Virus-Verdacht in Winsock LSP

Bin am verzweifeln. Habe seit ein paar Tagen riesige Probleme mit dem Internet (IE7). Arbeite mit Fritz Box Fon WLan 7050 (über Kabel) und XP Home, alles mit den neuesten Updates und Fixes. Virenscanner ist von Avast. Habe schon versucht die Fritz Box zurückzusetzen und alles neu eingegeben. Bevor ich HijackThis laufen ließ, habe ich das System noch mit Ad-Aware überprüft. Virenscanner und Ad-Aware haben nichts gefunden. In HT ist mir aufgefallen, das 4mal folgendes aufgeführt war und als sicher erkannt wurde:
"WinsockLSP: c\programme\fritz!dsl\sarah.dll"
Diese dDatei ist die Fritz Application Firewall. Ich habe den Verdacht, dass da evtl. von aussen manipuliert wurde. Der Vorschlag war mit LSPFix von Cexx.org die dll zu reparieren. Hat jemand von euch Erfahrungen damit? Ist es nicht sinnvoller die Box komplett zu deinstallieren und neu zu installieren? Was muss dann evtl. in der Reg. geändert werden? Bitte helft mir mit nicht so vielen Spezialausdrücken, da ich nur ein seit Jahren lernender User bin. Ach so, momentan surfe ich mit dem Gastkonto und habe kein Problem mit dem Surfen. Allerdings habe ich die Box so rigoros eingestellt, dass nichts mehr rein geht ohne mein Wissen!?
Danke schon mal für eure Hilfe!

 

LSPFix von Cexx.org...davon würde ich lieber absehen...kenne das Proggi und hatte nur Theater damit!

Wenn deine Probleme nur beim IE7 auftreten und alle anderen Browser und Internetanwendungen problemlos funktionieren, solltest du in Betracht ziehen das eventuell der IE 7 nicht korrekt funktioniert...hatte früher mal ein ähnliches Problem und musste den IE7 erst deinstallieren und dann re-installieren.

Annsonsten: Die FritzProtect Firewall ist keine gute Firewall, sie ist recht leicht zu manipulieren und zu umgehen. Ich habe ebenfalls eine Fritzbox (7170SL)
und nutze nichts von der beiliegenden FritzSoftware (Nichts von der
andere Software ist nötig um den Internet Betrieb zu gewährleisten)
Hast du schon eine Bootime Überprüfung mit dem Avastscanner vorgenommen? Hierbei wird das System während des Bootvorgangs überprüft, noch bevor das Betriebssystem geladen wurde. Viele Viren ist anders gar nicht auf die Schliche zu komen, da sie nach dem Booten eine Art "Tarnkappe" (Rootkit) nutzen und sich so im verborgenen halten.

Der Avast Virenscanner ist ein sehr ordentliche Programm mit guten Erkennungsraten bei Spy-, Ad- & Malware (über 95%). Das ist mehr als viele andere Virenscanner bieten, allerdings hat der Avast Scanner leichte Schwächen bei Archiven (Gepackten Dateien) die er nicht immer entpacken kann um sie zu Scannen. Deshalb solltest du einen 2. Virenscanner nutzen, allerdings keinen der ebnfalls einen Hintergrundwächter mit Echtzeitschutz nutzt, da hier schwerste Systemfehler zu erwarten wären. Zu diesem Zweck solltest du dir den Dr.Web CureIt Scanner herunterladen und ausführen, es handelt sich hierbei um einen reinen OnDemand Scanner der komplett ohne Installation von Dateien und Diensten auskommt. Ein Doppelklick auf CureIt genügt und das Programm wird ausgeführt, allerdings solltest du denScan sofort abbrechen und von Schnellscan auf Komplettscan umschalten, érst dann den Scan ausführen.
Ebenso solltest du in Betracht ziehen einen guten OnlineScanner zu nutzen, wie zb den Kaspersky Onlinescanner. Hierzu musst du die Homepage des Herstellers mit dem IE besuchen, da zum Ausführen des Scans ActiveX benötigt wird, eine (unsichere) Technik die nur vom IE unterstüzt wird.

Die Suche nach anderen Schädlingen ist in der Tat dringend Nötig, allerdings gibt es dazu erheblich bessere Programme als Ad-Aware, hier würde ich dir Empfehlen dir von EMI Soft das Programm A-Squared free herunterzuladen (ebenfalls kostenlos) du musst dir dazu nur ein Benutzerkonto auf der HP des Herstellers anlegen da du einen Code per E-Mail bekommst, damit du das Programm nutzen kannst. All diese Schritte sind kostenlos. A-Squared hat eine Signatur Datenbank von derzeit ca. 1,15 Millionen Schädlingen welche ausschliesslich aus dem Berreich Spy-, Ad- & Malware stammen, zum vergleich BitDefender 2008 mit Spywareschutz hat genau so viele Signaturen allerding inkl. Virensignaturen.
Nach einer Überprüfung mit A-Squared bleibt dann noch dein System Gründlich nach Rootkits zu untersuchen.

Avast bietet seit Version 4.8 einen integrierten Rootkitscanner, allerdings kann der nicht das leisten was die Hochspeziallisierten Anti Rootkit Tools leisten. Von diesen Tools solltest du dir gleich mehrere besorgen, da Rootkits auch heute noch die am schwersten zu erkennenden Schädlingen sind, und auch das beste Anti Rootkit Programm kann nicht alle diese Schädlinge findet.
Keine Angst, mehere AntiRootkit Programme behindern sich nicht gegenseitig und bringen auch dein System nicht ins Straucheln.

Du solltest dir die Programme GMER, AVG-Anti Rootkit, F-Secure Blacklight und Panda AntiRootkit besorgen. All diese Programme sind kostenlos. Anfangen solltes du mit GMER, nach dem Programmstart solltest du zunächst alle Haken setzen und dann auf "Scan" klicken, nun dauert es ein wenig und dein System wird untersucht. Wenn der Scan abgeschlossen ist scrolle durch die angezeigten Einträge. Sollte hier etwas Rot makiert sein handelt es sich um ein Rootkit oder Bestandteile dessen. Du kannst versuchen die Einträge zu entfernen mit den von GMER angebotenen Optionen, allerdings gibt es Rootkits wo nur noch eine Neuinstallation von Windows hilft.
Sollte der Scan ergebnisslos bleiben, arbeite alle AntiRootkit Tools der Reihe nach durch. All die anderen Rootkit Tools sind sehr leicht zu bedienen und arbeiten ähnlich wie ein Virenscanner.

Ausserdem solltest du unbedingt im Router als auch in Windows "Universal Plug & Play" (UPnP) abschalten. Es handelt sich hierbei um ein massives Sicherheitsrisiko, da es Anwendungen (auch Schadhaften) möglich ist bei aktivem UPnP Ports im Router zu öffnen und zu schliessen nach Lust und Laune und OHNE das du davon etwas mitbekommen würdest. Bei Windows findest du UPnP bei den Diensten, in der Systemsteuerung/Verwaltung/ Dienste. Hier solltest du auch gleich andere überflüssige und gefährliche Dienste abschalten: Nachrichtendienst, DCOM....je nachdem wie du den Rechner nutzt und ob du das Automatische Windowsupdate brauchst oder nicht gibt es noch eine Reihe anderer Dienste die du abschalten oder auf manuell setzten solltest. Hier jedoch ins Detail zu gehen würde den Rahmen sprengen.

Sehr Aufschlussreich kann auch eine Überprüfung der etablierten Internetverbindungen und welches Programm welchen Port nutzt. Hierzu kannst du dir ebenfals bei EMI Soft das Programm HiJack free herunterladen (auch kostenlos). Nachdem du es gestartet hast wird dir sehr detaliert angezeigt: welche Dienste gestartet sind (es gibt dutzende Dienste die du nicht in der Systemsteuerung unter Verwaltung/Dienste finden wirst), welche Programme geladen sind und welche davon aktiv, welche Programme aktuell eine Internetverbindung etabliert haben, welche Browser Helper Objekte (BHOs) aktiv und installiert sind und noch vieles mehr. All das nützt dir natürlich herzlich wenig wenn du nicht weisst was davon gefährlich und was harmloss ist, zu diesm Zweck kannst du mittels Mausklick die Einträge mit einer Internetdatenbank abgleichen, wo dann jeder Eintrag in Echtzeit entweder rot, gelb, oder grün unterlegt wird. Mit einem Klick auf einen Eintrag kannst du dann detalierte Informationen über das Objekt einholen. Dieses Programm ist sehr Hilfreich wenn das System von unbekannten Schädlingen oder einem Rootkit befallen ist.

Sollten alle Untersuchungen mit Boottime überprüfung, Malware überprüfung und Rootkit überprüfung Ergebnisslos bleiben, liegt das Problem höchstwahrscheinlich am IE.

Wobei ich dir ganz klar empfehlen würde vom IE abzusehen. Auch in der aktuellen Version ist der IE nach wie vor das beliebteste Angriffsziel, ein besonders sicherer Browser ist zb. der aktuelle Opera Browser und ein schneller noch dazu. Hier kannst du alle Sicherheistrelevanten Einstellungen per Mausklick erledigen: Ein- & Ausschalten von Java, Javascript, sämtlichen PlugIns (Flash, Quicktime, Realplayer, Shockwave) Referer Übertragung, von welcher Seite welche Cookies erlaubt sind und als welcher Browser sich Opera ausgeben soll. Viele dieser Funktionen sind auch beim FF nachrüstbar allerdings sind die wenigsten Erweiterungen signiert und nicht alle Erweiterungen vertragen sich untereinander, oft führen sie zur Insatbilität von FF.
Sehr viele Schädlinge kommen durch manipulierte Internetseiten auf das System und zwar ohne das man auf den Seiten irgendetwas anklicken müsste. Dieses ist durch aktives JavaScript erst möglich, wobei es auch wiederum Seiten gibt die ohne aktives JavaScript nicht korrekt oder garnicht arbeiten. Zb: Das Routerinterface der Fritzbox, einige Foren, LogIn Seiten, Web Mail Anbieter. Deshalb ist es sehr wichtig einen Browser zu nutzen wo sich JavaScript blitzschnell ein- und ausschaltbar ist, ohne sich erst durch diverse Menüs zu hangeln, denn nach Möglichkeit sollte man ohne aktives JavaScript Surfen.

Wichtig: bevor du irgendetwas machst, lege ein Backup deiner wichtigen Dateien an und erstelle Gegebenefalls einen Systemwiederherstellugspunkt. Bei Fehlbedienung kannst du durchaus deinen Rechner zerschiessen, deshalb nutze gegebenenfalls die Supportforen der einzelnen Programme.

mfg Frogshock

 

Mach mal bitte ein Hijackthis-Log.
Bevor du ein zusätzliches AV-Programm und Rootkitscanner installierst.

 

Hat er das nicht schon gemacht, das mit HiJack This? Oder hab ich mich da verlesen? Wenn nich solltest du das zuerst machen und dann das Log auf http://hijackthis.de/ posten....trotzdem...Hijack This erkennt bei weitem nicht alles und ist vor allem auf Autostart und Reggi spezialisiert. GMER ist erheblicher gründlicher als HiJack This und bietet beim Autotart mehr Funktionen, du kannst zb. das System booten und jedes Startup einzeln erlauben oder verweigern, unabhängig von wo aus das Proggi/Treiber/exe/dll gelauncht werden soll.....

Ausserdem A-Squared Hijack Free ist genau das selbe wie HiJack This nur eben benutzerfreundlicher, mit mehr Funktionen und der wichtigste Unterschied: bei HiJack this wird ein Schnappschuss sozusagen erstellt, während bei HiJack free das System in Echtzeit überwacht wird und sämtliche Änderungen sofort angezeigt werden. Vor allem können auch ungeübete Nutzer mit den Ergebnissen selbst was anfangen, da die Ergebnisse sofort per Datenbank abgeglichen werden und anschliessend farblich unterlegt werden.

mfg Frogshock

 

und vielleicht will Deo auch mal reinschauen, Automatische Auswertungen sind auch nicht immer zuverlässig

 

Da wird einem wieder ganz Angst und Bange, wenn man Frogsters posting liest.

Warum soviele User sich das antun, bis an an die Zähne bewaffnet ins Inet zu gehen, bleibt mir ein Rätsel, wo es doch mit Linux in einer "Virtual Machine" so gut wie sicher ist. Ein einfaches rollback zum sauberen Ursystem räumt letzte Zweifel an einer Infektion gründlich aus.
Passionierte Online-Zocker könnten dies mit einem virtuellen Windows nicht machen wegen Einbußen der Grafik-Performance, jedoch mit Windows Steady State (auch mit rollback!). Übrigens werden beide Lösungen als Freeware angeboten.

 

brain.exe allein reicht zum surfen.. da dieses aber bei vielen Usern bugs hat... wäre es sinnvoller gleich den Stecker zu ziehen und die Sonnne zu geniessen.
Hab den Megatext nicht lesen wollen/können

 

Ich habe es aber nicht gesehen.

Aber damit fängt man für gewöhnlich an. Man schießt ja auch nicht mit Kanonen auf Spatzen. (Sprichwort)

Dann sollte man auch die Ergebnisse erklären können.
Ansonsten schlägt man Tools nicht vor, mit denen der TO dann allein im Regen steht.

Man muss zuerst davon ausgehen, dass das System infiziert ist. Dann ist es wahrscheinlich, dass dann Scanner bereits bei ihrer Installation versagen oder deren Ergebnisse unzuverlässig sind. HijackThis ist einer der weniger Scanner, die nicht installiert werden müssen.

Man kann den PC mit einer Notfall-CD mit eigenem Betriebssystem booten, von der auch ein Scanner gestartet wird. Damit ist sichergestellt, dass das gestartete Betriebssystem sauber ist. Die neusten Signaturen kann man direkt aus dem Internet runter laden oder von einem USB-Stick.

Auch wenn der PC nicht infiziert ist, zeigt das HijackThis-Log, was auf dem PC läuft. Diese Info wird als erstes benötigt, um weitere Schritte empfehlen zu können...

 

Na ja, das neue brain.exe v.1.01 scheint laut changelog die bugs ausgebügelt zu haben. Dürfte aber unerschwinglich für viele sein, da es leider ein Mindestmaß an Einsatz gewisser Mittel fordert...

 

@Frogster

Ich glaube nicht, dass es eine so gute Idee ist DCOM, abzuschalten.

http://support.microsoft.com/kb/825750/de

Das, was man hier liest, spiegelt nicht den aktuellen Stand von DCOM auf modernen NT-Systemen wider :

http://www.website-go.com/PC-Sicherheit/DCOM/DCOM.php

 

Erinnert mich stark an Autoruns; gibt's da einen Unterschied ?

http://www.microsoft.com/germany/technet/sysinternals/utilities/Autoruns.mspx

 

Zunächst mal ich surfe seit Jahren ohne DCOM, ohne die geringsten Einbussen oder Probleme. Ich bin auch Online Zocker und deshalb kommt ein virtuelles System nicht in Fage.

Welche Dienste man abschalten kann und wlche nicht, hängt davon ab was man mit dem Rechner macht und wozu er genuzt werden soll.
Wie du aufgelistet hast, wird DCOM vor allem für Remote Dienste benötigt, und in irgendeiner Form Fernsteurungsdienste auf meinem Rechner aktiv zu haben liegt mir fern, zumal DCOM allgemein als unsicher gilt und schon etliche Sicherheitslücken bei diesm Dienst von MS gefixt werden musste.
Es sei den natürlich man ist dringlichst auf Remote Dienste angewiesen, ansonsten würde ich empfelen soviele Remote Dienste wie möglich abzuschalten (Remote Registry usw.) bis auf die Essentiellen, die sich auch nicht beenden lassen.

Das HiJack this nicht installiert werden muss ist schon richtig, und das viele Schädlinge ein Update der Signaturdatenbank verhindern ebenso...aber nur bei gebootetem Windows deshalb habe ich ihm ja auch empfohlen mit Avast die Bootime defragmentierung zu machen, welche VOR dem booten des OS ausgeführt wird!

Selbst XPY biete (Sinvoller Weise) an DCOM abzuschalten.
Thema: GMER nich gebrauchen könnn, weil man es nicht bedienen kann. Alle kritischen und schädlichen Einträge werden bei GMER farblich unterlegt und können mit nem Kilck auf "Fix it" behoben werden, wer jedoch Farbenblind ist und nicht lesen kann, kann in der Tat Probleme bekommen. Es gibt auch ein Hilfeforum für GMER oder erwartest du ernsthaft das ich jede Funktion und jede Eventualität hier poste???

GMER bietet in der Tat mehr als AutoRuns...klick mal auf die drei Pfeile neben "Rootkit" und Staune.

Thema mit Kanonen auf Spatzen schiessen.
Nun Brain.exe zu nutzen reicht bei weitem nicht mehr aus heutzutage. Leider ist es Gang und Gäbe geworden mittels Crosshack schädlichen Code auf Internetseiten renomierter und seriöser Anbieter zu plazieren, gerade deshalb wiel man dort nicht damit rechnet. Schon der alleinige Besuch dieser Seiten bei aktiviertem JavaScript reicht dann schon aus, um sich was einzufangen. Und nun zu erwarten das jeder Nutzer JavaScript abgeschaltet hat (zumal wohl viele nicht einmal wissen was das ist) dürfte wohl fernab jeglicher Realität liegen.
Wer nun denkt "Dafür habe ich meinen Virenscanner"....dem darf ich sagen, das es leider bei weitem nicht mehr ausreichend ist einen Virenscanner zu nutzen und sich in Sicherheit zu wiegen. Warum? Im Jahr 2007 wurden mehr als doppelt so viele neue Viren entdeckt wie im Jahr 2005/2006 zusammen. Virenprogrammierung ist zu einem Multimilliarden Dollar Geschäft geworden und wie die Firma EMSI Soft bereits richtig bemerkt hat, wird klassische Virenerkennung mittels Signaturerkennung sehr bald an ihre Grenzen stossen und nicht mehr ausreichenden schutz gewährleisten. Viele der Kommerziel entwickelten Viren aus dem Chinesischen Raum werden niemals ein Signatur Labor der reomierten Anbieter von innen sehen, auch das haben die grossen Anbieter von Schutzlösungen bereits erkannt (Kaspersky, Panda, Norten usw.)

Wer nun glaubt...macht ja nix...auf meinem Rechner ist nichts interessantes drauf und die meisten Angriffe gelten ja eh eher Firmen....wieder Falsch....mehr als 80% aller Angriffe gehen auf Rechner von Privat Personen und zwar zum grossen Teil nicht darum um Daten zu stehlen, sondern um Rechenleistung zu stehlen, um Angriffe auf Firmennetze auszuführen, um Massenhaft Spam zu versenden oder um dem Rechner ein Botnetz hinzuzufügen.
Hinzukommt noch die von allen Seiten betriebene Schnüffellei grosser Unternehmen um an Nutzerdaten zu kommen um Profile erstellen zu können und kaufverhalten zu beurteilen.

Kurz gesagt, mit Kanonen auf Spatzen zu schiessen...dieses Sprichwort zählt meiner persönlichen Meinung nach heutzutage nicht mehr.
Der Anwender sollte die Mittel die ihm zur Verfügung stehen (in einem vernünftigen Maß) um seine Sicherheit halbwegs zu gewährleisten.

Thema Virtualisierung.
Eine sehr effiziente und recht zuverlässige Art sich zu schützen....ganz ohne Zweifel...leider, wie mein Vorposter schon bemerkt hat, nicht für jeden Praktikabel. Auch ich nutze Linux für alle Arbeitsaufgaben...nur im Berreich Multimedia und Spiele sieht es da nunmal nicht so berrauschend aus, und in einem virtuellen PC Windows unter Linux laufen zu lassen ist in Punkto Performance keine echte Option.

