Hi

hab ein großes problem ,bei mir muß sich was auf der Platte geschrieben haben was nicht weggeht,beim surfen erscheint immer ein fenster
mit der Bezeichnung "Adverteisment" dann öffnet sich ein zweites
Fenster,"Sicherheitswarnung" wo gefragt wird ob eine datei geöffnet und
auf festplatte geschrieben werden soll,ich klicke natürlich "nein" bzw.
"abbrechen",dann meldet sich Antivir und meldet einen "trojaner" ich klicke
natürlich auf löschen,aber der trojaner erscheint wieder,dann klicke ich das
weg und dann ist ersteeinmal ruhe.Dann aber sind mir 2 weitere Sachen aufgefallen nachdem dieses alles passiert ist,normalerweise wenn ich aus dem Internetexplorer herausklicke,erscheint die Abfrage "Verbindung trennen/beibehalten",das erscheint jetzt nicht mehr ich muß also die
Internetverbindung extra anklicken um die Verbindung zu trennen.Zum
anderen wenn ich das Haptprogramm von Antivir starte kommt ja ein systemcheck,da erscheint eine Fehlermeldung die lautet"die geloggte Datei
c:\windows\system32\?pool32.exe konnte nicht ins temporäre Verzeichnis
kopiert werden",ich klicke ersteinmal auf ok und lasse mein Computer
durch,Antivir,Ad aware Se,Spybot komplett durchsuchen aber er kann nichts
finden,sowohl im normalen Modus als auch im abgesicherten Modus von
WinXP.

WAS IST DAS?????

mmm...

Du hast wohl einen Virus, welchen Antivir noch nicht kennt. Ein Log von Hijackthis könnte helfen, zu sehen, was alles bei dir im Speicher aktiv ist (sowohl normale Programme als auch das andere).
Dann kannst du diese pool32.exe mal suchen und bei einen von beiden Seiten hochladen:
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html

Und wieso surfst du mit dem IE rum?

HijackThis - bebilderte Anleitung

Gehe diese Seite (http://www.chip.de/downloads/c1_downloads_13011934.html) und folge die Anweisungen.

hier mit hijackthis durchgejagt:

C:\WINDOWS\wanmpsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOKUME~1\ROBERT\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BCBB07BA-9603-A7D4-7444-BCA93BE95BE8} - C:\WINDOWS\System32\thzwuh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - HKCU\..\Run: [Ksuyc] C:\WINDOWS\System32\?pool32.exe
O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\pape.exe
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt03.com/dialer/internazionale_ver10.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F4AA1F5-263F-4196-9752-2491FAD3D097}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F4AA1F5-263F-4196-9752-2491FAD3D097}: NameServer = 212.7.148.65 212.7.148.97
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

C:\DOKUME~1\ROBERT\LOKALE~1\TEMP\_VWUPSRV.EXE
klingt nach fake; ist normalweise teil von antivir und sollte dann auch im verzeichnis von antivir laufen

O2 - BHO: (no name) - {BCBB07BA-9603-A7D4-7444-BCA93BE95BE8} - C:\WINDOWS\System32\thzwuh.dll
weg damit

O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE :confused:

O4 - HKCU\..\Run: [Ksuyc] C:\WINDOWS\System32\?pool32.exe
weg damit, datei wie eintrag

O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\pape.exe
:confused:

O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
kann raus

O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
klingt suspekt

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt03.com/dialer/internazionale_ver10.CAB
weg damit, datei wie eintrag

zuvor sicherheitshalber die systemwiederherstellung deaktivieren

mmm...

Im Taskmanager abschiessen:
C:\DOKUME~1\ROBERT\LOKALE~1\TEMP\_VWUPSRV.EXE


Einträge löschen und Dateien löschen/ sammeln:
O2 - BHO: (no name) - {BCBB07BA-9603-A7D4-7444-BCA93BE95BE8} - C:\WINDOWS\System32\thzwuh.dll
O4 - HKCU\..\Run: [Ksuyc] C:\WINDOWS\System32\?pool32.exe
O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\pape.exe
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt03.com/dialer/internazionale_ver10.CAB


Edit: Ups, thx Sephirot für den Hinweis.

