Virus/Trojaner hat meine Windows Firewall disabled, WAS TUN?

als erstes : Hijackthis durchführen !!
HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html

-------------------------------------------------------------------------------------------------------------

Danach:
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
Virenscan machen
& ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung AUS / AN
Rechtsklick auf Arbeitsplatz
Eigenschaften
Systemwiederherstellung
Deaktivieren anhaken
Fertig :
Haken wieder RAUS !!

Ja, genau das hab ich alles gemacht,
Ewido, Ad aware, Spybot, abgesicherter Modus, dann Hijack this, keine Meldung über böse Files, und auch Systemwiederherstellung ausgeschaltet, das ganze Programm. Trotzdem zieht es mir fiese Trojaner rein, soblad ich die Wireless karte wieder reinstecke und sich das INternet verbindet. Aber sieht so aus, als ob Antivir das stoppt.

Ein Router mit Hardware-Firewall sollte schon sein !!
Da sollte vieles garnicht bis zum Antivir kommen .
Versuche es mal mit ZoneAlarm-PE :
Meine Empfehlung (Freeware):
1. Antivir PE
http://www.free-av.de/  Avira AntiVir PersonalEdition Classic
2. ZoneAlarm PE = free / NICHT Pro kaufen !!!
http://www.zonelabs.com/store/content/company/products/trial_zaFamily/trial_zaFamily.jsp?dc=34std&ctry=DE&lang=de
3. Spybot S&D  mit TeaTimer gegen unerlaubte Registry-Änderungen
http://fileforum.betanews.com/detail/Spybot_Search_and_Destroy/1043809773/1
oder Adware SE
http://www.filepilot.de/filepilot2003/archiv_l/lavasoft_ad-aware_3116.html

Ich halte von Zonealarm gar nichts. Dieses Programm mag einen guten Schutz gegen Hacker und anderen Gefahren aus dem Netz sein, jedoch verbraucht dieses Programm ungeheuer viel Systemressourcen, die der Nutzer für Wichtigeres benutzen möchte. Ich empfehle die: Sygate Firewall

Hick,

ich arbeite und wohne zur zeit in den USA, da läuft dsa Internet über das TV-Kabel. Ich besitze den Wireless Router "D-Link AirPlus Extrem G", keine Ahnung ob der ne Firewall hat oder nicht, da kenn ich mich nicht so aus.
Avira AntiVir hab ich, auch Spybot S&D mit TeaTimer, auch Adware SE.

Zone Alarm Security Suite habe ich downgeloadet allerdings erlaubt diese nur eine Nutzungsdauer von 15 Tagen, das ist ja auch nicht ideal.

ReggaeKev,

Ich habe auch Sygate runtergeladen, mal sehen, wie das sich so verhält.

Mein AntiVir gibt mir Meldungen von folgenden Angriffen:
TR/Crypt.F.Gen
TR/SrchSpy.G
TR/Proxy.Wopla.AC.6
Trojan.Zapchast.ca

Diese lassen sich natürlich nicht löschen und erscheinen immer wieder sobald sich bei mir eine Verbindung ins Internet aufbaut. Ich brauche nicht mal eine Website aufrufen, schon gehts los und die Trojaner melden sich!
Was kann da machen? Die anderen Anti-Malware programme erkennen diese Trojaner nicht.

Hallo,
deinstalliere zunächst die Testversion von Zone Alarm Security Suite !

Deaktiviere die Systemwiederherstellung !
(Anleitung siehe unter http://www.bsi.de/av/texte/wiederher.htm )

Lösche dann bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner:
http://www.ccleaner.com/ccdownload.asp

Überprüfe deinen PC jetzt erst mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.
F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“


Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

PC jetzt neu booten und die Systemwiederherstellung aktivieren.
Poste bitte die beiden ausführliche Scanprotokolle hier !


Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493


Hier noch ein Link zur Kostelosen Firewallversion von Zone Alarm:
http://www.chip.de/downloads/c1_downloads_13013718.html
Diese sollte aber erst installiert werden wenn der PC wieder Clean ist !
 

So also hier das Logfile von F-Secure

Result: 3 malware found
Trojan-Proxy.Win32.Small.ct (virus)
•   C:\WINDOWS\SYSTEM32\ERT.DLL (Renamed & Submitted)
Trojan-Spy.Win32.Small.ez (virus)
•   C:\WINDOWS\SYSTEM32\MSIEHELPER.DLL (Renamed & Submitted)
Trojan.Win32.Pakes (virus)
•   C:\WINDOWS\SYSTEM32\NFF.DLL (Renamed & Submitted)
________________________________________
Statistics
Scanned:
•   Files: 17455
•   System: 4035
•   Not scanned: 6
Actions:
•   Disinfected: 0
•   Renamed: 3
•   Deleted: 0
•   None: 0
•   Submitted: 3
Files not scanned:
•   C:\HIBERFIL.SYS
•   C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
•   C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
•   C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
•   C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
•   C:\WINDOWS\SYSTEM32\CONFIG\SAM


Der Test von Panda Scan konnte nicht durchgeführt werden, da es Probleme mit ActiveX gab oder Probleme mit der Internetverbindung. Habe allerdings beides überprüft und normalerweise ist alles "offen" für Panda Scan.
Habe es mehrmals versucht, mit dem selben Ergebnis.

Hier das Logfile von Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 14:39:38, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Belkin Mouse 1.0\MOUSE32A.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\Creative\Shared Files\CamTray.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Antivirus\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MS_update_0609_7723.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:3128;gopher=192.168.0.1:3128;http=192.168.0.1:3128;https=192.168.0.1:3128;socks=192.168.0.1:1080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANTIVI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Belkin Mouse 1.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [mmlfrkvg] C:\WINDOWS\system32\mmlfrkvg.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] D:\ANTIVI~1\smc.exe -startgui
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Antivirus\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [mmlfrkvg] C:\WINDOWS\system32\mmlfrkvg.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MS_update_0609_7723.exe
O4 - Global Startup: ACS.lnk = ?
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O4 - Global Startup: D-Link REG Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135601268296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140139424843
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
O21 - SSODL: IEFilter - {3359D20E-021C-4D9E-94AF-A66E29762936} - (no file)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Antivirus\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,
was ist das?

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MS_update_0609_7723.exe

C:\WINDOWS\system32\mmlfrkvg.exe

C:\WINDOWS\SYSTEM32\instcat.dll

Kann eigentlich nur Malware sein!
Teste die Datei einfach hiermit mit auf Malware.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Beide kostenlose Dienste verbinden bei einen Scan verschiedene Programme der Antivirushersteller.
Wird dabei Malware gefunden, dann poste das Ergebnis hier!

Wenn sich der Verdacht auf Malware bestätigt, dann kannst du die Dateien schon mal mit dem Tool Killbox löschen.
Download = http://www.bleepingcomputer.com/files/killbox.php
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Fixe dann auch diese Einträge aus dem Logfile of HijackThis:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MS_update_0609_7723.exe

O4 - HKLM\..\Run: [mmlfrkvg] C:\WINDOWS\system32\mmlfrkvg.exe

O4 - HKCU\..\Run: [mmlfrkvg] C:\WINDOWS\system32\mmlfrkvg.exe

O4 - Global Startup: MS_update_0609_7723.exe

O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll

Erstelle im Anschluss ein neues Logfile of HijackThis und poste es hier wieder.