Das Tool Steady State von MS ist wirklich gut gedacht nur zum einem ein Ressourcenfresser und wenn es dann tatsächlich genutzt wird, wird der Rechner zu einer "Bootkrücke" gemacht....nichtsdestotrotz die Funktionen im Kern sind wirklich gut...aber im jetzigen Stadium ist für mich persönlich das Tool noch nicht ganz alltagstauglich...jedoch für PCs in Schulen und Internetkaffees erste Wahl.

Deshalb gelten für mich folgende Grundregeln:
Eingeschränktes Benutzerkonto benutzen, Gute Firewall Mit integriertem H.I.P.S. (Host Introdusion Protection System) zb. Comodo v3, vernünftiges AntiViren Proggi zb. Avira AntiVir Premium (Kaspersky beisst sich leider mit der Comodo, wohlgemerkt als einziges AntiVirus Produkt), gutes Anti Malware Programm zb. A-Squared free, bei bedarf ein Überwachungsprogramm für aktive Internetverbindungen zb. A-Squared HiJack Free oder für versierte Nutzer WireShark, vernünftige AntiRootkit Tools bei Bedarf, Sandboxie, einen gescheiten Internet Browser und zu guter letzt gesunder Menschenverstand und Misstrauen.

mfg Frogshock

 

@Frogster
Wen hast du jetzt angesprochen?

Gmer installiert einen Kernel Treiber, der möglichst vor einem Rootkit aktiv sein sollte.
Der Treiber wird nach dem ersten Start von Gmer bei jedem Systemstart geladen.
Auszug aus Autoruns:
HKLM\System\CurrentControlSet\Services
gmer | GMER Driver | http://www.gmer.net | GMER | c:\winnt\system32\drivers\gmer.sys

Alle kritischen und schädlichen Einträge werden bei GMER farblich unterlegt...
Gut zu wissen. Ich habe da noch nie einen farblich unterlegten Eintrag gesehen. Das muss aber auch nicht sein.

 

....der TO hat nach diesen gewaltigen Ausführungen von Frogster offenbar bereits kapituliert. Er hat sich seit 13.04.2008 00:13 nicht mehr gemeldet!

 

Hallo,
erstmal vielen, vielen Dank für eure Antworten. Habe noch nicht alle durchgelesen, werde das aber heute noch nachholen. Sollte alles geklappt haben und wieder funktionieren, werde ich hoffentlich eine Erfolgsmeldung schreiben können.

 

@Babu1940
Nein, ich habe noch nicht kapituliert sondern mir alles haargenau durchgelesen (bin nun mal eine Sie) und erst mal alle Progs notiert. Ich werde diese jetzt runterladen und wie vorgeschlagen nacheinanderausprobieren. Ihr habt recht, das HiJac This log hatte ich nicht gepostet, da es mit der Dateiendung Probleme gab. Habe diese jetzt in .txt umbenannt und poste dieses jetzt. Sollte irgendwas falsch sein, bitte gebt mir Ratschläge. Auch ältere Personen sind durchaus lernfähig.
Mfg,
canosanchis

 

Die Winsock-Einträge sind vermutlich von der fritz!dsl-Software. (Von AVM, dem Hersteller der Fritz!Box! )
Über die Winsock können Programme auf das TCP/IP-Netzwerkprotokoll zugreifen. Die fritz!-Software kann so den Datenverkehr protokollieren und das Netzwerk direkt nutzen. Andere Netzwerktools auch. Allerdings auch Schädlinge. Das scheint laut HijackThis nicht der Fall zu sein.
Wenn die (unnötige) fritz!dsl!-Software deinstalliert wird, sollten die Winsock-Einträge verschwinden.

 

An alle die versucht haben mir zu helfen,ein großes Dankeschön. Habe alle vorgeschlagenen Anti-Viren-Programme, Anti-Rootkits und Online-Scanner laufen lassen. Keiner hatte einen Befund. Doch siehe da, seit heute kann ich wieder problemlos surfen und zwar so schnell wie es sich für eine 6000er gehört. Nochmals danke für eure Zeit und Unterstützung.