Herstellung Internetverbindung sofort nach Windows-Start

Dieses Thema Herstellung Internetverbindung sofort nach Windows-Start im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von FaberJoe, 24. Okt. 2005.

Thema: Herstellung Internetverbindung sofort nach Windows-Start Hallo, ich brauche Hilfe wegen einer Virusattacke. Auf meinem PC habe ich: - Betriebssystem Windows XP SP1 (ich...

  1. Hallo,

    ich brauche Hilfe wegen einer Virusattacke.

    Auf meinem PC habe ich:
    - Betriebssystem Windows XP SP1 (ich weiß, dass SP2 eigentlich Pflicht wäre, aber ich habe es bisher noch nicht geschafft dieses zu installieren;
    - MS Internet Explorer Vers. 6.0.2600.0000

    Als ich vor Kurzem im Internet war, meldete meine Norton Internet Securitiy Software einen Angriff. Im Protokoll war dann mehrfach vermerkt, dass Trojan.Phel automatisch gelöscht wurde; aber bei Trojan.KillAV wurde angezeigt, dass die Reparatur fehlgeschlagen ist und deshalb der Zugriff verweigert wurde.

    Seit dem erschien sofort nach dem Neustart des PC's bzw. Windows die Meldung: Sie (oder ein Programm) hat versucht, eine Verbindung mit 80mp3.com herzustellen. Bitte wählen Sie eine Verbindung aus.

    Bei einem Klick auf Abbrechen erschien sofort die gleiche Meldung, nur dass diesmal eine Verbindung zu www.updatemusic.com hergestellt werden sollte. Das ging abwechselnd immer so weiter.

    Laut Protokoll des NIS sollte immer eine Verbindung zur Remote-IP-Adresse 67.159.5.17 hergestellt werden.

    Per Zufall hatte ich herausgefunden, dass zu dem Zeitpunkt, als die Virusattake war (Donnerstag, 20.10.2005 gegen 22 Uhr) im Verzeichnis C:\Windows\System32 eine neue Datei namens ipctrl.exe angelegt wurde.

    Diese Datei war in der Registry unter
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    als Standard-Wert eingetragen und wurde automatisch gestartet.

    Beim Stöbern durch das Wintotal-Forum bin ich auf das Programm HiJackThis gestoßen. Mit diesem Programm habe ich es geschafft, bei einem Neustart die Datei ipctrl.exe zu löschen. Seit dem habe ich das Problem nicht mehr, dass automatisch eine Netzwerkverbindung hergestellt werden soll.

    Jetzt zu meinem Problem:

    Ist die von mir gelöschte Datei ipctrl.exe eine Datei, die unter Windows XP SP1 tatsächlich vorhanden und benötigt wird oder wurde diese bei der Virusattacke angelegt?

    Norton AntiVirus meldet bisher keinen Virus. Kann ich aber sicher sein, dass durch das löschen der Datei ipctrl.exe der Virus erledigt ist? Oder sollte ich noch ein paar andere Einstellungen oder Dateien überprüfen?

    Wie eingangs erwähnt, habe ich das SP2 noch nicht installiert. Seit dem erscheinen hat mich das Icon für Windows-Updates in der Taskleiste darauf hingewiesen, dass ein Update vorhanden ist und runtergeladen werden kann.
    Dieses Icon ist verschwunden.
    Wie kann ich das wieder aktivieren bzw. feststellen, ob mein Automatisches Windows Update noch funktioniert?

    Ich hoffe dass mir irgend jemand weiterhelfen kann. Für jede Hilfe bedanke ich mich schon jetzt.

    Da ich zum erstenmal in einem Forum teilnehme bzw. eine Nachricht schreibe, weiß ich nicht, ob ich mich richtig verhalten habe (oder z.B. zu ausschweifend war). Fall etwas nicht passt, teilt es mir ruhig mit.

    Nochmals vielen Dank im Voraus
    Gruß
    Josef
     
  2. Hallo,

    dabei handelt es sich nicht um eine Windows-eigene Datei, sie wurde, wie schon selbst vermutest, von dem Schadprogramm angelegt.

    Normalerweise sollte vor dem Löschen die Systemwiederherstellung deaktiviert werden, damit ein in die Wiederherstellung aufgenommenes Schadprogramm nicht wiederhergestellt werden kann.

    http://www.bsi.de/av/texte/wiederher_xp.htm

    Poste doch bitte einmal den HijackThis Bericht.

