NameServer = 85.255.114.78

Peter Hellms
Stamm-User

Beiträge: 76

Liebe Helfer,

mit Hijack This habe ich versucht, o.g. Störenfried aus meinem WinXP zu vertreiben. Als das nicht ging da er erneut kam, habe ich gegoogelt und zumindest mit den Tipps die ich gefunden habe nichts erreicht.

Kann da jemand helfen.

Zur Info das Logfile. Ich habe Eintragungen über normale Programme wie FreePDF oder AntiVir entfernt.

Logfile of HijackThis v1.99.1
Scan saved at 17:23:39, on 29.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{E03D394B-62E3-403C-A0CF-5D40204B18CB}: NameServer = 85.255.114.78 85.255.112.101
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Gruß
Peter

DARKNANUK
Premium-User

Beiträge: 457

sorry wen ich frage, aber die auswertung sagt doch, dass das alls okay ist?

auch die ip 85.255.114.78 wird als gut erkannt?

Peter Hellms
Stamm-User

Beiträge: 76

Liebe DARKNANUK,

ich werde teilweise durch dieses Ding auf andere Webseiten geleitet, die ich nicht angewählt habe.

unter
http://www.trojaner-board.de/36490-google-leitet-seiten-um.html
[Link zum eingefügten Bild]

findet sich auch kein mir helfender Kommentar.

Gruß
Peter

everstream
Boardkönig

Beiträge: 1818

Das Programm IPNetInfo hat mir mittels Kommunikation mit WHOIS-Server folgende Ergebnisse geliefert:

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
tech-c: FWHS1-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: RECIT-MNT
mnt-routes: RECIT-MNT
mnt-domains: RECIT-MNT
mnt-by: DAV-MNT
mnt-routes: DAV-MNT
mnt-domains: DAV-MNT
source: RIPE # Filtered

organisation: ORG-EST1-RIPE
org-name: INHOSTER
org-type: OTHER
remarks: *************************************
remarks: * Abuse contacts: abuse@inhoster.com *
remarks: *************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
e-mail: support@inhoster.com
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
mnt-ref: DAV-MNT
mnt-by: DAV-MNT
source: RIPE # Filtered

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered

person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
address: UA
phone: +35 79 91 17 759
e-mail: support@fwebhost.net
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered

Also ist es ein Provider(Web Hoster) in der Ukraine.

MfG everstream

everstream
Boardkönig

Beiträge: 1818

@Peter Hellms:
auf der von dir verlinkten Seite steht doch schon was du zu tun hast: du musst dein System mit dem "eScan" entsprechend seiner Anleitung bearbeiten/säubern.

MfG everstream

Peter Hellms
Stamm-User

Beiträge: 76

Hallo everstream,

mit eScan kam ich nicht zurecht und habe es jetzt erneut probiert.

das Wichtige aus dem Protokoll der Freeware (Vollversion kann ich mir nicht leisten):

HKLM\Software\Microsoft\Windows\CurrentVersion\urls
"wareout Adware" in Dateisystem gefunden

Poisoned DNS Server Entry 85.255.114.78 85.255.112.101 (85.255.114.*)
"UnSpyPC adware" in Dateisystem gefunden

C:\DOKUME~1\PETERH~1.HEL\LOKALE~1\Temp\glb1a2b.exe
System found infected with lopcom Browser Hijacker (glb1a2b.exe)

C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
System found infected with wareout Adware (3.dat)

C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\temp\glb1a2b.exe
System found infected with lopcom Browser Hijacker (glb1a2b.exe)

C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
System found infected with wareout Adware (3.dat)

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\reise\expedia.url
System found infected with ezula Spyware/Adware (expedia.url)

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\programme\reise\expedia.url
System found infected with ezula Spyware/Adware (expedia.url)

C:\WINDOWS\system32\unrar.dll
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)

C:\WINDOWS\system32\unzip32.dll
System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)

Wenn ich beispielsweise wareout im PC suche, finde ich das nicht.

Wenn ich 85.255.112.0 - 85.255.127.255 mit Hijack This lösche, kommt er wieder.

Mich überfordert das Programm bislang.

