Windows Explorer und Outlook Express machen komische Sachen

#1 Hallo,

ich habe neuerdings folgendes Problem:
Windows 98 SE / Outlook Express 6 / Zonealarm Pro / Outpost

Beide Firewalls melden plötzlich das Outlook Express nicht mehr das gleiche Programm ist und fragen nach ob es sich weiterhin verbinden darf, ohne das ich irgendwelche Updates gemacht hätte.
Nach mehrmaligem starten von Outlook Express braucht dieser dann irgendwann einmal extrem lange zum starten und danach sind alle E-Mail Konten Passwörter gelöscht !

Außerdem versucht der Windows Explorer plötzlich sich ständig mit dem Internet zu verbinden und zwar will er Zugriffs- und Serverrechte um sich dann mit Seiten wie gcache.cloppy.net zu verbinden (Outpost Meldung) bzw. Verbindung mit 195.50.140.252:53 und 195.50.140.114:53 (Zonealarm Outgoing) herzustellen.

Ich habe bereits AntiVir, AdAware, Spybot S&D und HijackThis laufen lassen, ohne Ergebnis.
Die gcache.cloppy.net hab ich auf einer Liste mit Gnutella cache Adressen gefunden.
Aber warum will mein Explorer sich mit der verbinden?
Obwohl ich gar kein p2p Programm gestartet habe.

Im Process Explorer werden mir keine unbekannten oder irgendwie ungewöhnlichen Prozesse angezeigt.
Auch keine neuen Autostart einträge in der Registry..
Auch habe ich schon verschiedene Systembackups der kompletten c:\ Partition wieder hergestellt, immer wieder das gleiche Problem obwohl ich sicher bin das ich zum jeweiligen Zeitpunkt der Backup-erstellung dieses Problem noch nicht hatte.

Das ganze ist aufgetaucht seit ich (ich weiß das scheint keinen Zusammenhang zu haben) eine neue Grafikkarte ATI All-in-Wonder 9000 Pro installiert habe, kann natürlich auch Zufall sein. Der Grafikkarten Treiber ist der gleiche, gleiche Version wie vorher da ich davor auch eine ATI Karte drin hatte. Und am ATI Wdm-Capture Treiber wird es jawohl nicht liegen.

Alle Programme die ich in letzter Zeit neu installiert hatte, habe ich wieder deinstalliert, ohne Ergebnis.

Weiß jemand was über die oben angegebenen Adressen?
Warum löscht Outlook Express meine E-Mail Passwörter?
Was soll das alles?
Muss ich mir jetzt Sorgen machen?

Im Anhang Screenshots von den Firewalls.
Bin für jeden Tipp dankbar.

#2 Seeker

obwohl ich mich an win98 nicht recht rantraue:

Hijackthis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Zitat

% Information related to '195.50.128.0 - 195.50.191.255'

inetnum: 195.50.128.0 - 195.50.191.255
org: ORG-MAT1-RIPE
netname: DE-ARCOR-970730

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hy Sabina,

Logfile of HijackThis v1.99.1
Scan saved at 18:16:12, on 27.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
F:\PROGRAMME\ATM\ATM.EXE
F:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
F:\PROGRAMME\VOB\INSTANTWRITE\IWCTRL.EXE
F:\PROGRAMME\COPYH128\CH.EXE
F:\PROGRAMME\TOOLS\WINROLL\WINROLL.EXE
F:\PROGRAMME\PRINTKEY2000\PRINTKEY2000.EXE
F:\PROGRAMME\RUNIT\RUNIT.EXE
F:\PROGRAMME\CD-EJECTOR\CD-EJECTOR.EXE
F:\PROGRAMME\VCOOL\VCOOL.EXE
F:\PROGRAMME\ULTRAVNC\WINVNC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
F:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
F:\PROGRAMME\MAXTHON\MAXTHON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
G:\INSTALLER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - F:\PROGRA~1\STARDO~1\SDIEINT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\SYSTEM\IETie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IW Controlcenter] f:\programme\vob\InstantWrite\IWCTRL.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Copy Handler] F:\Programme\Copyh128\ch.exe
O4 - HKLM\..\Run: [KillCopy] F:\Programme\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATM] f:\PROGRA~1\ATM\atm.exe startintray on
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [schedm] "F:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - Startup: Clear Explorer.pif = F:\PROGRAMME\TOOLS\CLEAR.BAT
O4 - Startup: Winroll.lnk = F:\Programme\Tools\WinRoll\winroll.exe
O4 - Startup: PrintKey.lnk = F:\Programme\PrintKey2000\Printkey2000.exe
O4 - Startup: RunIt.lnk = F:\Programme\Runit\Runit.exe
O4 - Startup: CD-Ejector.lnk = F:\Programme\CD-Ejector\CD-Ejector.exe
O4 - Startup: VCool.lnk = F:\Programme\VCool\VCool.exe
O4 - Startup: UltraVNC Server.lnk = F:\Programme\UltraVNC\winvnc.exe
O8 - Extra context menu item: Download with Star Downloader - F:\PROGRAMME\STAR DOWNLOADER\sdie.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

