logfile-hilfe ... eintrag 017 ist nach neustart immer wieder da

keykey · 11.01.2007, 12:47

hallo zusammen,
ich bekomme einen eintrag aus dem logfile nicht gefixt. nach jedem neustart ist er wieder da. "O17" der auf die 85er IP verweist.
scanner habe ich seit gestern haufenweise durchlaufen lassen. leider kein fund. ausser bei spybot search & destroy, welcher auf einen gefundenen "hijacker.generic" hinweist, welcher jedoch nicht in quarantäne verschoben wird und ich ihn somit nicht desinfizieren/löschen kann.

bisher durchgelaufen sind bei mir die programme : ad-aware SE professional, spybot search & destroy, mein virenscanner (AVK von G-data hängt sich in der mitte der prüfung immer wieder auf so dass das system nicht komplett gescannt werden kann), blacklight habe ich auch einmal durchlaufen lassen (nichts gefunden), ebenso wie AVG anti-rootkit als auch AVG anti-spyware (heute vormittag und nach keinem fund wieder deinstalliert) .

kann mir jemand helfen, meinen "fehler" zu beseitigen? ich sag lieber direkt dazu, ich bin keine pc-expertin *schmunzel*.

grüsse aus krefeld, kirstin

------------------------------------------------

hier mein logfile :

Logfile of HijackThis v1.99.1
Scan saved at 12:19:52, on 11.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\KAVPF.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HJT1991.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [AntiSpyWare RealTimeGuard] C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe
O4 - HKCU\..\Run: [AntiSpy] C:\Programme\SimonTools\AntiSpyWare\AntiSpy.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Firewall.lnk = C:\Programme\AntiVirenKit InternetSecurity\Firewall\KAVPF.exe
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_s el.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_link s.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.adobe.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE18C27C-3A4E-4DA1-BD7A-F50D769646FD}: NameServer = 85.255.113.204 85.255.112.232
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Mellosun · 11.01.2007, 14:36

Hallo keykey,

die 017 Einträge wirst du mit "Fixen" nicht los........Dabei handelt es sich um eine Umleitung über die Ukraine. D.h. das all Deine Anfragen ins Internet über den besagten Server gehen.

In der regel ist davon auszugehen, das diese Umleitung in zusammenhang mit einem Backdoor stehen, der bei Dir aktiv war/ist!
Auch lässt sich darüber Streiten ob man diese Umleitung einfach so aus dem System herraus bekommt. Einige sagen ja aber einige auch nein!

Mache bitte folgendes:

Mache einen Scan mit eScan!
Alles dazu findest du hier mit Anleitung .
Lese diese Anleitung genau durch und Arbeite sie ab.....Poste das Log mit Hilfe der find.zip!

Gruß Mellosun

MightyMarc · 11.01.2007, 14:41

Poste mal bitte einen Gmer-Report

logfile-hilfe ... eintrag 017 ist nach neustart immer wieder da

Log-Analyse und Auswertung: logfile-hilfe ... eintrag 017 ist nach neustart immer wieder da