Gruß
Peter

caboehmer
Boardkaiser

Beiträge: 2633

Hallo Peter,
ich habe mal versucht, mir die Geschichte komplett durchzulesen. Ich möchte Dich nicht entmutigen, aber es ist sicherlich das Beste, Dein System komplett neu aufzusetzen, da das Reinigen mit eScan wohl nicht immer erfolgreich ist. Schreibe mal, was Du davon hälst.
MfG Carsten

Peter Hellms
Stamm-User

Beiträge: 76

Hallo Carsten,

alles neu wäre schlimm - zu viele Programme und Einstellungen - wochenlange Arbeit und Ehestress.

Zurzeit habe ich fast alle Freeware heruntergeladen, die ich zu Störprogrammen finden konnte...

Gruß
Peter

afrikaner
Boardmeister

Beiträge: 678

Hallo Peter,

versuche mal , in die Registry zu gehn und lösche dort direkt

O17 - HKLM\System\CCS\Services\Tcpip\..\{E03D394B-62E3-403C-A0CF-5D40204B18CB}: NameServer = 85.255.114.78 85.255.112.101

diesen Eintrag.

grüssle
Afri

Peter Hellms
Stamm-User

Beiträge: 76

Hallo afrikaner,

das hat funktioniert - DANKE -.

Da hier auch "NameServer" in der Zeile stand, hab ich gleich weiter gesucht, ob es noch ähnliche Einträge gibt.

VIELEN DANK
Peter

afrikaner
Boardmeister

Beiträge: 678

Hallo Peter -

vergiss aber bitte nicht, alles nochmals anschliesend mit Spybot zu checken.
Freut mich , dass es geklappt hat.
grüssle
Afri