--------------------------------------------------------------------------
zu den einzelnen Prozessen hier noch ein Prozessexplorer logfile:

Process PID CPU Description Company Name

ZAPRO.EXE 0xFFF3485B 2 ZoneAlarm Pro Zone Labs Inc.
VSMON.EXE 0xFFF28527 TrueVector Service Zone Labs Inc.
RNAAPP.EXE 0xFFF0223F DFÜ-Netzwerkprogramm Microsoft Corporation
TAPISRV.EXE 0xFFF0232F Microsoft® Windows(R) Telefonieserver Microsoft Corporation
KERNEL32.DLL 0xFFEF3F8B Kernkomponente des Win32-Kernel Microsoft Corporation
MSGSRV32.EXE 0xFFFF60CB Windows 32-Bit-VxD-Meldungsserver Microsoft Corporation
SPOOL32.EXE 0xFFFF58F3 Spooler Sub System Process Microsoft Corporation
MPREXE.EXE 0xFFFF404B WIN32 Network Interface Service Process Microsoft Corporation
SCHEDM.EXE 0xFFFC6F5F Avira GmbH Scheduler Avira GmbH
ATI2EVXX.EXE 0xFFFC18C3 ATI External Event Utility EXE Module ATI Technologies Inc.
ATM.EXE 0xFFFC13E7 Another Task Manager for Windows95/98/ME @
mmtask.tsk 0xFFFC9EFB Multimedia background task support module Microsoft Corporation
EXPLORER.EXE 0xFFFC8C63 1 Windows-Explorer Microsoft Corporation
PRINTKEY2000.EXE 0xFFFDD3B3
WINVNC.EXE 0xFFFDBC23 VNC server for Win32 UltraVNC
CH.EXE 0xFFFDB89B Copy Handler v. 1.28
IWCTRL.EXE 0xFFFD7303 Instant Write Control-Center VOB Computersysteme GmbH
VCOOL.EXE 0xFFFD4683 VCool - software cooling & temperature monitor for Athlon/VIA systems
SYSTRAY.EXE 0xFFFD22AB Systemanwendung für Taskleiste Microsoft Corporation
WMIEXE.EXE 0xFFF258FF WMI service exe housing Microsoft Corporation
WINROLL.EXE 0xFFFD205F
HIJACKTHIS.EXE 0xFFF7E0E7 HijackThis Soeperman Enterprises Ltd.
NOTEPAD.EXE 0xFFF7819F Windows Editor Microsoft Corporation
PROCEXP.EXE 0xFFF76617 5 Sysinternals Process Explorer Sysinternals
RUNIT.EXE 0xFFF236C7 RUNit - Program Launcher for Windows 95/98 and Windows NT none
MAXTHON.EXE 0xFFF10527 15 Maxthon Web Browser MY Soft Technology
DDHELP.EXE 0xFFF6EEBB Microsoft DirectX Helper Microsoft Corporation
CD-EJECTOR.EXE 0xFFF22617 DoubleA-Ejector DoubleA
AVGCTRL.EXE 0xFFF08F9B AntiVir Guard/9x Control Program H+BEDV Datentechnik GmbH

Process: Procexp Pid: FFFFFFFE

Winroll ist ein Tool um Windows Fenster als Kpfleiste zu minimieren.
Printkey ist ein Screenshot-tool. Beide seit längerem installiert und problemlos.

--------------------------------------------------------------------------
zu den Autostart eintägen:

Die "Clear Explorer.pif" bzw clear.bat ist eine selbstgeschriebene Batch Datei um die Papierkörbe und Verlaufslisten bei jedem Neustart zu leeren .

Das einziege was ich mir nicht ganz erklären kann ist:

O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\SYSTEM\IETie.dll

Die IETie.dll ist allerdings gar nicht Vorhanden, also wohl nur eine tote Verknüpfung.

