Logfile Hilfe O17 ist immer wieder da nach Neustart

[keykey]

hallo zusammen,
ich bekomme einen eintrag aus dem logfile nicht gefixt. nach jedem neustart ist er wieder da. "O17" der auf die 85er IP verweist.
scanner habe ich seit gestern haufenweise durchlaufen lassen. leider kein fund. ausser bei spybot search & destroy, welcher auf einen gefundenen "hijacker.generic" hinweist, welcher jedoch nicht in quarantäne verschoben wird und ich ihn somit nicht desinfizieren/löschen kann.

bisher durchgelaufen sind bei mir die programme : ad-aware SE professional, spybot search & destroy, mein virenscanner (AVK von G-data hängt sich in der mitte der prüfung immer wieder auf so dass das system nicht komplett gescannt werden kann), blacklight habe ich auch einmal durchlaufen lassen (nichts gefunden), ebenso wie AVG anti-rootkit als auch AVG anti-spyware (heute vormittag und nach keinem fund wieder deinstalliert) .

kann mir jemand helfen, meinen "fehler" zu beseitigen? ich sag lieber direkt dazu, ich bin keine pc-expertin *schmunzel*.

grüsse aus krefeld, kirstin

------------------------------------------------

hier mein logfile :

Logfile of HijackThis v1.99.1
Scan saved at 12:19:52, on 11.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\KAVPF.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HJT1991.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [AntiSpyWare RealTimeGuard] C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe
O4 - HKCU\..\Run: [AntiSpy] C:\Programme\SimonTools\AntiSpyWare\AntiSpy.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Firewall.lnk = C:\Programme\AntiVirenKit InternetSecurity\Firewall\KAVPF.exe
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_s el.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_link s.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.adobe.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE18C27C-3A4E-4DA1-BD7A-F50D769646FD}: NameServer = 85.255.113.204 85.255.112.232
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[Robert]

Hallo keykey.


Herzlich Willkommen hier bei uns am HijackThis Supportboard.

========================
Folgender Hinweis gilt nur für Leute, die Spybot Search & Destroy benutzen.
Alle anderen können diesen Abschnitt überspringen.

Solltest du Spybot S&D benutzen, dann deaktiviere bitte den Resident TeaTimer, denn er behindert uns bei der Reinigung.

{Deaktiviere die Hintergrundwächterprogramme von Spybot Search & Destroy [TeaTimer -> klicke auf "Advanced mode" > "JA" > "Tools" Menu > Klick auf "Resident" > das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) aktiv." Box > exit.]

Du kannst ihn dann nach Ende der Reinigung wieder aktivieren. Aber lass ihn während den Reinigungsarbeiten bitte vollständig deaktiviert!

======================

Dein Problem lässt sich zum Glück leicht beheben.

Lade bitte das FixWareout von einem diese beiden Spiegel herunter:
http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/file...Fixwareout.exe

Speichere es auf deinem Desktop. Klicke dann auf "Next" > "Install" >
achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu aufzustarten (reboot), mach das bitte.
Dein System wird länger dazu brauchen als sonst, das ist normal.
Wenn dein Rechner wie aufgestartet ist, folge den Hinweisen.
Dann wird HijackThis starten.
Klicke auf Scan und fixe folgende Einträge, falls noch vorhanden:

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE18C27C-3A4E-4DA1-BD7A-F50D769646FD}: NameServer = 85.255.113.204 85.255.112.232

Klicke auf "Fix Checked".
Beende HijackThis und klicke auf weiter.
Nun wirst du einen report.txt in Notepad erhalten, den wir bitte sehen wollen.

Hinweis:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten
(Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

Poste den report.txt und ein neues HJT Logfile.

Gruß,
Robert

[keykey]

hallo robert,
vielen dank für deine antwort !

hier ist der report von fixwareout:

Fixwareout
Last edited 1/1/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Urls\1mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "pid"
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»

und hier das HJT-logfile von gerade eben:

Logfile of HijackThis v1.99.1
Scan saved at 08:47:30, on 12.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\KAVPF.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\Programme\HJT1991\HJT1991.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [AntiSpyWare RealTimeGuard] C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe
O4 - HKCU\..\Run: [AntiSpy] C:\Programme\SimonTools\AntiSpyWare\AntiSpy.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Firewall.lnk = C:\Programme\AntiVirenKit InternetSecurity\Firewall\KAVPF.exe
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.adobe.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

lieben gruss und einen schönen tag,
kirstin

[Robert]

Hallo kirstin,

ja, na also, die O17 Einträge haben wir schonmal weg.

Bitte deaktiviere neben dem TeaTimer noch den Wächter von AdAware: Ad-Watch für die Zeit der Reinigungsarbeiten.

Filelist.bat

• Downloade die filelist.zip und speichere sie auf deinem Desktop.
• Entpacke anschließend die filelist.zip auf deinen Desktop (Hier findest du eine Auswahl von kostenlosen Zip-Tools). Heraus kommt die filelist.bat.
• Starte nun deinen Rechner neu auf.
• Starte jetzt mit einem Doppelklick auf die Datei filelist.bat das Stapelverarbeitungsprogramm.
• Es öffnet sich dein bevorzugter Texteditor.
• Markiere den gesamten Inhalt des Textes im Editor, kopiere ihn und füge ihn in das weiße Feld ein, in welches du den Text für einen neuen Beitrag eingibst.
• Wichtig: Du siehst im Text zu jeder Datei eine dazugehörige Datumsangabe. Lösche alle Dateien, die eine Datumsangabe haben, die mehr als 30 Tage zurückliegt. Wir brauchen von jedem Verzeichnis nur die Dateien der letzten 30 Tage!.
• Füge zum Schluss vor den verbliebenen Text diese Zeile ein
  

  [code]

  und dahinter diese
  

  [/code]

• Ein großes Dankeschön für die filelist.bat an unseren Moderator karl83 .

Gruß,
Robert