Firewall Problem, sharedaccess.reg hilft nicht

Hallo zusammen!

Seit 2 Tagen kann ich meine Firewall nicht mehr starten. Gleichzeitig werden seitdem alle Drahtlosnetzwerke nicht mehr angezeigt. Gleichzeitig bin ich - laut Anzeige - trotzdem mit meinem Netzwerk verbunden. Internetseiten werden aber nicht angezeigt.

Ich habe versucht, mit dem sharedaccess.reg und der 2. Methode, die da bei windows und an anderen Stellen vorgeschlagen wird, die firewall wieder fit zu machen. Ging aber nicht.

Letztlich macht mir die Firewall keine Sorge, ist ja die von XP, und ich kann mir ja auch ne andere ziehen. Oder?

Aber wie komme ich dann wieder ins Netz? Denke mal ganz stark, dass das zusammenhängt.

In einem anderen Forum wurde ich gebeten einen OTL-Log durchzuführen und danach einen Scan mit Malwarebytes zu machen. Leider bekomme ich dort seit 1,5 Tagen keine Antwort, darum jetzt hier mein Versuch.

Die beiden Reports kann ich gerne hier reinstellen, weiß aber nicht, wie (dort ging das über einen Spoiler). Geht das einfach über "Anhänge"?

Ich hoffe, mir kann jemand weiterhelfen. Ich bin Laie

Vielen Dank schonmal im voraus!
Kampfrabe

 

Wenn die Firewall von XP Probleme macht und nicht so funktioniert, wie sie sollte, handelt es sich wohl um ein schwerwiegendes Netzwerkproblem, das nicht damit gelöst werden kann, das man eine fremde Firewall ins System bringt, die ihrerseits das Netzwerk mit unvorhergesehenen Folgen verändert.
Logdateien können im Anhang (Erklärung hier http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html) im .txt- oder zip-Format hoch geladen werden. Wie der PC genau online geht, dann auch noch posten.

 

hmm...
das netzwerk selbst ist aber ok. bin mit dem laptop meiner freundin im selbigen unterwegs.
also muss es schon irgendwo zwischen meinem pc und dem netzwerk (also in meinem pc) haken.

ich hänge jetzt 3 sachen an

1. das Logfile von OTL (in 2 Teilen)
2. etwas, was ein Nutzer im besagtem anderen Forum in diesem OTL-Logfile als nicht ganz in Ordnung entdeckt hat (ohne Gewähr meinerseits natürlich)
3. den Report vom Scan von Malwarebytes (im nächsten Post)


Schonmal danke für die Antwort!

 

hier der Scan-Report

 

Hattest du mal ZoneAlarm installiert?
FF - HKLM\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker

Überflüssige Java Konsolen kannst du entfernen. Einfach das betreffende Verzeichnis löschen. Das letzte kannst du mal stehen lassen.
[2010.06.26 19:59:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.10.24 15:06:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.24 16:08:42 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.06 16:53:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

Hast du Google umgeleitet?
O1 - Hosts: 85.214.119.72 www.google.de
O1 - Hosts: 85.214.119.72 google.de

Aufrufe, die kein Ziel mehr haben, können entfernt werden.
O4 - HKLM..\Run: [ISW] File not found
O4 - HKLM..\Run: [PCLEPCI] File not found
O4 - HKLM..\Run: [TFncKy] File not found
O4 - HKCU..\Run: [360desktop] File not found
O4 - HKCU..\Run: [MsnMsgr] File not found
O4 - HKCU..\Run: [WMPNSCFG] File not found

Rest einer älteren Java Version kann entfernt werden.
O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab (Reg Error: Key error.)

Infizierte Registrierungsschlüssel kannst du von Malwarebytes bereinigen lassen.

Adware.EGDAccess im Webmeiaplayer kann ein Bestandteil sein, ohne den er nicht funktioniert.