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

Ist wohl, laut Dateieigenschaften eine Active X control von Microsoft ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ist bereits von Spybot S&D modifiziert auf RelatedServiceURL="http://www.google.de/search?q=";
-------------------------------------------------------------------------

Ausserdem habe ich inzwischen noch ein paar Symptome zusammengetragen:

Beim Runterfahren kommt meistens ein RUNTIME ERROR 216 at 0000FBA4

Das öffnen vom MEDIA PLAYER CLASSIC bringt EXPLORER.EXE sofort zum Absturz (startet sich auch nicht neu).

Andere Videoplayer funktionieren aber problemlos.

Mein Windows vergisst neben Passwörtern auch Icons.

Inzwischen habe ich auch noch mal die alte Grafikkarte wiedereingebaut und ein Backup der C:\ Partition wiederhergestellt. D.h die komplette C:\ Partition wird überschrieben incl. Bootsektoren. Mit dem gleichen Ergebnis, obwohl ich sicher weiß das ich vor dem Umbau der GraKa diese Probleme definitiv nicht hatte.

Die Grafikkarte selbst scheidet also als Verursacher eigentlich aus.
Auf der Systempartition kann eigentlich dann ja auch nix sein.

Vielleicht ein, wenn auch sehr subtiler, Mainboardfehler?

Oder ...äh? neue Spezies..?...Backdoor? huh?

Wenn 195.50.128.0 - 195.50.191.255 ein Arcor DNS Server ist, ist das OK da ich Arcor Kunde bin.

Aber gcache.cloppy.net?

Ich nehme mal an das Outpost die Adressen anzeigt die das eigentliche Ziel sind und der Arcor DNS Server ist nur die erste Station.
Den das Outlook logfile sagt z.B.:

Learning Mode EXPLORER.EXE d192-24-214-181.try.wideopenwest.com 18817 Ausgehend TCP
Learning Mode EXPLORER.EXE 98.158.171.66.subscriber.vzavenue.net 14370 Ausgehend TCP
Learning Mode EXPLORER.EXE 88-136-2-22.adslgp.cegetel.net 51673 Ausgehend TCP
Learning Mode EXPLORER.EXE c-11bce455.35-0046-74657210.cust.bredbandsbolaget.se 24078 Ausgehend TCP
Learning Mode EXPLORER.EXE h8441166235.dsl.speedlinq.nl 6346 Ausgehend TCP
Blockiere Aktivität für Applikation EXPLORER.EXE EXPLORER.EXE cable11-218.sweetwaterhsa.com 1088 Ausgehend UDP

das sich meine C:\Windows\explorer.exe mit diesen Seiten verbinden will finde ich etwas seltsam !

Und Outpost sagt:

Anwendung: EXPLORER.EXE
Protokoll: TCP
Verbindungsrichtung: Horchend
Port: 1166
Bps: 0

Port 1166 finde ich auch bedenklich. z.B.:

Zitat

CrazzyNet

--------------------------------------------------------------------------------
Name: CrazzyNet
Aliases: Crazynet, Backdoor.Crazynet,
Ports: 1166, 1167, 17499, 17500 (ports can not be changed)
Files: Crazzynet3.7.zip - 355,203 bytes Crazzynet3.7.1.zip - 354,534 bytes Crazzynet3.7.8.zip - 357,188 bytes Crazzynet5.0.zip - 270,092 bytes Crazzynet5.2.zip - 242,541 bytes Crazzynet5.21.zip - 244,760 bytes Client.exe - 142,336 bytes Client.exe - 144,384 bytes Client.exe - 552,960 bytes Client.exe - 1,884,160 bytes Client.exe - 1,888,256 bytes Server.exe - 108,600 bytes Server.exe - 109,112 bytes Server.exe - 333,368 bytes Server.exe - 337,464 bytes Server.exe - 341,560 bytes Registry32.exe - 333.368 bytes Crazzychat.exe - Crazzychats.exe - Crazzynet375.exe - 2,712,897 bytes Crazzynet50.exe - 2,734,483 bytes Pkzip.exe - 42,552 bytes Crazzynet.ini - 164 bytes Winstart.bat - 27 bytes ~df127d.tmp - 1,536 bytes
Created: July 2000
Requires:
Actions: Remote Access / Keylogger / Steals passwords
Registers: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
Notes: Works on Windows 95, 98, ME, NT, 2000 and XP, together with MS INternet Information Server. According to information on the Internet the coder is only 13 years old!!!
Country: written in Israel
Program: Written in Visual Basic 6.0.

