Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Firewall und update von xp außer Gefecht gesetzt

Hallo,
kann mir bitte wer helfen? :-\ Glaube ich hab mir was Schlimmes eingefangen.
Angefangen hat es damit, dass sich das Desktop verändert hat. Es erschien die Meldung "Warning! You are in danger." Ein Link am Desktop verwies auf eine dubiose Internetseite. Virusprogramm (AntiVir) wurde deaktiviert und Win. Firewall kann nicht mehr aktiviert werden. Update von Windows funktioniert auch nicht mehr.
Schließlich tauchte unter "Registriert für:" noch die Bezeichnung "not you, no longer." auf.

Mittlerweile konnte ich AntiVir wieder aktivieren und das Desktop bereinigen. Habe AntiVir durchlaufen lassen  aber die anderen Probleme bestehn immer noch.

Ist da noch was zu Retten? :P



Antworten zu Firewall und update von xp außer Gefecht gesetzt:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo, ja sicher.
Lade dir Spybot herunter und scanne nach Spyware.

Dazu meine
Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich ausführen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.


3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php

(Allerdings ist es am besten einen guten Virenscanner zu kaufen. Der hat heute (fast) alle Tools drin:
http://www.kaspersky.com/de/downloads?chapter=146440558 )

Hallo rolwei,
habe schon spybot und windows anti spyware drüberlaufen lassen. Viel gefunden und gelöscht. Aber das problem mit   dem  Windows XP-Update und WinFirewall besteht immer noch.
Kann es sein, dass da was beschädigt wurde?

« Letzte Änderung: 28.04.05, 23:02:13 von elli-cat »

Hallo elli-cat ,

diese Meldung "Warning! You are in danger." erscheint manchmal als Hingergrundbild,es ist aber keines, sondern ein Pop up Fenster.
Wenn man seine Icons verschiebt und langsam mit gedrückter Maus über den Desktop geht, sollte man eine schwache Linie entdecken können die oftmals auch wieder verschwunden ist und schließlich findet man ein X zum Schließen des Pop up Fensters.

Hier eine Anleitung wie man es in der Regel wegbekommt:

1 - auf Taskleiste rechtsklicken
    dann auf Eigenschaften.
2 - dort:Taskleiste automatisch ausblenden:aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop- hintergrundes sehen, da wo die Taskleiste früher war.
4 - dann rechtsklicken - bei Eigenschaften auf den kleinen alten Desktopausschnitt.
5 - dann zu Desktop ---> weiter zu: Desktop anpassen
6 - dort: Web-Karteikarte auswählen
7 - dann dort :Eintrag "Security" löschen


Ansonsten wäre noch ein Hijackthis-Logfile durchaus sinnvoll, um dort evlt. böse Einträge zu erkennen.
Bekommst du hier: www.klaffke.de . Ergebnis dann hier posten. Dann kann man mehr dazu sagen.

Hey,
tschuldigung, hat ein wenig gedauert. Hier also das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:15:44, on 29.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla1.2.1\mozilla.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\test\Eigene Dateien\Eigene Bilder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {640AB003-0FFC-4734-8031-C7E376052A65} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {640AB003-0FFC-4734-8031-C7E376052A65} - (no file) (HKCU)
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D043C31-4108-4109-B553-A747B55BB9F1}: NameServer = 172.27.2.10 172.27.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Debug oupost relations (LAGOS) - Unknown owner - C:\WINDOWS\system32\ahtun.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - Unknown owner - C:\Programme\T-DSL SpeedManager\tsmsvc.exe (file missing)

Übrigens hat zwischendurch AntVir gemeldet, dass er den Worm/Bagz.h.4 gefunden hat. Die Datei system32/ahtun.exe war damit infiziert. Habe sie unter Quarantäne gesetzt.
Ist ein format C notwendig? :'(

Hallo nochmals, elli-cat !

Vorab keine Sorge wg. dem Wurm/Bagz.h.4. Deswegen ist sicherlich kein Neuaufsetzen nötig, ist relativ harmlos.
Hier eine Beschreibung zu dieser Wurmfamilie:
 www.sarc.com/avcenter/venc/data/w32.bagz.h@mm.html

 Deaktiviere dann die Systemwiederherstellung und starte in den abgesicherten Modus (Taste F8 mehrfach drücken bzw. hier:
  www.bsi.bund.de/av/texte/wiederher.htm ).