    Start ->Einstellungen ->Systemsteuerung ->Verwaltung ->Dienste ->Automatische Dienste ->Dienst starten und auf Automatisch stellen

    Schreibe hier momentan zwar nur als Gast, aber ich finde dein Posting ok. Besser zuviel Informationen, als zu wenige. ;-)

    SDNDNK
     
  3. :mad:
    Muss natürlich so heissen:

    Start ->Einstellungen ->Systemsteuerung ->Verwaltung ->Dienste ->Automatische Updates ->Dienst starten und auf Automatisch stellen
     
  4. Hallo SDNDNK,

    nachfolgend poste ich das HiJackThis-Protokoll:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:03:26, on 24.10.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Norton Internet Security\ISSVC.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Programme\ScanSoft\OmniPagePro11.0\opware32.exe
    C:\WINDOWS\Mixer.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\atiptaxx.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\DATA BECKER\ZipGenie\ZTray.exe
    C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
    C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programme\HijackThis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
    O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPagePro11.0\opware32.exe
    O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title=Corel Graphics Suite 11 /date=110405 serial=DR11CUG-0367701-LRX
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [ZipEasyTray] C:\Programme\DATA BECKER\ZipGenie\ZTray.exe /rt
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8BDF587F-8722-4147-A752-47B2D37017D6}: NameServer = 62.104.191.241 62.104.196.134
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B589D4F1-49B0-44AD-83D7-EB5363A3EDBA}: NameServer = 192.168.120.252,192.168.120.253
    O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\System32\kqfalhlf.dll (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

    Ich hoffe, es hilft weiter.

    Gruß
    Josef
     
  5. Hallo,

    Es fehlen das Service Pack und 1 und 2. Du solltest das Service Pack 2 dringend installieren. Natürlich auch alle danach erschienenen Sicherheits-Updates.

    Das Log sieht soweit in Ordnung aus. Bis auf diesen Eintrag:

    Das war nichts Gutes. Schaue einmal nach, ob du die Datei noch auf dem Rechner findest ( auch wenn HijackThis meint, die Datei wäre nicht mehr vorhanden ).

    Stelle die Ordneroptionen so ein, dass alle Dateiendungen angezeigt werden und nehme den Haken weg bei Erweiterungen bei bekannten Dateitypen ausblenden und bei Geschützte Systemdateien ausblenden.

    Wenn du die Datei findest, lasse sie bitte hier überprüfen:

    http://virusscan.jotti.org/de/ ( JavaScript aktivieren )

    Zusätzlich würde ich noch einmal eScan im abgesicherten Modus laufen lassen. eScan muss in das Verzeichnis C:\Bases_X entpackt werden, damit das Updaten funktioniert. Berchte dann, ob noch etwas gefunden wurde.

    http://www.trojaner-info.de/hijacker/escan.shtml

    SDNDNK
     
  6. Hallo SDNDNK,

    vielen Dank für Deinen Tipp.

    Ich habe die Festplatte durchsucht, aber die Datei kqfalhlf.dll nicht gefunden. Auch keine Datei, die so ähnlich lautet.

    Ich habe mir auch die Mühe gemacht, auf einem anderen PC (mit Windows XP SP2) nach dieser Datei zu suchen. Dort ist diese Datei auch nicht vorhanden. Jetzt weiß ich natürlich nicht, ob diese Datei bei meinem alten Windows XP (ohne SP) noch notwendig war und beim SP2 jetzt weggefallen ist, oder ob diese Datei bzw. dieser Eintrag von diesem Virusangriff stammte.

    Was mich auch überrascht, ist Dein Hinweis, dass auch bereits das Service Pack 1 fehlt. Ich bin bisher davon ausgegangen, dass zumindest dieses installiert wäre.

    Zu Deinem Tipp, eScan im abgesicherten Modus laufen zu lassen, habe ich auch noch eine Frage. Ich habe auf den von Dir angegeben Link gewechselt. Auf der Website werden zahlreiche Programme angeboten. Muss ich mir das Programm eScan AntiVirus (AV) for Windows runterladen? (Bitte nicht über diese Frage lachen, aber ich bin halt kein Profi).

    Nach dieser Virusattacke habe ich versucht, mit der Original Norton Internet Security-CD oder mit Norton-AntiVirus-Disketten oder mit einer KnoppixCilin-CD zu booten. Hierzu habe ich selbstverständlich im BIOS eingestellt, dass von CD-ROM bzw. von Diskette gebootet werden soll. Dann aber geschah folgendes:

    Beim Booten von CD-ROM mit der Norton-Internet-Security-CD erschien ein DOS-Fenster mit dem Auswahl-Menü, ob von Festplatte oder von CD gebootet werden soll. Aber der PC reagierte nicht auf die Eingaben über die Tastatur. Vielmehr bootete der PC nach 15 Sekunden von der Festplatte.