C:\WINDOWS\System32\wuauclt.exe
ist doch windows update Lokadamus

das hat Antivir gefunden:

\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\OPQRSTUV\ABOXINST_INT5[1].EXE

Ist das Trojanische Pferd TR/Dldr.VB.ft


die datei:

C:\WINDOWS\System32\thzwuh.dll

kann ich nicht löschen ,"zugriff verweigert"

und die datei:

C:\WINDOWS\System32\?pool32.exe

finde ich nicht wenn ich auf dateisuchen gehe.

versteckt??

im abgesicherten modus löschen bzw. mit diesem tool (http://www.wintotal.de/softw/index.php?rb=45&id=2276)

versteckte dateien machst du wiefolgt sichtbar:

arbeitsplatz -> extras -> ordneroptionen -> ansicht -> versteckte dateien und ordner -> alle dateien anzeigen

C:\WINDOWS\System32\?pool32.exe
finde ich nicht wenn ich auf dateisuchen gehe.
versteckt??mmm...

Sehr wahrscheinlich versteckt und als Systemdatei angelegt. Im Explorer unter Extras => Ordneroption => "Systemdateien ausblenden (empfohlen)" den Haken entfernen und "alle Dateien und Ordner anzeigen" setzen, dann siehst du hoffentlich die Datei ...

Also es gibt die dateien im system32 ordner:

spool32.exe
spoolss.dll
spoolsv.exe

aber keine ?pool32.exe,seltsam.

mmm...

Lad die spool32.exe mal bei einen von beiden Seiten hoch ...
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html
und sag dann das Ergebnis (Screenshot vielleicht davon und bei http://imageshack.us/ hochladen) ...

So,die datei spool32.exe war infiziert mit einem clamV verwandeten virus/trojaner,ich habe ihn gelöscht und habe danach ein WinXP Update
gemacht,jetzt läuft alles gut.

Aber zum WinXP Udate hab ich noch mal ne frage ,vor dem Update war es immer so das in der Symbolleiste für den DSL Anschluß/internetverbindung nur
ein Doppelmonitor/rechner Symbol angezeigt wurde jetzt sind es 2 Symbole.
Das eine ist die DSL Verbindung über WAN Miniport und die andere ist eine
LAN-Verbindung mit der Meldung"eingeschränkte oder keine Konnektivität".
Vielleicht ist mir das nicht vorher aufgefallen,aber wenn das LAN/Hochgeschwindigkeitsinternet Symbol bei Netzwerkverbindungen deaktiviert wird ist dann auch der Breitbandanschluß/WAN-Miniport getrennt.
Normal??Mir geht es ja darum das nicht jetzt jemand auf meinem Rechner
einfach zugreifen kann.

<...> und die andere ist eine
LAN-Verbindung mit der Meldung"eingeschränkte oder keine Konnektivität".Klingt nach Wireless LAN. Hast du dir sowas in letzter Zeit angeschafft?
Vielleicht ist auch nur durch irgendein Windows-Update die, ährm, "Symbolpolitik" geändert worden.

...ein Doppelmonitor/rechner Symbol angezeigt wurde jetzt sind es 2 Symbole.
Das eine ist die DSL Verbindung über WAN Miniport und die andere ist eine
LAN-Verbindung mit der Meldung"eingeschränkte oder keine Konnektivität".mmm...

SP2-Ärger: Eingeschränkte oder keine Konnektivität
Bei vielen DSL-Benutzern ist nach der Installation des zweiten “Windows-XP-Servicepack” ein neues Symbol im Infobereich aufgetaucht. Es möchte darauf hinweisen, dass keine oder nur eine eingeschränkte Konnektivität für die Netzwerkkarte vorhanden ist. Wie sich herausgestellt hat ist alles halb so wild. Die Fehlermeldung tritt nur deswegen auf, weill nur ein geringer Teil der Netzwerk-Resourcen benutzt wird.

Damit die Fehlermeldungen nicht mehr auftauchen muss man Folgendes tun:

Von der Systemsteuerung zu den Netzwerkverbindungen wechseln
Rechtsklick auf die benutzte LAN-Verbindung
Eigenschaften aufrufen
“Internetprotokoll” auswählen udn auf den Knopf “Eigenschaften” klicken
Das Kästchen vor “Folgende IP-Adresse verwenden” aktivieren
Unter “IP-Adresse” zum Beispiel 192.168.0.1. oder eine andere beliebige IP-Adresse eingeben
Als Subnetzmaske 255.255.255.0 angeben
So ist eine feste IP innerhalb des Netzwerks vergeben und die Fehlernachricht und das -symbol tauchen nicht mehr auf. hwe-Forum.de (http://www.hwe-forum.de/index.php/topic,6646.0.html) ... demnach hast du keine feste ip vergeben ...Bevor Du neuaufsetzt, versuch mal die LAN-Adapter zu deinstallieren und das TCP/IP-Protokoll zurückzusetzen.Von WinTotal (http://www.wintotal-forum.de/index.php/topic,72495.msg387793.html) ...

192.168.0.1 sollte nicht verwendet werden, weil es (bei Werkseinstellung) die IP-Adresse vieler (aller?) HW-Router ist. Besser irgendwas zwischen 2 und 253 als letzte Zahl.

also ich hab mir eine neue IP-adresse ausgedacht,und die Servernummer
von meinem Provider die ich schriftlich zugeschickt bekommen habe ,habe
ich unter "bevorzugter DNS-Server" eingegeben,und jetzt erscheint nicht
mehr die Meldung "eingeschränkte Konnektivität".

Danke nochmals...:)

TRotzdem ist aber meine Geschwindigeit nicht so dolle in dem Prospekt
meines Providers wurde bis zu 2Mbit/s downloadrate versprochen ,ich komme
aber maximal auf 230Kb/s,also rund nur ein 10tel.

TRotzdem ist aber meine Geschwindigeit nicht so dolle in dem Prospekt
meines Providers wurde bis zu 2Mbit/s downloadrate versprochen ,ich komme
aber maximal auf 230Kb/s,also rund nur ein 10tel.

Des passt scho´ ;)

TRotzdem ist aber meine Geschwindigeit nicht so dolle in dem Prospekt
meines Providers wurde bis zu 2Mbit/s downloadrate versprochen ,ich komme
aber maximal auf 230Kb/s,also rund nur ein 10tel.mmm...

Wie Hayabusa schon gesagt hat, ist alles in Ordnung. Du must erst von Bit in Byte umrechnen, um die "echte" Übertragungsrate angezeigt bekommen (2MBit durch 8 teilen). Das macht bei dir ca. 250 KByte pro Sekunde, wodurch noch einiges wegen Overhead weggeht und die 230KByte/Sek. in Ordnung sind ...

Ok,ich hab da nochmal eine letze frage ,ich hab dann noch sicherheitshalber
bei Netzwerkverbindungen/eigenschaften das Häkchen von "Datei und Druckerfeigabe für Microsoftnetzwerke" entfernt,ist das ok oder bin
ich jetzt beim Surfen(homepage einrichteh etc.) eingeschränkt??

mmm...

Eingeschränkt definitiv nicht, die Funktion dient dazu, um im Netzwerk Ordner von deinem PC freizugeben. Du solltest jetzt keine Ordner freigeben können (in der Netzwerkumgebung mal auf deinen PC gehen und gucken, was dort angezeigt wird).
Wenn man weder einen Router noch eine richtig konfigurierte PFw hat, kann so die halbe Welt auf den PC zugreifen und auf freigegebene Ordner gucken, böse Sache dann ...

Zitat von Gastof
TRotzdem ist aber meine Geschwindigeit nicht so dolle in dem Prospekt
meines Providers wurde bis zu 2Mbit/s downloadrate versprochen ,ich komme
aber maximal auf 230Kb/s,also rund nur ein 10tel.


Des passt scho´


umrechnung von megabit/sekunde in kilobyte/sekunde scheint vielen noch mehr schwiergkeiten zu bereiten als kilobit/sekunde in kilobyte/sekunde