Firewall deaktiviert sich -> Log

5Antworten
  1. #1
    Avatar von Squeegee
    Squeegee ist offline
    Themen Starter

    Title
    Benutzer
    seit
    18.11.2009
    Beiträge
    8

    Standard Firewall deaktiviert sich -> Log

    Hi zusammen,

    ich sollte mal den Familien-PC aufpolieren und dabei hab ich folgendes Problem festgestellt:
    Die XP Firewall ist bei jedem Start deaktviert, auf automatisch setzen bringt nichts, man muss sie jedes Mal neu anwerfen.
    Da ich nicht wirklich Ahnung habe und Google-Ergebnisse nahe legen, dass sich ein Würmchen auf dem Rechner befindet, brauch ich da bitte mal Hilfe.
    Auf dem PC hier ist AntiVir drauf, ein vollständiger Check zeigt keine Funde.

    Hab mir mal wie hier beschrieben das HiJack geladen.
    Ich bin mir allerdings nicht sicher, ob den erwähnten abgesicherten Modus erwischt habe. F8 geprügelt und dann von aus den Optionen von Festplatte oder CD booten die erste Festplatte genommen. Trotzdem steht da Boot Modus normal?

    Ich werf mal das Log hier rein, vielleicht kommt man der Sache ja so auf den Grund.
    Danke schon mal!

    Gruß!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:23:13, on 18.11.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\Rundll32.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Programme\HiJack\HijackThis.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe,
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501 .1418\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - https://static.pe.meinvz.net/photoupl...che=1227160610
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - https://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://www.update.microsoft.com/micr...?1258480481093
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - https://static.ak.studivz.net/photoup...che=20071219-1
    O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - https://static.pe.studivz.net/photoup...che=1210710669
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/ge...sh/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 10551 bytes

  2. #2
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard AW: Firewall deaktiviert sich -> Log

    Moin,
    das Logfile zeigt nach meinem Dafürhalten nichts, was deine Befürchtungen bestätigt. Diese Einträge solltest du beurteilen, ob du damit etwas anfangen kannst.
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - https://static.pe.meinvz.net/photoupl...che=1227160610

    O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - https://static.pe.studivz.net/photoup...che=1210710669
    Um in den 'abgesicherten Modus' zu kommen, ist die Betätigung der F8-Taste schon richtig. Im nachfolgenden Menü sollte das auch angeboten werden.
    Hast du zusätzlich zu AntiVir noch eien Malwarescanner in Betrieb?
    https://www.eforum.de/spybot_search_d...re_t10445.html
    oder:
    https://www.eforum.de/malwarebytes_sc..._a_t10399.html

  3. #3
    Avatar von Squeegee
    Squeegee ist offline
    Themen Starter

    Title
    Benutzer
    seit
    18.11.2009
    Beiträge
    8

    Standard AW: Firewall deaktiviert sich -> Log

    Okay, das klingt ja schon mal nicht ganz übel .

    Spybot hab ich mal eben laufen lassen, der hat 3 Malware-Einträge behoben.
    Mal im Auge behalten nu.
    Danke.

  4. #4
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard AW: Firewall deaktiviert sich -> Log

    Moin,
    vielleicht hast du den Eintrag mit S&D schon gekillt:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
    Zur Kontrolle scannst du mit HjT noch einmal, aber im abgesicherten Modus und schaust nach, ob er weg ist.
    Bei den beiden anderen (StudiVZ) musst du selbst entscheiden, wie du damit umgehst. So mancher 'Freund' hinterlässt üble Merkmale.

    Wie verhält sich nach den Aktionen deine Firewall?

  5. #5
    Avatar von Squeegee
    Squeegee ist offline
    Themen Starter

    Title
    Benutzer
    seit
    18.11.2009
    Beiträge
    8

    Standard AW: Firewall deaktiviert sich -> Log

    Hiho,

    alle von Dir genannten Einträge sind noch vorhanden, aber die Firewall blieb bisher stabil. Danke!
    Scheint Spybot wohl an anderer Stelle geholfen zu haben .
    Hauptsache, es funzt!
    Hätte ich das mal vorher gemacht anstatt fieberhaft ´n Wurm zu suchen .


    Aber diese 3 Dinger da kann ich trotzdem so nicht zuordnen. Nur der Rechner wird von mehreren Personen genutzt und die waren bestimmt mal auf meinvz oder studivz.
    Kann ich die zur Sicherheit trotzdem einfach mit HjT checken lassen und ggf. entfernen? Oder lieber die Finger still halten, wenn man nich genau weiß was es ist?

    Gruß!

  6. #6
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard AW: Firewall deaktiviert sich -> Log

    Moin,
    aus einer Antwort geht nicht hervor, ob du im 'abgesicherten Modus' wieder zu HjT gegangen bist, um zu fixen oder ob du dieses nicht gemacht hast.
    Das solltest du auf jeden Fall tun und vorher die Systemwiederherstellung erneut deaktivieren. Zumindest dieser 01 Eintrag ist nicht eindeutig als 'schädlich' definiert und deshalb würde ich den runterhauen.
    Bei den beiden anderen kann eigentlich auch nichts Schlimmes passieren, wenn die weg sind, denn du selbst hast doch nichts damit am Hut, wie du schreibst.

Ähnliche Themen

  1. Administratorrechte deaktiviert??

    Von evilhamster im Forum Windows XP
    Antworten: 4
    Letzter Beitrag: 18.03.2010, 19:06
  2. Firewall deaktiviert sich nach Neustart

    Von wallerbaby78 im Forum Antivirus und PC Sicherheit
    Antworten: 14
    Letzter Beitrag: 11.12.2009, 20:44
  3. Signaturbilder deaktiviert

    Von Holger im Forum Ankündigungen und Forenregeln
    Antworten: 0
    Letzter Beitrag: 14.10.2009, 12:17
  4. Netzwerk deaktiviert sich automatisch

    Von im Forum Netzwerk Probleme
    Antworten: 4
    Letzter Beitrag: 23.05.2005, 19:30
  5. shift Taste deaktiviert?

    Von im Forum Eingabegeräte und Drucker
    Antworten: 11
    Letzter Beitrag: 09.03.2005, 15:41
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz