Brauche Hilfe: Trojaner, Internet hängt u. ZoneAlarm streikt
Hallo liebe Helferlein,
ich habe das Problem, dass mein Internet seit Tagen total lahmt und zonealarm sich nicht mehr aktualisieren lässt. Auch online scans wie z.B. Symantec und Panda sind fehlgeschlagen.
Ich hatte vor 3 Tagen ca. 9 Trojaner gefunden, die ich mit ZA gelöscht habe. Compi im sicheren Modus gestartet und vorher Systemwiederherstellung ausgeschaltet.
Bei den Trojanern handelte es sich u.a. um
Mein ältester Sohn (18 J.) war vorher am Compi und ich weiß nicht, wo er überall unterwegs war.
Nachdem ich die o.g. in Quarantäne geschoben u. gelöscht habe, gingen die Probleme erst richtig los.
Die Virendatenbank von ZoneAlarm kann ich seit dem nicht mehr aktualisieren, der download wird dauernd unterbrochen. Symantec online scan und Panda online scan haben sich total aufgehängt und was mich noch stutzig macht ist, dass windows defender andauernd meldet, dass
"ein bekanntes Programm (nämlich ZAlarm) Änderungen an der mswsock.dll in c:/windows/system32 vornimmt.
Ich weiß nicht mehr weiter und bin nach 3 Tagen vergeblichen Reparaturversuchen völlig entnervt. Hier habe ich mal ein Protokoll vom soeben gemachten Scan mit HighjackThis, aber leider kann ich eventuell vorhandene Auffälligkeiten nicht identifizieren und zuordnen. Ich will ja nicht das falsche löschen.
Bitte, liebe Helferlein, könnt Ihr mir helfen, das wieder zu reparieren oder ist hier Hopfen und Malz verloren?
Vielen Dank schon mal im Voraus an alle, die sich die Mühe machen
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
Moin,
zunächst:
es ist kontraproduktiv, wenn du mehrere Sicherheitsprogramme installierst. Gerade ZoneAlarm und Symantec ist dafür bekannt, dass es sich nicht mit anderen verträgt. Es würde reichen, wenn du die alle deinstallierst und statt dessen die kostenfreie Version von 'AntiVir' und 'Malwarebytes' besorgst, diese immer aktuell hältst und auch regelmäßig einsetzt.
Nun hast du schon viele Versuche unternommen und deshalb sieht dein Ergebnis mit HjT auch so ungewöhnlich aus.
Fixen musst du:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Die *.exe musst du auch noch manuell löschen.
Wenn noch nicht installiert, besorge dir den CCleaner. Damit beseitigst du Datenmüll und Fehler in der Registry. Die vorgegebenen Einstellungen kannst du so wie sie sind, lassen. (https://www.eforum.de/ccleaner_datenm...en_t10360.html)
erstmal danke für die Antwort. Dass mehrere Virenprogis Probleme untereinander verursachen, ist mir bekannt.
Es war ja vielmehr so, dass Zonealarm (gekaufte Vollversion von Internet SecuritySuite) imho selbst verseucht ist und keine Viren mehr erkennt. Aktualisieren geht aus diesem Grund ja vermutlich auch nicht.
Natürlich habe ich ZA zuerst deaktiviert, bevor ich nacheinander die online Checks von Symantec und Panda machen wollte, die aber ebenfalls nach ewig langem vergeblichen Laden und Installieren abgebrochen sind.
Ich persönlich surfe nie ohne ZA Virenschutz u. Firewall, aber Söhne halt...mit ihren O-Games *seufz*
CCleaner habe ich auch drauf und mehrfach laufen lassen.
Auch ZoneAlarm habe ich runtergeworfen und von Disk neu installiert.
Aber immer wieder das selbe, ZA verändert irgend etwas in der "mswsock.dll" und ist faktisch inaktiv, fürchte ich.
Ich werde Deine Tipps zum fixen gleich mal versuchen. Muss ich wohl im abgesicherten Modus laufen lassen? Oder geht das im Normalbetrieb?
Die Einträge zu Panda + Symantec stammen vom einmaligen Versuch, diese online laufen zu lassen. Kann ich die auch rauswerfen?
Moin,
hängst du hinter einem Router?
Wenn Ja, dann genügt die Windows-Firewall allemal.
Im abgesicherten Modus kannst du HjT zum Fixen neu starten aber vorher die Systemwiederherstellung deaktivieren.
Wenn du im CCleaner bei 'Extras' von diesen anderen Programmen nichts mehr findest, werden die auch bei HjT nicht wieder auftauchen.
Arbeitet ZoneAlarm nach Neuinstallation wieder?
nein, kein Router, ganz normaler single-PC zuhause.
CCleaner hat schon vorher keine Registry-Einträge mehr gefunden.
Systemwiederherstellung habe ich seit 2 Tagen aus.
Stutzig macht mich immer wieder, dass windows defender dauernd meldet, dass zonealarm Änderungen ind der mswsock.dll vorgenommen hat.
DAS ist vielleicht auch der Grund, warum sich selbst bei einer Neuinstallation von ZA aus dem Verzeichnis
C:\....\AppData\Local\Temp
irgend etwas mit reinschummelt und ZA wirkungslos macht. Habe schon über "Anzeige auch versteckter Dateien" dieses Verzeichnis gelöscht, aber bisher erfolglos....
Ich denke, DAS DING gaukelt mir vor, dass ZA arbeiten würde, aber es verhindert, dass ich die neueste Virendatenbank runterladen und scannen kann. Und mit dem jetzigen Stand der Datenbank findet ZA selbst beim Tiefenscan nichts mehr.
Ok, wenn ich Dich richtig verstanden habe, muss ich den PC auf jeden Fall nochmal im sicheren Modus starten, Hijack laufen lassen, die beiden Einträge löschen...
Die manuelle Löschung der .EXE auch im abgesicherten Modus? Und soll ich das VOR oder NACH dem scannen mit Hijack machen?
Sorry für die vielen Nachfragen, bin zwar kein Compi-Depp, aber hier habe ich inzwischen jeden Überblick verloren.
Und noch mal zu den Einträgen von Panda + Symantec. Die sind doch eigentlich auch nur Datenmüll und können weg, oder?
Auf jeden Fall schon mal ganz herzlichen Dank, dass Du Dir die Zeit genommen hast und für Deine Tipps
Wenn du schon ZoneAlarm deinstalliert hattest, dann kann die Neuinstallation von der Disk nicht korrupt sein. Aber du schreibst auch, dass du sie es von 'C:\....\AppData\Local\Temp' getan hast. Was gilt? Was ist denn von ZA in Temp?
Wenn du alles im 'abgesicherten Modus' betreibst und die Systemwiederherstellung deaktiviert ist (nochmal machen, da sicher in 2 Tagen neue Punkte gesetzt wurden) kann auch keine Neuinfizierung erfolgen.
Wenn du also die beiden genannten Einträge von HjT fixt dann löscht du anschließend auch die *.exe im abgesicherten Modus.
Wenn Panda und Symantec noch immer auftauchen, solltest du mit der Suchfunktion von Windows vorgehen, denn Fixen heißt nicht Löschen.
Ich kenne nun den Windows Defender nur vom Hörensagen, aber soviel ich weiß, ist diese Meldung erklärlich, denn ZA will ja Änderungen vornehmen mit dem Update.
also, habe das jetzt - wie geraten - gemacht, dann den PC neu gestartet und das selbe wie vorher.
Es kommt sofort eine Meldung, dass ZA Änderungen in der mswsock.dll vornimmt. Dann ist wieder keine Aktualisierung der Virendatei möglich und ZA findet nichts auf dem Compi.
Zur Deinstallation und Neuinstallation von ZA:
ich habe es einmal neu installiert aus meinem download-Verzeichnis, das hat nichts geholfen.