Nur "leider" habe ich nicht die für Crazzynet typischen Einträge in der Registry, System.ini oder Win.ini ...immer noch für jeden Tipp dankbar.

#4 Seeker

Backdoor.Ruledor.c [Kaspersky], Spyware/ClearSearch [Panda], Win32/Igetnet.A trojan [Eset],
http://www3.ca.com/securityadvisor/pest/search.aspx?mode=scan&allwords=true&pst=CLEARSEARCH

öffne das HijackThis -- Button "scan" -- vor Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\SYSTEM\IETie.dll

PC neustarten

lade Counterspy, es muesste auf Win98 laufen und poste den scanreport
http://virus-protect.org/counterspy.html

dann kannst du es auch mit einem Onlinescan (Kasperky) versuchen
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hy Sabina, ich habe jaetzt gerade rausgefunden das es auf gar keinen Fall ein Hardwarefehler sein kann, mein Notebook hat auf einmal das exakt selbe Problem :-(

Ich schnall einfach nicht was das sein kann, da es selbst dann noch da ist wenn ich die C Partition mit einem Backup aus der Zeit als ich dieses Problem definitiv noch nicht hatte überschreibe..

HILFEEEE !!!!

#6 Seeker

ich hatte dir doch schon geschrieben, dass dein Win98 verseucht ist und du den Eintrag mit HijackThis fixen musst und die Virenscanner nutzen.!!!

Wenn du mit dem Lappi auch Probleme hast...so bitte ich um das Log vom HijackThis.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

ja klar hattest Du das..hab ichja auch alles gemacht! Nur leider nichts gefunden beim scannen und das fixen des Eintrags:

O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\SYSTEM\IETie.dll

hat leider auch nichts geholfen.

Außerdem finde ich das die Tatsache das selbst nach vollständigem überschreiben der C: Partition mit einem Drive Image Backup (das soweit ich weiß sogar den Bootsektor mit überschreibt) doch eigentlicheher dafür spricht dass das Problem woanders liegt, vielleicht in den Bootsektoren der erweiterten Partition?

Ich bin ja inzwischen schon davon ausgegangen das es sich um einen subtilen Mainboardfehler handelt, der durch den Grafikkartenwechsel entstanden ist. Da aber mein Notebook jetzt den gleichen Sch... macht kann es das ja wohl nicht sein.

Log vom Notebook poste ich demnächst trotzdem gern mal, nur spricht die Logik doch eher für ein etwas komplexeres Problem (siehe oben) oder?

Ich bin natürlicht trotzdem dankbar für jeden Tipp und befolge gern jeden Ratschlag und jede Möglichkeit wird ausprobiert, nur hat das beim PC bisher leider gar nichts gebracht.

Die Frage ist was kann es sein, mir fällt nur noch ein fieser Bootsektovirus als mögliche Erklärung ein, aber den kann eben kein Scanner zu finden. Und um die Festplatten komplett plattzumachen und neu zu partitionieren fehlt mir leider im Moment die Zeit und das Backup-Medium mit ausreichender Größe.

So what..?

#8

Zitat

ClearSearch/IECS was silently installed by IGetNet. This installer also removes any previously-loaded IGetNet variants, and disables the address-bar-search part of any known competitors it finds, including the Xupiter, HuntBar/MSLink, CommonName and NewDotNet parasites, as well as the iWon toolbar and Netword, which are not considered unsolicited commercial software. ClearSearch/CSIE and ClearSearch/Lycos are silently installed by the Sidesearch parasite. ClearSearch/IECS and ClearSearch/CSIE have been silently installed by the FavoriteMan parasite.
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075270
http://virus-protect.org/artikel/spyware/favoriteman.html

ich kann mir vorstellen, dass der Counterspy das findet....
http://virus-protect.org/counterspy.html

scanne und kopiere hier den scanreport

natuerlich ..ich sehe im Log vom HijackThis nur diese SpyWare und weiss nicht, ob es nicht trotzdem einen Hard/Softwarefehler gibt.
Ich bekomme ja von dir keine Infos... keine Logs...nichts.... nur Erklaerungen, mit denen ich nichts anfangen kann.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hat sich erledigt. Ich hab den Schädling indentifiziert :-)