Hallo,
ich habe neuerdings folgendes Problem:
Windows 98 SE / Outlook Express 6 / Zonealarm Pro / Outpost
Beide Firewalls melden plötzlich das Outlook Express nicht mehr das gleiche Programm ist und fragen nach ob es sich weiterhin verbinden darf, ohne das ich irgendwelche Updates gemacht hätte.
Nach mehrmaligem starten von Outlook Express braucht dieser dann irgendwann einmal extrem lange zum starten und danach sind alle E-Mail Konten Passwörter gelöscht !
Außerdem versucht der Windows Explorer plötzlich sich ständig mit dem Internet zu verbinden und zwar will er Zugriffs- und Serverrechte um sich dann mit Seiten wie gcache.cloppy.net zu verbinden (Outpost Meldung) bzw. Verbindung mit 195.50.140.252:53 und 195.50.140.114:53 (Zonealarm Outgoing) herzustellen.
Ich habe bereits AntiVir, AdAware, Spybot S&D und HijackThis laufen lassen, ohne Ergebnis.
Die gcache.cloppy.net hab ich auf einer Liste mit Gnutella cache Adressen gefunden.
Aber warum will mein Explorer sich mit der verbinden?
Obwohl ich gar kein p2p Programm gestartet habe.
Im Process Explorer werden mir keine unbekannten oder irgendwie ungewöhnlichen Prozesse angezeigt.
Auch keine neuen Autostart einträge in der Registry..
Auch habe ich schon verschiedene Systembackups der kompletten c:\ Partition wieder hergestellt, immer wieder das gleiche Problem obwohl ich sicher bin das ich zum jeweiligen Zeitpunkt der Backup-erstellung dieses Problem noch nicht hatte.
Das ganze ist aufgetaucht seit ich (ich weiß das scheint keinen Zusammenhang zu haben) eine neue Grafikkarte ATI All-in-Wonder 9000 Pro installiert habe, kann natürlich auch Zufall sein. Der Grafikkarten Treiber ist der gleiche, gleiche Version wie vorher da ich davor auch eine ATI Karte drin hatte. Und am ATI Wdm-Capture Treiber wird es jawohl nicht liegen.
Alle Programme die ich in letzter Zeit neu installiert hatte, habe ich wieder deinstalliert, ohne Ergebnis.
Weiß jemand was über die oben angegebenen Adressen?
Warum löscht Outlook Express meine E-Mail Passwörter?
Was soll das alles?
Muss ich mir jetzt Sorgen machen?
Logfile of HijackThis v1.99.1
Scan saved at 18:16:12, on 27.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
F:\PROGRAMME\ATM\ATM.EXE
F:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
F:\PROGRAMME\VOB\INSTANTWRITE\IWCTRL.EXE
F:\PROGRAMME\COPYH128\CH.EXE
F:\PROGRAMME\TOOLS\WINROLL\WINROLL.EXE
F:\PROGRAMME\PRINTKEY2000\PRINTKEY2000.EXE
F:\PROGRAMME\RUNIT\RUNIT.EXE
F:\PROGRAMME\CD-EJECTOR\CD-EJECTOR.EXE
F:\PROGRAMME\VCOOL\VCOOL.EXE
F:\PROGRAMME\ULTRAVNC\WINVNC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
F:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
F:\PROGRAMME\MAXTHON\MAXTHON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
G:\INSTALLER\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - F:\PROGRA~1\STARDO~1\SDIEINT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\SYSTEM\IETie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IW Controlcenter] f:\programme\vob\InstantWrite\IWCTRL.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Copy Handler] F:\Programme\Copyh128\ch.exe
O4 - HKLM\..\Run: [KillCopy] F:\Programme\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATM] f:\PROGRA~1\ATM\atm.exe startintray on
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [schedm] "F:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - Startup: Clear Explorer.pif = F:\PROGRAMME\TOOLS\CLEAR.BAT
O4 - Startup: Winroll.lnk = F:\Programme\Tools\WinRoll\winroll.exe
O4 - Startup: PrintKey.lnk = F:\Programme\PrintKey2000\Printkey2000.exe
O4 - Startup: RunIt.lnk = F:\Programme\Runit\Runit.exe
O4 - Startup: CD-Ejector.lnk = F:\Programme\CD-Ejector\CD-Ejector.exe
O4 - Startup: VCool.lnk = F:\Programme\VCool\VCool.exe
O4 - Startup: UltraVNC Server.lnk = F:\Programme\UltraVNC\winvnc.exe
O8 - Extra context menu item: Download with Star Downloader - F:\PROGRAMME\STAR DOWNLOADER\sdie.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
--------------------------------------------------------------------------
zu den einzelnen Prozessen hier noch ein Prozessexplorer logfile:
Process PID CPU Description Company Name
ZAPRO.EXE 0xFFF3485B 2 ZoneAlarm Pro Zone Labs Inc.