Dann habe ich es mit Installation von meiner Sicherungs Disk versucht, aber ebenfalls erfolglos.
(die Sicherungsdisk ist älter und kann nicht befallen sein, da direkt von ZA in USA gebrannt vor 1 Jahr)
Zum Verzeichnis "C:\...\AppData\Local\Temp..."
ich habe nicht von dort installiert. Aber das fand ich ja gerade merkwürdig, dass bei der Installation plötzlich angeblich ZA Daten aus diesem Verzeichnis holt. Kann eigentlich nicht sein.
Ich vermute, dass genau DAS der Fiesling ist, der verhindert, dass ich irgend einen Virenscanner aktualisieren kann, geschweige denn, einen online scanner laufen lassen kann.
Jetzt weiß ich wirklich überhaupt nicht mehr weiter.
Systemwiederherstellung ist immer noch aus, die Einträge sind nach HJThis + CClean alle weg, aber es funzt nichts
ich versuche gerade, mir Avira-Antivir von chip runterzuladen.
Aber die Download-Rate liegt bei ca. 1,0 kb/s (!!)
voraussichtliche Dauer = 14 Stunden und das bei DSL 6.000
das meinte ich, irgend etwas verlangsamt das internet gewaltig und alles, was irgendwie mit virenscanner zu tun hat, kann entweder nicht online als scan gestartet werden (weil dauert Stunden u./ o. bricht dann einfach ab) oder der download wird geblockt....
Moin,
also plausibel ist das Ganze nicht.
1. ZA (zwar im veralteten Zustand) findet nichts mehr.
2. HjT hat Schädliches moniert. Das hast du gefixt und gelöscht.
3. Datenverkehr ist extrem langsam.
Das könnte bedeuten, dass du ein Rootkit eingefangen hast (Stealth-Viren: Rootkits erkennen und beseitigen - CHIP Online)
Nun wird im gleichen Beitrag beschrieben, wie dagegen vorgegangen werden kann (3 Seiten mit mehreren Tools). Absolut sicher ist das aber auch nicht.
Ich würde eine Datensicherung vornehmen und das BS Vista neu aufsetzen. Im Verlauf der Neuinstallation die gesamte Festplatte formatieren.
Wenn du ein sauberes BS wieder hast und deine Netzverbindung neu konfiguriert hast, in der Reihenfolge vorgehen:
1. Vista updaten incl. SP2
2. AntiVir installieren, updaten und aktivieren
3. erst danach die Programme, die du wirklich brauchst, entweder die gekauften von CD oder die kostenfreien aus dem Netz besorgen.
Für deine Hardware musst du auch die entsprechenden Treiber holen (beides nicht aus dem Download-Ordner sondern von der Homepage des Herstellers)
4. Verzichte auf ZA, verlass dich auf AntiVir und die Windows-Firewall.
5. Nimm alles was nicht Windows zugehörig ist, (außer den Virenscanner) aus dem Autostart heraus.
6. Verzichte auf Toolbars jeder Art, deinstalliere sie, wenn sie sich mit Software einschleichen
7. Wechsle zu einem weniger anfälligen Browser wie den Firefox von Mozilla (den IE lässt du aktiv für Notfälle aber befreist ihn von allen Add-ons und sonstigen Schnickschnack)
8. Weise deinem unkontrollierbaren Nachwuchs eingeschränkte Nutzerrechte zu oder investiere in einen Zweit-PC + Router. Dann können sie sich selber mit solchen Problemen herum schlagen.
ja, rootkit dachte ich auch schon dran....habe bereits danach gesucht, aber nichts gefunden.
ok, vielen Dank schmidtchen für die ausführliche Beratung.
Ich fürchte auch, mir wird nichts anderes übrig bleiben, als neu aufzubauen *schnief*
sollte ich aber doch noch Erfolg ohne Neuinstallation des BS haben, melde ich mich hier noch mal bzw. falls ich mit weiteren Fragen zum Thema nerven darf