Hallo! Könnt ihr hier etwas erkennen? Wie gesagt, bei mir waren "eigenartige Websites" gesichtet worden... Vielen Dank im voraus!!

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\SKDAEMON.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\nherms\Local Settings\Application Data\Skype\Phone\Skype.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\iPass\iPassConnect Corporate\idialer.exe
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\WinZip\WINZIP32.EXE
C:\Documents and Settings\nherms\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intra.ascom.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intra.ascom.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ASCOM AG
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,,c:\win dows\autoinst\tools\dsblbtw.exe,C:\WINDOWS\AutoIns t\Tools\CUsrSync.exe AutoInst
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPw rMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAuto nomicMonitor
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Documents and Settings\nherms\Local Settings\Application Data\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: START_PAGE_URL=http://intra.ascom.com/
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CHASCOM.INT
O17 - HKLM\Software\..\Telephony: DomainName = CHASCOM.INT
O17 - HKLM\System\CCS\Services\Tcpip\..\{35C1D357-5238-4EB4-B4C4-E26826AD2368}: NameServer = 194.230.1.71 194.230.1.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC38B32-2570-493A-AB49-8918BB168B2A}: Domain = chascom.int
O17 - HKLM\System\CCS\Services\Tcpip\..\{73D676C7-C32B-497C-85A6-EC4E211FD609}: NameServer = 139.79.225.21,139.79.225.23
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CHASCOM.INT
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = chascom.int,hasler.ascom.ch,nt.ascom.ch,ascom.ch,a scom.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CHASCOM.INT
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = chascom.int,hasler.ascom.ch,nt.ascom.ch,ascom.ch,a scom.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = chascom.int,hasler.ascom.ch,nt.ascom.ch,ascom.ch,a scom.com
O23 - Service: McAfee Alert Manager (AlertManager) - McAfee Division of Network Associates, Inc. - C:\Program Files\Network Associates\Alert Manager\amgrsrvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: ROSI Client (RosiCliSrv) - Swisscom AG - C:\WINDOWS\system32\RosiCliSrv\rosiclisrv.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: PowerOff Service (Spwoffsvc) - Swisscom AG - C:\Program Files\PwOffsvc\PwOffsvc.exe
O23 - Service: System Maintenance Service (SysMainSrv) - Swisscom IT Services AG - C:\WINDOWS\system32\SysMainSrv\sysmainsrv.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\winvnc4.exe" -service (file missing)

fixe diese einträge:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,,c:\win dows\autoinst\tools\dsblbtw.exe,C:\WINDOWS\AutoIns t\Tools\CUsrSync.exe AutoInst
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

ich bin mir gar nicht sicher, ob hier backdoor sind..

lass diese dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis:
c:\windows\autoinst\tools\dsblbtw.exe
C:\WINDOWS\AutoInst\Tools\CUsrSync.exe
C:\Program Files\Network Associates\Alert Manager\amgrsrvc.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\system32\SysMainSrv\sysmainsrv.exe

warum postet du eigentlich nicht die ersten 4 zeilen?

dann führe eScan gemäß der Anleitung aus.

poste danach ein neues HJT-Logfile.

Was meinst du mit den ersten vier Zeilen? Ist da etwas verlorengegangen? Musste das ERgebnis an meine Frau skypen und es von ihr posten lassen, alles etwas kompliziert...

@ chris14 Guck mal hier http://www.trojaner-board.de/showthread.php?t=21545 Neuer thread!
und ich glaube nicht, dass tino98 dzt über das betroffene Gerät verfügen und damit Deinen Ratschlägen folgen kann!
@ tino98 Du solltest im ursprünglichen thread bleiben - wie Du siehst, verliert man da leicht die Übersicht!
stupormundi

Ok, werde in Zukunft bei einem Thread bleiben! Aber beim alten Thread hat keiner auf die gepostete Liste reagiert und ich sitze auf heißen Kohlen...

Es geht auch weniger um das Reparieren (ist Sache der EDV) sondern darum, dass man herausfinden könnte, OB Fremdeinwirkung möglich ist...

@Tino98
Es geht auch weniger um das Reparieren (ist Sache der EDV) sondern darum, dass man herausfinden könnte, OB Fremdeinwirkung möglich ist...

Auch das ist Sache der EDV oder IT Abteilung...


chaosman

Hallo,
@chaosman
Sehe ich anders, ist doch das gute Recht von Tino98 sich gegen Vorwürfe verteidigen zu können.
@Tino98
Versuche mal das mit Escan, wenn das möglich ist. Kann aber auf den ersten Blick keine Malware erkennen.


Grüße Wildone

@Wildone

Zitat:

Sehe ich anders, ist doch das gute Recht von Tino98 sich gegen Vorwürfe verteidigen zu können

will ja auch niemand in Abrede stellen - nur ist es in diesem speziellen Fall hier im board kaum möglich, da es sich hier offenbar um einen Firmen-PC von tino98 handelt, auf den er dzt scheinbar gar keinen Zugriff mehr hat!
Siehe dazu auch seinen zweiten (eigentlich ersten) thread
Damit wird auch der Vorschlag

Zitat:

Versuche mal das mit Escan, wenn das möglich ist. Kann aber auf den ersten Blick keine Malware erkennen.

nicht umzusetzen sein.
Was chaosman meinte, ist, dass in diesem Fall wohl wirklich nur jemand vor Ort mit Einblick in deren Serverprotokoll mehr dazu sagen kann
stupormundi
@tino98 alles Gute trotzdem, *daumendrück*

Hat ewig gedauert, aber jetzt habe ich den e-scan machen können und zwei Trojaner gefunden JS/Exploit-HelpXSite ...macht der solche Schweinereien?