VSMON.EXE 0xFFF28527 TrueVector Service Zone Labs Inc.
RNAAPP.EXE 0xFFF0223F DFÜ-Netzwerkprogramm Microsoft Corporation
TAPISRV.EXE 0xFFF0232F Microsoft® Windows(R) Telefonieserver Microsoft Corporation
KERNEL32.DLL 0xFFEF3F8B Kernkomponente des Win32-Kernel Microsoft Corporation
MSGSRV32.EXE 0xFFFF60CB Windows 32-Bit-VxD-Meldungsserver Microsoft Corporation
SPOOL32.EXE 0xFFFF58F3 Spooler Sub System Process Microsoft Corporation
MPREXE.EXE 0xFFFF404B WIN32 Network Interface Service Process Microsoft Corporation
SCHEDM.EXE 0xFFFC6F5F Avira GmbH Scheduler Avira GmbH
ATI2EVXX.EXE 0xFFFC18C3 ATI External Event Utility EXE Module ATI Technologies Inc.
ATM.EXE 0xFFFC13E7 Another Task Manager for Windows95/98/ME @
mmtask.tsk 0xFFFC9EFB Multimedia background task support module Microsoft Corporation
EXPLORER.EXE 0xFFFC8C63 1 Windows-Explorer Microsoft Corporation
PRINTKEY2000.EXE 0xFFFDD3B3
WINVNC.EXE 0xFFFDBC23 VNC server for Win32 UltraVNC
CH.EXE 0xFFFDB89B Copy Handler v. 1.28
IWCTRL.EXE 0xFFFD7303 Instant Write Control-Center VOB Computersysteme GmbH
VCOOL.EXE 0xFFFD4683 VCool - software cooling & temperature monitor for Athlon/VIA systems
SYSTRAY.EXE 0xFFFD22AB Systemanwendung für Taskleiste Microsoft Corporation
WMIEXE.EXE 0xFFF258FF WMI service exe housing Microsoft Corporation
WINROLL.EXE 0xFFFD205F
HIJACKTHIS.EXE 0xFFF7E0E7 HijackThis Soeperman Enterprises Ltd.
NOTEPAD.EXE 0xFFF7819F Windows Editor Microsoft Corporation
PROCEXP.EXE 0xFFF76617 5 Sysinternals Process Explorer Sysinternals
RUNIT.EXE 0xFFF236C7 RUNit - Program Launcher for Windows 95/98 and Windows NT none
MAXTHON.EXE 0xFFF10527 15 Maxthon Web Browser MY Soft Technology
DDHELP.EXE 0xFFF6EEBB Microsoft DirectX Helper Microsoft Corporation
CD-EJECTOR.EXE 0xFFF22617 DoubleA-Ejector DoubleA
AVGCTRL.EXE 0xFFF08F9B AntiVir Guard/9x Control Program H+BEDV Datentechnik GmbH
Process: Procexp Pid: FFFFFFFE
Winroll ist ein Tool um Windows Fenster als Kpfleiste zu minimieren.
Printkey ist ein Screenshot-tool. Beide seit längerem installiert und problemlos.
--------------------------------------------------------------------------
zu den Autostart eintägen:
Die "Clear Explorer.pif" bzw clear.bat ist eine selbstgeschriebene Batch Datei um die Papierkörbe und Verlaufslisten bei jedem Neustart zu leeren .
Das einziege was ich mir nicht ganz erklären kann ist:
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\SYSTEM\IETie.dll
Die IETie.dll ist allerdings gar nicht Vorhanden, also wohl nur eine tote Verknüpfung.
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
Ist wohl, laut Dateieigenschaften eine Active X control von Microsoft ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Ist bereits von Spybot S&D modifiziert auf RelatedServiceURL="http://www.google.de/search?q=";
-------------------------------------------------------------------------
Ausserdem habe ich inzwischen noch ein paar Symptome zusammengetragen:
Beim Runterfahren kommt meistens ein RUNTIME ERROR 216 at 0000FBA4
Das öffnen vom MEDIA PLAYER CLASSIC bringt EXPLORER.EXE sofort zum Absturz (startet sich auch nicht neu).