Das sieht wirklich nicht gesund aus:
MountPoints2\{31f6e4ec-4653-11de-b256-00166f8b7f40}\Shell\explore\command - "" = E:\DDOS.PIF
O33 - MountPoints2\{31f6e4ec-4653-11de-b256-00166f8b7f40}\Shell\open\Command - "" = E:\DDOS.PIF

Hast du von AVG nur den AV-Scanner installiert?

 

Oh je, das is ne ganze menge...

ZoneAlarm habe ich noch installiert. Soll ich damit was tun?

Wird gemacht. Nehme an, "die letzte" heisst die mit der ...0024!?

Google.de hat immer mal wieder nicht funktioniert. (Vielleicht auch ein Virus o.ä.? Dachte immer, es liegt an deren Seite) Daher nutze ich google.co.in (persönliche Nähe zu Indien )

Wird gemacht.

Den Webmediaplayer brauche ich, um Videos im Netz abzuspielen? Weil sonst benutze ich den nicht. Kann ich den dann nicht besser runterschmeißen und bei Bedarf neu installieren?

Das is natürlich blöd. Also, dass ihr euch da einig seid, find ich schonmal gut. Aber kannst du mir das ein ganz klein bisschen übersetzen? Bzw. was mach ich damit?

Nein. Habe das ganze AVG Free. Und es zeigt mir auch "alles aktiv" an. Habe aber dann gestern mal den PC Analyzer gestartet, da war doch ne ganze Menge Mist dabei. Habe aber noch nichts löschen lassen. Soll ich das nochmal laufen lassen und den Bericht posten?


Vielen, vielen Dank.
Finds immer wieder faszinierend, was und wie schnell man da so fündig werden kann!

 

Wenn die Windows Firewall laufen soll, darf keine andere unter Windows aktiv sein.
ZoneAlarm muss dann auch komplett deinstalliert werden, weil es Filtertreiber im TCP-/IP-Protokoll unterhält. Die sind auch zu anderen Firewalls inkompatibel.
Tuningtools solltest du nicht benutzen. Die verändern in der Registry Einstellungen und löschen mehr oder weniger nach Gutdünken, was weitere Fehler provozieren kann.

 

Hm,
also, ZoneAlarm taucht noch in meiner Programmliste auf. Alle Verknüpfungen dort sind aber falsch.
Also hab ich's irgendwann mal runtergeworfen, aber jetzt sind noch Reste da!? Und wie krieg ich die weg?
Ich weiß ehrlich gesagt nicht mehr, wann und warum ich mir das besorgt habe. Wahrscheinich hatte ich da ein anderes Problem.

 

Reste kriegt man durch manuelles deinstallieren der Funde weg oder man setzt Windows komplett neu auf, was am gründlichsten ist. Ideal ist auch eine Komplettsicherung, die die unerwünschte Software noch nicht enthält, die man dann wiederherstellen kann. Oder man findet ein Tool dafür, das der Hersteller extra dafür freigegeben hat. Hier habe ich mal etwas für ZonAlarm gefunden (zonealarm removal tool). Wie zuverlässig es ist, kann ich nicht sagen. Es sollte aber so zuverlässig wie ZoneAlarm selbst sein.
http://forums.zonealarm.com/showthread.php?t=70034

 

Ich weiß auch, dass das bald bei mir mal ansteht, windows neu aufzusetzen. Nur gerade fehlen mir da Zeit und Ruhe für

Habe jetzt alles gelöscht, was du mir empfohlen hattest und starte neu.

 

So, erste Erfolge!

Die Firewall konnte ich wieder aktivieren!!!

Womit auch immer das jetzt ging.. aber die tut wieder. Vielen Dank schonmal!

Nur besteht weiterhin das Problem, dass die Drahtlosnetzwerke nicht angezeigt werden und ich zwar laut Anzeige verbunden bin, aber null Datenverkehr stattfinden.

Muss ich mich damit in ein anderes Forum wenden oder kann mir hier auch jemand weiterhelfen?

