Win XP: Windows Update verlinkt auf MSN.de

hallo,

mit Hijackthis ein logfile erstellen & hier reinposten.

Download: klick
Anleitung: klick

mfg Zidane
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:51, on 12.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\SearchIndexer.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINXP\system32\ctfmon.exe
C:\PROGRA~1\PROXYL~1\ProxyCap\ProxyCap.exe
C:\Programme\sipgate X-Lite\sipgateXLite.exe
C:\Programme\UniKey\UniKey.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\sonny\Desktop\putty.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Stickies\stickies.exe
C:\Programme\Internet Download Manager\IEMonitor.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [ProxyCap] C:\PROGRA~1\PROXYL~1\ProxyCap\ProxyCap.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\sipgate X-Lite\sipgateXLite.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [UniKey] C:\Programme\UniKey\UniKey.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Stickies.lnk = C:\Programme\Stickies\stickies.exe
O4 - Global Startup: putty.lnk = C:\Dokumente und Einstellungen\sonny\Desktop\putty.exe
O4 - Global Startup: sipgate X-Lite.lnk = C:\Programme\sipgate X-Lite\sipgateXLite.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Download aller Links mit IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV Video Inhalt mit IDM - C:\Programme\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223582109022
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{329F504A-DB02-4F56-97CA-34DE22DFF209}: NameServer = 85.255.112.127;85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{329F504A-DB02-4F56-97CA-34DE22DFF209}: NameServer = 85.255.112.127;85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\..\{329F504A-DB02-4F56-97CA-34DE22DFF209}: NameServer = 85.255.112.127;85.255.112.82
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe

--
End of file - 8166 bytes
 

hallo,

Systemwiederherstellung deaktivieren...

diese einträge mit HJT fixen:

O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{329F504A-DB02-4F56-97CA-34DE22DFF209}: NameServer = 85.255.112.127;85.255.112.82

O17 - HKLM\System\CS1\Services\Tcpip\..\{329F504A-DB02-4F56-97CA-34DE22DFF209}: NameServer = 85.255.112.127;85.255.112.82

O17 - HKLM\System\CS2\Services\Tcpip\..\{329F504A-DB02-4F56-97CA-34DE22DFF209}: NameServer = 85.255.112.127;85.255.112.82

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - Global Startup: putty.lnk = C:\Dokumente und Einstellungen\sonny\Desktop\putty.exe

Putty ist harmlos.im system ist eher was anders:
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
Ich würde daten sichern und system neu aufsetzen,ich will nicht wissen,was noch alles verbogen wurde.

danke für die antworten, werd ich mal demnächst machen

Ist aber nicht eindeutig ... w2pxdrv.dll  in Google ...

http://www.google.de/search?q=w2pxdrv.dll&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a

habs gefixed und update geht wieder, danke jungs!!!!! w2pxdrv.dll ghört bei mir zu proxylabs, wohl eher ungefährlich denk ich

Wenn ich die Anweisung von Zidane hier seh, wird mir echt mega schlecht!!!

Weißt du überhaupt wo diese IP hinführt ??

85.255.112.127

System muss sofort neuinstalliert werden,da es über einen Server in der Ukraine läuft. Passwörter etc. von einem Saubern PC ändern!

hallo,

wo ist dein Malwarebytes Report ?
der fehlt noch.

mfg Zidane 

Woher weißt Du das ....

DNSWatch Homepage     
Hostname oder IP    Typ    
      
DNSWatch -> Reverse DNS Lookup für 85.255.112.127
Suche nach PTR Eintrag für 127.112.255.85.in-addr.arpa. bei B.ROOT-SERVERS.NET. [192.228.79.201] ...dauerte 162 ms
Suche nach PTR Eintrag für 127.112.255.85.in-addr.arpa. bei NS3.NIC.FR. [192.134.0.49] ...dauerte 10 ms
Suche nach A Eintrag für rns2.inhoster.com. bei J.ROOT-SERVERS.NET. [192.58.128.30] ...dauerte 12 ms
Suche nach A Eintrag für rns2.inhoster.com. bei I.GTLD-SERVERS.NET. [192.43.172.30] ...dauerte 23 ms

Nameserver I.GTLD-SERVERS.NET. meldet: Kein Host rns2.inhoster.com. gefunden.


Gesamte Dauer: 207 ms 

also malwarebytes report ist leider irgendwie futsch. hatte aber 2 infizierte dateien noch gefunden die ich schon gelöscht habe. bis jetzt funktioniert noch alles ganz gut denk ich...