Andere Videoplayer funktionieren aber problemlos.
Mein Windows vergisst neben Passwörtern auch Icons.
Inzwischen habe ich auch noch mal die alte Grafikkarte wiedereingebaut und ein Backup der C:\ Partition wiederhergestellt. D.h die komplette C:\ Partition wird überschrieben incl. Bootsektoren. Mit dem gleichen Ergebnis, obwohl ich sicher weiß das ich vor dem Umbau der GraKa diese Probleme definitiv nicht hatte.
Die Grafikkarte selbst scheidet also als Verursacher eigentlich aus.
Auf der Systempartition kann eigentlich dann ja auch nix sein.
Vielleicht ein, wenn auch sehr subtiler, Mainboardfehler?
Oder ...äh? neue Spezies..?...Backdoor? huh?
Wenn 195.50.128.0 - 195.50.191.255 ein Arcor DNS Server ist, ist das OK da ich Arcor Kunde bin.
Aber gcache.cloppy.net?
Ich nehme mal an das Outpost die Adressen anzeigt die das eigentliche Ziel sind und der Arcor DNS Server ist nur die erste Station.
Den das Outlook logfile sagt z.B.:
Learning Mode EXPLORER.EXE d192-24-214-181.try.wideopenwest.com 18817 Ausgehend TCP
Learning Mode EXPLORER.EXE 98.158.171.66.subscriber.vzavenue.net 14370 Ausgehend TCP
Learning Mode EXPLORER.EXE 88-136-2-22.adslgp.cegetel.net 51673 Ausgehend TCP
Learning Mode EXPLORER.EXE c-11bce455.35-0046-74657210.cust.bredbandsbolaget.se 24078 Ausgehend TCP
Learning Mode EXPLORER.EXE h8441166235.dsl.speedlinq.nl 6346 Ausgehend TCP
Blockiere Aktivität für Applikation EXPLORER.EXE EXPLORER.EXE cable11-218.sweetwaterhsa.com 1088 Ausgehend UDP
das sich meine C:\Windows\explorer.exe mit diesen Seiten verbinden will finde ich etwas seltsam !
Und Outpost sagt:
Anwendung: EXPLORER.EXE
Protokoll: TCP
Verbindungsrichtung: Horchend
Port: 1166
Bps: 0
Port 1166 finde ich auch bedenklich. z.B.:
Zitat:
CrazzyNet
--------------------------------------------------------------------------------
Name: CrazzyNet
Aliases: Crazynet, Backdoor.Crazynet,
Ports: 1166, 1167, 17499, 17500 (ports can not be changed)
Files: Crazzynet3.7.zip - 355,203 bytes Crazzynet3.7.1.zip - 354,534 bytes Crazzynet3.7.8.zip - 357,188 bytes Crazzynet5.0.zip - 270,092 bytes Crazzynet5.2.zip - 242,541 bytes Crazzynet5.21.zip - 244,760 bytes Client.exe - 142,336 bytes Client.exe - 144,384 bytes Client.exe - 552,960 bytes Client.exe - 1,884,160 bytes Client.exe - 1,888,256 bytes Server.exe - 108,600 bytes Server.exe - 109,112 bytes Server.exe - 333,368 bytes Server.exe - 337,464 bytes Server.exe - 341,560 bytes Registry32.exe - 333.368 bytes Crazzychat.exe - Crazzychats.exe - Crazzynet375.exe - 2,712,897 bytes Crazzynet50.exe - 2,734,483 bytes Pkzip.exe - 42,552 bytes Crazzynet.ini - 164 bytes Winstart.bat - 27 bytes ~df127d.tmp - 1,536 bytes
Created: July 2000
Requires:
Actions: Remote Access / Keylogger / Steals passwords
Registers: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
Notes: Works on Windows 95, 98, ME, NT, 2000 and XP, together with MS INternet Information Server. According to information on the Internet the coder is only 13 years old!!!
Country: written in Israel
Program: Written in Visual Basic 6.0.
Nur "leider" habe ich nicht die für Crazzynet typischen Einträge in der Registry, System.ini oder Win.ini ...bin für jeden Tipp dankbar.
