind sie wieder da.

    nun, wie geht es jetzt weiter. ich persöhnlich hoffe immer noch darauf herauszufinden, welche malware es ist. ->

    1. möglichkeit.
    die dateien sind markiert als versteckte systemdateien in systemordnern.
    öffne den ordner, in dem die dateien sein müssten.
    unter "extras" gehtst du in die "ordneroptionen"
    dort in den reiter "ansicht" und dort änderst du drei optionen:
    - versteckte dateien und ordner anzeigen -> ja
    - inhalte von systemordnern anzeigen -> ja
    - geschützte systemdateien ausblenden -> nein

    wenn du jetzt die dinge sehen kannst, teste sie bei jotti.

    wenn nicht, wird es schwierig. besorge dir entweder eine windows bart pe cd, oder falls nicht verfügbar nutze die windows installationscd.

    bart:
    starte den rechner mithilfe der cd
    in dieser windows oberfläche wirst du in der lage sein, die dateien zu sehen, erstelle eine kopie davon und speichere die kopie in einer einfachen nicht komprimierten nicht verschlüsselten zip datei.

    windows xp cd
    starte den rechner von cd,
    gehe dort in die "reparaturkonsole" bzw "widerherstellungskonsole"
    melde dich mit deinem administrator namen und passwort an.

    dann tippst du diese befehle ab. (ausdrucken hilfreich)

    Code:
    copy "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\multi soap htm log\eq second.exe" "c:\virus.exe.zip"

copy "C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DRAWBA~1\owns inside.exe" "c:\virus2.exe.zip"
    wichtig:

    achte darauf die "" auch mit abzutippen
    und diesen teil im 2. Befehl DRAWBA~1 musst du noch mit dem richtigen ordnernamen austauschen.

    danach startest du den rechner neu.

    jetzt findest du auf c:\ zwei neue "zip" dateien. diese beiden lädst du so wie sie sind bei xup hoch und zeigst sie mir.

    WICHTIG NICHT VERSUCHEN ZU ENTPACKEN

    und auf keinen fall einen doppelklick machen.


    dann meldest du dich wieder
    ---

    oder einfach formatieren. wäre wirklich einfacher.
     
    + Multi-Zitat Zitieren
  4. 31. März 2007
    AW: WIE neue IP bei Arcor Wlanmodem200 ?

    also ich verstehe nur bahnhof.

    wenn ich morgen nüchtern bin lese ich das nochmal durch.

    ist echt kraank,was man da alles machen muss, aber du sagtest ja,dass es "hartnäckige" malware ist.

    also ne bart cd.... kein plan was das is.... ne windows cd.... mein c is 8jahre alt -hab ich nemehr.

    warum ich nicht formatieren will: "habe angst meine ebaysachen und bilder, liebesbirfe,exfreundinbilder, und andere dokumente (referate,schulzeugs un so) zu verlieren.

    alla bis morgen und danke mann,ich merke, du nimmst dir viel zeit für mein problem.
     
    + Multi-Zitat Zitieren
  5. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten
Seite 2 von 2