 

Jubel brandete auf vor wenigen Minuten im Herzen Freiburgs.

Nachdem die firewall wieder kurz außer Gefecht war, hab ich selbige dann mit "netsh firewall reset" nochmal halt resettet.. und siehe da. Nach dem gefühlten achzigsten Neustart läuft wieder alles in gewohnten und überlebenswichtigen Bahnen.

Vielen Dank für die Hilfe!!!!!!

 

Das war noch offen:

Ich würde den Player deinstallieren und alle seine Dateien. Dann noch mal neu installieren und scannen, ob die Adware wieder da ist.
Bei der Neuinstallation möglich eine benutzerdefinierte Installation machen (wenn angeboten) und dort aufpassen, dass keine Toolbar installiert wird (Haken entfernen) und keine unnötigen Sachen.

Das ist ein Autorun Eintrag. Er kann Wechseldatenträger infizieren, also sobald ein USB-Stick neu eingesteckt wird.
---> Entfernen.

 

Leider ist schon wieder ne Menge mehr offen.

Nach einem Neustart hab ich das altbekannte Problem wieder.

Woran kann das denn liegen, dass es erst geklappt hat und dann wieder nicht?

Um die anderen 2 Sachen kümmer ich mich..

 

Es könnte ein Rootkit aktiv sein. Dann werden Prozesse versteckt und unbemerkt Malware nachgeladen. In dem Fall kann man nur noch alles neu machen.

 

hallo,
ob man die verwaisten einträge, also die, die bei otl unter "File not found" laufen, entfernt oder nicht, ist irrelevant.

ähnlich sieht es mit der ddos.pif-geschichte aus.
das system ist mit einem offenbar(der dateiname sieht zumindest sehr danach aus) verseuchten wechseldatenträger in kontakt gekommen.
nun ist verseucht aber nicht gleich verseucht.
die otl-einträge beziehen sich auf die autorun.inf des wechseldatenträgers.
ob der schädling selbst überhaupt noch vorhanden war, als der stick(oder externe platte etc.) angeschlossen wurde, ist eine andere sache.

desweiteren:
O33 - MountPoints2\{43171bb5-ec20-11dc-b1bd-0016d423789a}\Shell\Auto\command - "" = MSOCache\doWTP_RESTORE.exe -autorun
O33 - MountPoints2\{43171bb5-ec20-11dc-b1bd-0016d423789a}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe -autorun
http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=WORM_AUTORUN.GKR

password.exe?

wechseldatenträger kann man mit spezialprogrammen wie
http://www.teamxscript.org/usbfixTelechargement.html
untersuchen, der eleganteste und sicherste weg wäre allerdings der einsatz einer live-cd wie z.b. ubuntu.

wenn du magst, schau dir auch das
http://www.pandasecurity.com/homeusers/downloads/usbvaccine/
mal an.

webmediaplayer, ein schädling der navipromo/favorit-familie, gibt es schon seit ewigkeiten nicht mehr.
beim nachfolgeprodukt, dem live player, existieren noch aktive download-links, auch wenn auf der homepage des herstellers folgendes
"Die besten Unterhaltungs- und Hilfsprogramme von Favorit Network sind nicht mehr verfügbar zum Download."
zu lesen ist.
installieren sollte man einen solchen mist generell nicht, es sei denn, man steht auf contextual advertising.
gibt ja nix, was es nicht gibt.

ist das system mit dem ganzen av-gedöhns, tuneup, azureus, würmer-einträgen... erhaltenswert?
imo: nein.

 

so.

vielen dank erstmal für eure hilfe.

ich werd noch ein bisschen rumfrimeln, und, ganz wie es ausschaut, dann windows neu draufspielen.

aus dem netz verabschiede ich mich dann bis auf weiteres (also, bis es halt wieder läuft), da der laptop, mit dem ich bisher ins netz konnte, morgen samt freundin n paar tage wegfährt.

danke nochmal, und ich melde mich die tage nochmal.