    Beim Booten von der Notfall-Diskette bzw. von der KnoppixCilin-CD erschien auch das entsprechende DOS-Fenster, allerdings fror der Bildschirm dann ein, d. h. auch hier keine Reaktion auf einen Tastendruck. Hier musste ich sogar die Reset-Taste drücken.

    Ist dieses Problem schon bekannt bzw. gibt es  hierfür eine Lösung? Denn was helfen mir saubere Boot-Medien, wenn ich sie nicht benutzen kann?

    Gruß
    Josef
     
  7. Hallo,

    kurz nachdem ich die vorherige Info eingetragen hatte, habe ich mir nochmal die Protokolldatei des Norton AntiVirus angesehen.

    Die Funktion Auto-Protect hat am besagten Donnerstag 20.10.2005 den Virus Trojan.KillAV erkannt.

    Das Protokoll gibt zeigt dann noch folgende ergriffene Maßnahmen an:
    zuerst: Reparatur fehlgeschlagen
    dann: Zugriff verweigert

    Als Quelle wird angegeben:
    C:\Windows\System32\kqfalhlf.dll

    Wie bei der vorigen Info, stelle ich mir jetzt immer noch die Frage: Ist die Datei kqfalhlf.dll erforderlich oder wurde sie vom Virus erstellt?

    Gruß
    Josef
     
  8. Dann wurde sie offensichtlich bereits gelöscht und jetzt ist nur noch der 021-Eintrag übrig. Den kannst du fixen ( links das Kästchen des Eintrages anhaken, dann Fix Checked klicken ).

    Muss ich mir das Programm eScan AntiVirus (AV) for Windows runterladen?

    Hier ist der Direktlink ( Download startet sofort ) der Datei mwav.exe. Die Datei mwav.exe rechtsklicken und dann in das Verzeichnis C:\Bases_X entpacken. Nicht einfach die Datei anklicken! Dann wird die Datei in ein temporäres Verzeichnis entpackt, von dem aus aber kein Update der Virensignaturen durchgeführt werden kann.

    Wenn du das Programm installiert hast, gehst du in das Verzeichnis C:\Bases_X, dort findest du die Datei kavupd.exe. Die klickst du an, es öffnet sich dann ein DOS-Fenster, in dem du sehen kannst, wie die neuesten Virensignaturen von einem Kaspersky-Server heruntergeladen werden. Wenn das Update fertig ist, startest du deinen Rechner in den abgesicherten Modus ( siehe Seite 2 der Beschreibung ), dann stelltst du die Scanoptionen so ein, wie dort beschrieben.

    ftp://update.mailscan.info/download/tools/

    SDNDNK

    Direktlink entfernt, Forumsregeln lesen - Punkt 7: http://www.wintotal-forum.de/index.php/topic,8546.0.html
     
  9. Die Datei ist keine Windows-Datei! Sie wurde von dem Virus erstellt. Also keine Sorge, du brauchst sie nicht.

    SDNDNK
     
  10. Hallo SDNDNK,

    damit ich nicht als unhöflich erscheine, weil ich nicht antworte oder Bescheid gebe, ob Dein Tipp geholfen hat, möchte ich mich für Deinen Hinweis zur DLL-Datei und zu MWAV bedanken. Aus beruflichen Gründen muss ich mein PC-Problem etwas hinten anstellen. Selbstverständlich gebe ich wieder Antwort, wenn ich Deinen Tipp ausprobiert habe.

    Gruß
    Josef
     
Die Seite wird geladen...

Herstellung Internetverbindung sofort nach Windows-Start - Ähnliche Themen

Forum Datum
Windows 8 Wiederherstellung auf Werkzustand abgebrochen, was nun? Windows 8 Forum 25. Sep. 2016
Problem bei Wiederherstellung von Windows 8.1 Windows 8 Forum 24. Juli 2016
Wiederherstellungsdatenträger (USB) aus Systemabbild erstellen Datenwiederherstellung 30. Jan. 2016
Wiederherstellung eines Festplatteninhaltes mit Betriebssystem Software: Empfehlungen, Gesuche & Problemlösungen 18. Jan. 2016
Schwarzer Bildschirm nach Systemwiederherstellung Windows 7 Forum 4. Jan. 2016