Hallo zusammen,

seit dem 09.08 kann ich weder mail's abrufen, noch im Internet surfen. Der IE und der Firefox bringen lediglich die Meldung "Diese Seite kann nicht angezeigt werden".

Ich habe an dem Rechner (W2000) nichts gemacht.

Der DFÜ-Monitor (ISDN) neben der Uhrzeit zeigt an, daß eine Verbindung besteht. Aber es geht absolut gar nichts. Selbst ping, nslookup, tracert usw. liefert kein Ergebniss. Es heist nur, Host kann nicht aufgelöst werden.

Ich habe mit Kaspersky und einer aktuellen Virendatei vom 09.08 das System gescannt. Kein Virus gefunden. Stinger findet auch nichts. CWShredder auch nicht. Das Log von HijackThis ist glaube ich auch harmlos.

DFÜ Netzwerk habe ich auch genau überprüft.

Was mich stutzig macht, ist die Tatsache, daß weder ping noch nslookup oder tracert gehen. Firewall ist keine installiert!

Bin total ratlos!

Vielleicht kann mir ja jemand weiterhelfen?

Viele Grüße
tomate

Wieso hast du keine Firawall installiert? Dein System ist ein offenes Scheunentor.

Bitte das Logfile von Hijackthis posten.

Außerdem noch einen weiteren Scan mit AdAware SE durchfüheren.

http://www.chip.de/downloads/c1_downloads_13000824.html

Ergebnis bitte berichten.

Hallo,

hier das HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 09:53:23, on 15.08.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
D:\Programme\FRITZ!\IWatch.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Caplio Software\RGateL.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = D:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: hpoddt01.exe.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: officejet 6100.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Global Startup: RICOH Gate La.lnk = C:\Programme\Caplio Software\RGateL.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_W ... ofupld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D993F49-E846-494C-92E6-AEF0B2B93810}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Was mir etwas komisch vorlommt:
- soap.exe (gefixt mit HiJack, auf Platte jedoch nicht vorhanden)
- RGateL.exe (dazu konnte ich nichts finden)
- HKLM\System\CCS\Services\Tcpip\..\{6D993F49-E846-494C-92E6-AEF0B2B93810}: NameServer = 192.168.120.252,192.168.120.253

AdAware kann ich leider nicht installieren. Der Rechner in nämlich in München bei meiner Stiefmutter.

Viele grüße
tomate

Dein IE ist nicht mehr auf dem neusten Stand. Bitte updaten oder gleich den Mozilla Firefox nehmen.

http://www.chip.de/downloads/c1_downloads_13012430.html

Dieser Eintrag muss gefixt werden:

O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min

Allerdings will ich die weitere Bearbeitung in die Rubrik Online- und PC- Sicherheit überstellen.
Für die Entfernung gibt es spezielle Software.

Hattest du das Logfile mitgenommen?

Ja, das Logfile habe ich.
Diese soap.exe kommt mir auch komisch vor. Die Einträge habe ich mit HiJack gefixt. Aber auf der Platte konnte ich weder das Verzeichnis noch die angegebene Datei finden?

Wie soll ich nun weiter vorgehen?

Viele Grüße
tomate

Wie gesagt, dafür gibt es spezielle Sopftware. Ich glaube das Programm heißt "Killbox"

http://nikita.eddys-domain.de/killbox.html

Aber bitte keinen Schnellschuß. Das möchte ich den Spezialisten von der Online- und PC- Sicherheit überlassen.

Hallo automatix,

hast Du das Thema in "Online- und PS-Sicherheit" überstellt, oder muß ich dort einfach nur einen neuen Thread erstellen?

Viele Grüße
tomate

Das muss nicht überstellt werden, die melden sich. Ich habe eine PM geschickt.

soap.exe is an executable belonging to the System Soap Pro Internet cleaning software. This software offers Internet cleaning software, however comes with it's own Foistware, such as HTTPER and Zipclix. These programs are installed onto your computer without your knowledge. These processes monitor your browsing habits and distributes the data back to the author's servers for analyses. This also prompts advertising popups. This program is a registered security risk and should be removed immediately. Please see additional details regarding this process

Gehe in die registry

Start-->Ausfuehren-->regedit

loeschen:

HKEY_LOCAL_MACHINE\software\system soap

HKEY_LOCAL_MACHINE\software\wise solutions\wise installation system\repair\c:/program files/system soap


deinstallieren:
tds accelerator

•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\\iinet-accelerated\pbhelper.dll
C:\Programme\popup blockade\popupblockade.exe
C:\Programme\popup blockade\unwise.exe
C:\Programme\popup blockade
C:\Programme\zipclix\unwise.exe
C:\Programme\zipclix
C:\Programme\System Soap Pro\autocomp.exe
C:\Programme\System Soap Pro\cache\pbsetup.exe
C:\Programme\System Soap Pro\cache\zipclix.exe
C:\Programme\System Soap Pro\pluginmaker.exe
C:\Programme\System Soap Proplugins\quick.exe
C:\Programme\System Soap Pro\soap.exe
C:\Programme\System Soap Pro\unwise.exe
C:\Programme\System Soap Pro
C:\WINNT\System32\pbhelper.dll

PC neustarten


suchen/loeschen:
desktopdir+\system soap pro\systemsoappro.exe

desktopdir+\systemsoappro.exe

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\systemsoappro.exe

profilepath+\start menu\programs\system soap pro
C:\Programme\popup blockade
C:\Programme\system soap pro
C:\Programme\system soap pro\forms\1
C:\Programme\system soap pro\forms\2
C:\Programme\system soap pro\forms\3
C:\Programme\system soap pro\plugins
C:\Programme\popup blockade\pbhelper.dll
C:\Programme\tds accelerator\pbhelper.dll