Fixe/lösche dann mit dem HJT-Tool (links anhaken) folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm[/url

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = [url=http://w-find.com/sp.htm]http://w-find.com/sp.htm


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm

O9 - Extra button: Microsoft AntiSpyware helper - {640AB003-0FFC-4734-8031-C7E376052A65} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {640AB003-0FFC-4734-8031-C7E376052A65} - (no file) (HKCU)

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.g amespyarcade.com/software/launch/alaunch.cab

O23 - Service: Debug oupost relations (LAGOS) - Unknown owner - C:\WINDOWS\system32\ahtun.exe (file missing)

O23 - Service: TSMService - Unknown owner - C:\Programme\T-DSL SpeedManager\tsmsvc.exe (file missing)

Drücke dann den Button Fix Checked zum löschen.

Ausserdem solltest du dann gleich deine sog. Hosts-Datei anschauen. Wie oben bei Symantec beschrieben wird,können beim Wurm Bagz.h durchaus auch Einträge in der Hosts-Datei sein,die da nicht reingehören bzw. gelöscht werden müssen.

Geh mal beim HJT-Tool auf (rechts unten) other stuff-->config--->misc tools: als 3.Button findest du
 dann "open hosts file manager". da drauf klicken.

Dort findest du eine allg. Beschreibung, aber wichtiger ist die allerletzte Zeile. Dies darf nur:
127.0.0.1  local host
lauten. Möglicherweise sind da noch wesentlich mehr Einträge (durch den Wurm).
Diese alle löschen; es darf eben nur
127.0.0.1  local host als letzte Zeile dort stehen bleiben.

Anschliessend den PC neu starten und scannen mit deinem AV-Scanner, Microsoft Antispy oder auch
Spybot, Ad-aware etc.; kein Tool findet alles.
Wobei das scannen im abgesicherten Modus aber oftmals sinnvoller ist, da die Scanner auch dann an Dateien herankommen, die sonst systembedingt blockiert sind.

Auch kann man mal mit Online-AV-Scannern seinen PC prüfen als Gegenmeinung. hier eine Liste dazu:
 http://malware.bul-online.de/av_onlinescan.php
Viel Erfolg.

Hallo und guten Abend,
danke erstmals.:D Habe die Anleitungen umgesetzt und keine Meldungen von AntiVir und MsAntiSpyware mehr erhalten.

Die folgende Logfilezeile lässt sich aber nicht löschen

O23 - Service: Debug oupost relations (LAGOS) - Unknown owner - C:\WINDOWS\system32\ahtun.exe (file missing)

Das war doch diese Datei, wo der Wurm drin war??

Vielleicht noch eine Idee wie ich das Problem mit dem defekten Windowsupdate und der Fehlermeldung beim aktivieren des Firewalls lösen könnte.(Fehlermeldung: "Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden")

Danke einstweilen und schönen Abend noch!

die gleiche fehlermeldung bekomme ich auch.... gibts dazu nach 1 jahr keine antwort??

Mit TuneUp2006 mal die Registry bereinigen . GGF Datei im abges. Modus löschen ...   www.tuneup.de

der fehler besteht trotzdem :(((...... kann man die firewall irgendwo neuinstallieren?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hi,

lade dir die kostenlose Software von Ewido herunter, scanne deinen PC damit ewido anti-malware, ca. 7,6 MB
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einen erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle prüfe deinen PC erst mal mit dem Online-Scanner von Panda
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)

Wichtig!
Wenn die Malwarescanner was finden dann Poste bitte die Scan-Protokolle.


« pokapoka79.exe kann nicht gelöscht werden !!!IE: Die Suchseite konnte nicht gefunden werden (oder so ähnlich) »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Desktop
Als Desktop bezeichnet man die Arbeitsoberfläche eines Computers. Der Desktop ist nichts anderes als eine grafische Benutzeroberfläche (Graphical User Interface...

YouTube
Ist ein 2005 gegründetes, in zwölf Sprachen verfügbares Internet-Videoportal, dass sich weltweiter Popularität erfreuen darf. Durchschnittlich werden ...

Dead Link
Als Dead Link, also einen toten Link, bezeichnet man eine Verlinkung oder Verknüpfung, die ins Leere führt. Der Link bezieht sich auf einen Zielpunkt, der nicht...