Version 3.1 | Load: 0.006444 | S: 1_2

Autor	Mitteilung
Peter Hellms Stamm-User Beiträge: 76	Gesendet: 17:45 - 29.06.2007 Liebe Helfer, mit Hijack This habe ich versucht, o.g. Störenfried aus meinem WinXP zu vertreiben. Als das nicht ging da er erneut kam, habe ich gegoogelt und zumindest mit den Tipps die ich gefunden habe nichts erreicht. Kann da jemand helfen. Zur Info das Logfile. Ich habe Eintragungen über normale Programme wie FreePDF oder AntiVir entfernt. Logfile of HijackThis v1.99.1 Scan saved at 17:23:39, on 29.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\system32\clipsrv.exe C:\WINDOWS\System32\dllhost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\dmadmin.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{E03D394B-62E3-403C-A0CF-5D40204B18CB}: NameServer = 85.255.114.78 85.255.112.101 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe Gruß Peter
DARKNANUK Premium-User Beiträge: 457	Gesendet: 17:57 - 29.06.2007 sorry wen ich frage, aber die auswertung sagt doch, dass das alls okay ist? auch die ip 85.255.114.78 wird als gut erkannt?
Peter Hellms Stamm-User Beiträge: 76	Gesendet: 18:18 - 29.06.2007 Liebe DARKNANUK, ich werde teilweise durch dieses Ding auf andere Webseiten geleitet, die ich nicht angewählt habe. unter http://www.trojaner-board.de/36490-google-leitet-seiten-um.html [Link zum eingefügten Bild] findet sich auch kein mir helfender Kommentar. Gruß Peter
everstream Boardkönig Beiträge: 1818	Gesendet: 18:28 - 29.06.2007 Das Programm IPNetInfo hat mir mittels Kommunikation mit WHOIS-Server folgende Ergebnisse geliefert: % This is the RIPE Whois query server #1. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/db/copyright.html % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '85.255.112.0 - 85.255.127.255' inetnum: 85.255.112.0 - 85.255.127.255 netname: inhoster descr: Inhoster hosting company descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine remarks: ----------------------------------- remarks: Abuse notifications to: abuse@inhoster.com remarks: Network problems to: noc@inhoster.com remarks: Peering requests to: peering@inhoster.com remarks: ----------------------------------- country: UA org: ORG-EST1-RIPE admin-c: AK4026-RIPE tech-c: AK4026-RIPE tech-c: FWHS1-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-by: RECIT-MNT mnt-routes: RECIT-MNT mnt-domains: RECIT-MNT mnt-by: DAV-MNT mnt-routes: DAV-MNT mnt-domains: DAV-MNT source: RIPE # Filtered organisation: ORG-EST1-RIPE org-name: INHOSTER org-type: OTHER remarks: ************************************* remarks: * Abuse contacts: abuse@inhoster.com * remarks: ************************************* address: OOO Inhoster address: Poltavskij Shliax 24, Xarkov, address: 61000, Ukraine phone: +38 066 4633621 e-mail: support@inhoster.com admin-c: AK4026-RIPE tech-c: AK4026-RIPE mnt-ref: DAV-MNT mnt-by: DAV-MNT source: RIPE # Filtered person: Andrei Kislizin address: OOO Inhoster, address: ul.Antonova 5, Kiev, address: 03186, Ukraine phone: +38 044 2404332 nic-hdl: AK4026-RIPE source: RIPE # Filtered person: Fast Web Hosting Support address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201. address: UA phone: +35 79 91 17 759 e-mail: support@fwebhost.net nic-hdl: FWHS1-RIPE source: RIPE # Filtered Also ist es ein Provider(Web Hoster) in der Ukraine. MfG everstream
everstream Boardkönig Beiträge: 1818	Gesendet: 18:40 - 29.06.2007 @Peter Hellms: auf der von dir verlinkten Seite steht doch schon was du zu tun hast: du musst dein System mit dem "eScan" entsprechend seiner Anleitung bearbeiten/säubern. MfG everstream
Peter Hellms Stamm-User Beiträge: 76	Gesendet: 06:09 - 01.07.2007 Hallo everstream, mit eScan kam ich nicht zurecht und habe es jetzt erneut probiert. das Wichtige aus dem Protokoll der Freeware (Vollversion kann ich mir nicht leisten): HKLM\Software\Microsoft\Windows\CurrentVersion\urls "wareout Adware" in Dateisystem gefunden Poisoned DNS Server Entry 85.255.114.78 85.255.112.101 (85.255.114.*) "UnSpyPC adware" in Dateisystem gefunden C:\DOKUME~1\PETERH~1.HEL\LOKALE~1\Temp\glb1a2b.exe System found infected with lopcom Browser Hijacker (glb1a2b.exe) C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat System found infected with wareout Adware (3.dat) C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\temp\glb1a2b.exe System found infected with lopcom Browser Hijacker (glb1a2b.exe) C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat System found infected with wareout Adware (3.dat) C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\reise\expedia.url System found infected with ezula Spyware/Adware (expedia.url) C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\programme\reise\expedia.url System found infected with ezula Spyware/Adware (expedia.url) C:\WINDOWS\system32\unrar.dll System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll) C:\WINDOWS\system32\unzip32.dll System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll) Wenn ich beispielsweise wareout im PC suche, finde ich das nicht. Wenn ich 85.255.112.0 - 85.255.127.255 mit Hijack This lösche, kommt er wieder. Mich überfordert das Programm bislang. Gruß Peter
caboehmer Boardkaiser Beiträge: 2633	Gesendet: 19:09 - 01.07.2007 Hallo Peter, ich habe mal versucht, mir die Geschichte komplett durchzulesen. Ich möchte Dich nicht entmutigen, aber es ist sicherlich das Beste, Dein System komplett neu aufzusetzen, da das Reinigen mit eScan wohl nicht immer erfolgreich ist. Schreibe mal, was Du davon hälst. MfG Carsten
Peter Hellms Stamm-User Beiträge: 76	Gesendet: 08:51 - 03.07.2007 Hallo Carsten, alles neu wäre schlimm - zu viele Programme und Einstellungen - wochenlange Arbeit und Ehestress. Zurzeit habe ich fast alle Freeware heruntergeladen, die ich zu Störprogrammen finden konnte... Gruß Peter
afrikaner Boardmeister Beiträge: 678	Gesendet: 09:28 - 03.07.2007 Hallo Peter, versuche mal , in die Registry zu gehn und lösche dort direkt O17 - HKLM\System\CCS\Services\Tcpip\..\{E03D394B-62E3-403C-A0CF-5D40204B18CB}: NameServer = 85.255.114.78 85.255.112.101 diesen Eintrag. grüssle Afri
Peter Hellms Stamm-User Beiträge: 76	Gesendet: 13:07 - 03.07.2007 Hallo afrikaner, das hat funktioniert - DANKE -. Da hier auch "NameServer" in der Zeile stand, hab ich gleich weiter gesucht, ob es noch ähnliche Einträge gibt. VIELEN DANK Peter
afrikaner Boardmeister Beiträge: 678	Gesendet: 14:04 - 03.07.2007 Hallo Peter - vergiss aber bitte nicht, alles nochmals anschliesend mit Spybot zu checken. Freut mich , dass es geklappt hat. grüssle Afri