Beseitigen immer wiederkerender Nameserver 69.50.188.180 195.225.176.31

#1 mein Problem obwohl ich die O17 immer wieder fixe kehrt sie nach jeden neustart wieder.... was kann ich tun um das zu verhindern

Danke für die Hilfe jetzt schon mal

Gruß Ajiuko

File of HijackThis v1.99.0
Scan saved at 00:15:05, on 29.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Joachim Keil\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106440768693
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B558BC-2C26-460F-9EAC-CBEB3D8D018B}: NameServer = 69.50.188.180 195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
M

#2 Hallo!

Lade dir bitte mal das Antispyware Tool von Microsoft herunter und führe dieses aus.

Schau mal bitte nach, ob du diesen Eintrag in deiner Registrierung hast:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\frame.crazzywinnings.com

Danach 2 Prioritäten:

1. Nicht IE zum surfen verwenden!!!
2. Leg dir einen User an, der auch nur Benutzer ist! Dadurch kann ein möglicher Virus, Malware etc. sich nicht installieren. Unter XP gibt es ja die Option ähnlich wie bei Linux, "Ausführen als", damit kannst du Programme installieren. Dies bringt zwar Nachteile mit sich, aber du brauchst dich dann nicht mehr mit Hijackern rummachen.

gruß g-u-r-u

#3 hi g-u-r-u,

also in der Regestrie finde ich den eintrag nicht..

wo kann ich das tool von microsoft beziehen???+


zum surfen nehme ich den Firefox von mozilla.

Und danke für den Tip mit dem User mal schauen ob das bei der home edition geht..

Gruß
Ajuko

#4 Hi,

Downloadversion:
http://www.microsoft.com/athome/security/spyware/software/default.mspx

Installiere dir auch mal Process Monitor, der ist etwas aufschlussreicher als der Task Manager:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Evtl. deinstalliere oder deaktiviere deine Active X Steuerelemente
http://www.heise.de/security/dienste/browsercheck/

Sag mir mal bitte, ob E:\content\include\XPPatchInstaller.CAB dein CD Rom war. Wenn nicht, schicke diese Datei mal bitte an g-u-r-u@despammed.com. Dann werde ich sie mir mal genauer anschauen.

Hmm XP Home, da sieht es wohl eher schlecht aus. Damit habe ich aber auch wenig Erfahrung. Muss ich zu meiner Schande eingestehen... =(

gruß g-u-r-u

#5 Hallo Ajuko !

Ein sog. eingeschränktes Benutzerkonto unter XP home ist kein Problem (habe ich auch!):
einfach auf Start-->Einstellungen-->Systemsteuerung-->Benutzerkonten.
Dann dort "Neues Konto erstellen" anklicken und einen Namen dafür vergeben
(z.b. limited) und dann weiter auf der nächsten Page. Dann bekommst du
2 Optionen angeboten:
- Computeradministrator
- Eingeschränkt ---> dieses anklicken und mit Ok bestätigen und schon
hast du bei XP home ein eingeschränktes Benutzerkonto für's normale Surfen.
Praktisch somit als Zweitkonto neben dem Computeradministrator-Konto.

Hast Du im abgesicherten Modus gefixt mit HJT ?

Eine Reihe von Dateien werden vom Betriebssystem besonders geschützt und sind deswegen normalerweise für Scanner (egal nun welche) nicht zugreifbar.
Und gibt leider auch Viren, Malware usw. die nur im abgesicherten Modus zu erfassen und löschen sind.

Zum Start im abgesicherten Modus siehe z.B.
http://www.bsi.de/av/texte/wiederher_xp.htm oder
http://www.tu-berlin.de/www/software/virus/savemode.shtml


Dann und wann im sog. abgesicherten Modus zu scannen mit einem AV-Scanner, Spybot , Ad-aware oder Hijackthis ist immer eine gute Idee.

Auch die sog. Systemwiederherstellung würde ich vor der Reinigung kurzfristig deaktivieren (Arbeitsplatz---Eigenschaften-->Systemeigenschaften-->
dort ein Häkchen machen bei Systemwiederherstellung auf allen Laufwerken deaktivieren und mit Übernehmen bestätigen).
Nach der Reinigung dann wieder das aktivieren nicht vergessen (also wieder
Haken setzen).

Ansonsten gilt das oben gesagte. Viel Erfolg.

#6 Ein hallo an alle die hier mitgedacht haben, habe jetzt nochmal meinen gesamten rechner im Abgesicherten Modus auf den Kopf gestllt ohne wirklichen Erfolg...

Dabei war alles so einfach und ich Ärger mich über mich selbst das ich nicht schon früher drauf gekommen bin... Irgen so eine Malware die mir so die letzte woche geklaut hat, hat slicht nur den Hacken aus dem Kästchen genommen DNS Automatisch beziehen. Programm hatte ich gefunden die änderung blieb... ich könnt mich echt Ärgern. Die schöne Zeit.

Euch allen aber herzlichen Dank fürs mitdenken