@erstguterjunge

klingt ja sehr ernst gibs keine andere lösung als neuinstallieren?

hallo,

also malwarebytes report ist leider irgendwie futsch. hatte aber 2 infizierte dateien noch gefunden die ich schon gelöscht habe

Sichere deine Daten !!
geh das ganze Programm durch ,in der Folge ...
Falls da auch nur noch 1 neuer gefunden wird : SYSTEM PLATTMACHEN !!


zuerst :
Plattenbereinigung machen zum löschen aller temporären Dateien
Zubehör .....oder :
Arbplatz , Rechtsklick auf die Platte , Eigenschaften ,Bereinigen

dann :
HijackThis , im Normalmodus !
http://www.hijackthis.de/     <<< Download & Auswertung
http://members.linzag.net/680262/HJT/HijackThis.html    <<<Beispiel
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Virenscan unbedingt immer im abgesicherten Modus machen  !
Denn im Normalmodus sind etliche Dateien gesperrt .

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
-------------
Viren-Vollscan machen mit  MalwareBytes  , vorherUpdate anklicken ...
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.zdnet.de/windows_verschluesseln_und_sichern_malwarebytes__anti_malware_download-39002345-88313-1.htm
-------------
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .
 

hallo,

das gleiche habe ich oben ja auch schon beschrieben.

es habert aber anscheinend beim posten der Reports.

mfg Zidane

Ich werde nicht mehr Antworten ,
wenn alle LOGs vorliegen ist ja klar ,was er machen soll !! 

@ zidane:

ja sind nicht irgendwie futsch sondern habe es einfach aus routine gelöscht, weil ich dachte dass ich nur HJT-report posten soll.  

@ohhh die Reports sind jetzt auch nicht mehr wichtig!

Viel wichtiger ist, dass du wichtige Daten sicherst und deine Festplatte formatierst!

@HCK  ich guck immer auf dieser Seite was sich hinter den IPs verbirgt, ist glaubich umfangreicher.

http://www.tele-tommi.de/Service/ipsuche.htm

gruß deniz

hi jungs,

hab die logs jetzt doch gefunden.

Malwarebytes' Anti-Malware 1.30
Database version: 1391
Windows 5.1.2600 Service Pack 3

13.11.2008 00:30:17
mbam-log-2008-11-13 (00-30-17).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 49664
Time elapsed: 40 minute(s), 56 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\dnscache.dnscacheobj (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dnscache.dnscacheobj.1 (Trojan.BHO) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)



------------------

2. Scann:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1392
Windows 5.1.2600 Service Pack 3

13.11.2008 21:04:02
mbam-log-2008-11-13 (21-03-56).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47039
Laufzeit: 9 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{376892ae-1825-4e5f-9f85-23f9640051cc} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----------------------
3. Scann

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1392
Windows 5.1.2600 Service Pack 3

14.11.2008 00:36:20
mbam-log-2008-11-14 (00-36-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 97323
Laufzeit: 3 hour(s), 28 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------

kann man nix machen außer formatieren? pc funktioniert eigentlich ganz wieder i.o. hab erst vor 20monaten formatiert....

20 Monate ist eine Lange zeit:

In diese zwei Schädlinge die in der Registry sitzen/saßen sind das Problem!!

Bitte formatieren!

Also hat er WIEDER nicht nach Anweisung gehandelt ....
Das muss doch weh tun ... der hat bestimmt Geschwister ...

hallo,

die reports von Malwarebytes sind ja auch komisch...
im ersten scann werden 2 infizierte reguistry schlüssel gefunden (Trojan.BHO).
im zweiten scann...wohlgemekrt quick-scann...wird wieder ein schädling gefunden in der registry (Trojan.BHO)der aber woanders sizt (und dazu noch aktiv ist) und im ersten scann nicht gefunden wurde
(trotz Vollscann, wahrscheinlich nicht geupdatet vorher).
im dritten Vollscann wird allerdings nichts gefunden das heißt aber nicht das nix mehr da ist.
aber auch wenn alles "entfernt" sein sollte, bei registry änderungen sprich eingriffe im system vorgenommen wurden.
muss (gründlich-) formatiert werden oder falls vorhanden ein sauberes image zurückgespielt.

mfg Zidane 

Mir ist kla warum beim 2. Scan was gefunden wurde!!

Der PC war in Verbindung mit dem Ukrainischen DNS Server von dort aus wurde weitere Malware eingeschleust!!

So wird es auch weitergehen wenn nicht formatiert wird!!

alles klar, danke euch allen für die tipps, werds bei möglichkeit wohl formatieren müssen :8 naja was solls, man lernt nie aus...

ich guck immer auf dieser Seite was sich hinter den IPs verbirgt, ist glaubich umfangreicher.

http://www.tele-tommi.de/Service/ipsuche.htm