[DerBaer123]

Hi,

Ich habe 2 Probleme. Möglicherweise ist das eine auch eine Folge des anderen:

1. Ich kann den Dienst "Windows-Verwaltungsinstrumentation" nicht starten, weil vermutlich der Dienst Ereignisprotokoll nicht gestartet werden kann. (wenn ich ihn starten will kommt: "Der Dienst...konnste nicht gestartet werden. Das System kann die angegebene Datei nicht finden")

2. Ich hab meinen Computer direkt mit einem LAN-Kabel mit meinem Laptop verbunden. von meinem PC aus kann ich den Laptop anpingen, aber umgekehrt nicht(->"Zeitüberschreitung der Anforderung"). Woran kann das liegen?(Firewall ist überall deaktiviert)

Vielen Dank schonmal für eure Mühe.

[collimas]

Du hast da ziemlich seltsame Fehler.

Ein Problem mit dem Ereignis-Protokollierungsdienst hatte ich das letzte mal, als eine hartnäckige Spyware Windows heimsuchte.

Lass mal folgende Scanner laufen:

ComboFix
Kaspersky Antivirus

Zum Ping-Problem:

Es kann durchaus sein, dass ein Wurm oder ein Trojaner deine Netzwerkverbindung manipuliert, scanne den Rechner auf Malware.

Sind wirklich ALLE Firewalls deaktiviert - inklusive der Windows-Firewall?

[DerBaer123]

Hi,

danke erstmal für die Antwort.
ComboFix liefert folgendes Log:

ComboFix 08-08-12.01 - Michael 2008-08-13 15:59:36.1 - NTFSx86
[codebox]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Michael\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
.
ADS - system32: deleted 12 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\ZDHFZCBY\interclick.com
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\ZDHFZCBY\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\MSINET.oca

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 ))))))))))))))))))))))))))))))
.

2008-08-11 17:29 . 2008-08-11 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\temp
2008-08-10 11:34 . 2008-08-10 11:34 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-07-14 14:25 . 2008-07-14 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Apple Computer
2008-07-14 14:02 . 2008-07-14 14:03 <DIR> d-------- C:\Programme\Software\QuickTime
2008-07-14 14:02 . 2008-07-14 14:02 <DIR> d-------- C:\Programme\Software\Apple Software Update
2008-07-14 14:02 . 2008-07-14 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-14 14:02 . 2008-07-14 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))
))))
.
2008-08-13 13:42 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Notepad++
2008-08-13 04:58 108,544 ----a-w C:\WINDOWS\system32\services2.exe
2008-08-13 04:58 108,544 ----a-w C:\WINDOWS\system32\services.exe
2008-08-11 15:22 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Hamachi
2008-08-11 14:08 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\teamspeak2
2008-08-09 06:53 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\StarOffice8
2008-07-30 19:01 --------- d-----w C:\Programme\Software\Trillian
2008-07-29 17:02 --------- d-----w C:\Programme\Software\CamStudio
2008-07-22 05:01 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\gtk-2.0
2008-07-21 16:40 --------- d-----w C:\Programme\Software\Grafik
2008-07-12 11:49 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-12 11:49 --------- d-----w C:\Programme\Software\Hamachi
2008-06-20 18:33 --------- d-----w C:\Programme\Software\Z-Plot
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-01 19:45 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-24 11:21 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
2008-05-24 10:45 4,608 ----a-w C:\WINDOWS\system32\bbchlp.dll
2008-05-24 10:45 30,720 ----a-w C:\WINDOWS\system32\bbcap.dll
2008-04-25 20:15 23 --sha-w C:\WINDOWS\system32\edccfccf6_z.dll
.

<pre>
----a-w		11,624,176 2006-11-14 12:16:06  C:\Sicherung\Alles\Setup\Spiele\RPG\JKJA\Jedi Knight 3 - Jedi Academys Patch 1.01 .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[ GlobalFlag REG_SZ 0x000010F0]
"debugger"=ntsd -d

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Michael^Startmenü^Programme^Autostar
t^hamachi.lnk]
path=C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-11-03 09:56 204288 C:\Programme\Software\windows media player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
"helpsvc"=2 (0x2)
"SharedAccess"=3 (0x3)
"Spooler"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"TuneUp.Defrag"=3 (0x3)
"FSMA"=3 (0x3)
"FSDFWD"=3 (0x3)
"FSAUA"=3 (0x3)
"F-Secure Gatekeeper Handler Starter"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Software\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-05-04 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\Software\TuneUp Utilities 2008\OneClickStarter.exe [2008-05-17 15:04]

2008-07-14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Software\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\owv2kwx6.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
FF -: plugin - C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Software\AcrobatReader 8.0\Reader\browser\nppdf32.dll


**************************************************
************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 16:01:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************
************************
.
Zeit der Fertigstellung: 2008-08-13 16:03:09
ComboFix-quarantined-files.txt 2008-08-13 14:03:07

Pre-Run: 17 Verzeichnis(se), 166,001,438,720 Bytes frei
Post-Run: 21 Verzeichnis(se), 167,065,718,784 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /noguiboot /NoExecute=OptIn

145 --- E O F --- 2008-06-11 17:06:42

[DerBaer123]

So, das 2. Programm ist auch durchgelaufen. Hat ein paar sachen als Gefährlich angezeigt. Die hab ich einfach gelöscht. Aber es ghet immer noch net

[collimas]

Mitunter sind die Auswirkungen von Malware auch nach deren Entfernung noch wirksam. Wenn die Entfernung nichts gebracht hat und wirklich keine Firewall läuft, lautet die sicherste Methode: wichtige Daten sichern und danach eine saubere Neuinstallation durchführen - also nicht reparierend drüberinstallieren, sondern Festplatte löschen und neu installieren.

Ist natürlich die undankbarste Methode, aber viel mehr lässt sich per Ferndiagnose nicht ausrichten.

[DerBaer123]

naja, da wird mir dann wohl nichts anderes übrig bleiben.
Aber trotzdem Danke für eure Bemühungen.