|
Log-Analyse und Auswertung: Homepage gehackt! Bitte um Logfile AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.06.2006, 20:41 | #1 |
| Homepage gehackt! Bitte um Logfile Auswertung Abend, habe mir höchstwarscheinlich auch wieder mal einen Trojaner eingefangen. Mein Problem ist: Seit vorgestern ist die Homepage meiner Frau gehackt worden. Sie war bei Firefox als Startseite hinterlegt und lautet: w*w.of-blue-home.de Wenn ich sie nun öffne kommt lauter Werbung und es öffnet sich ein Downloadfenster mit der Bezeichnung: "ihre-Nachricht.exe" Vom Typ Anwendung von h**p//www.smalltool.net Habe eigentlich das aktuellste Kaspersky 6.0 mit Sygate Peronal Firewall Pro, Spybot - Search & Destroy laufen Außerdem wird regelmäßig mit Adaware der Rechner durchsucht. Aber leider tauchen keine Hinweise auf irgend welche Plagegeister auf. Nun seit ihr meine letzte Rettung. Bitte schaut euch mal mein Logfile an und wenn Ihr mir helfen könnt, wäre ich euch sehr dankbar. Bin leider kein Profii in Sachen Computern. Danke für eure Unterstützung. Gruß Achim Logfile of HijackThis v1.99.1 Scan saved at 21:33:17, on 08.06.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe C:\Programme\Acronis\BackupServer\backupserver.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\oodag.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINNT\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe D:\Programme\D-Tools\daemon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Moony\moony.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\ctfmon.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\linguatec\PT2006Pro\PTDirect.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\linguatec\PT2006Pro\pt_TEngine.exe C:\Programme\linguatec\PT2006Pro\pt_TEngine.exe C:\Programme\KHK\HW2000\Handwerk.exe D:\Programme\QuoteTracker\stocks.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe D:\PC\Viren_Dialer\hijackthis\HijackThis.exe C:\Programme\IncrediMail\bin\IncMail.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.of-blue-home.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule\emule.exe -AutoStart O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe O4 - Global Startup: FRITZ!fax .lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PT Direct (2).lnk = C:\Programme\linguatec\PT2006Pro\PTDirect.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147805470390 O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F6E849-5B8B-4683-9A85-AE5CE6B03E18}: NameServer = 192.168.1.1 O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe O23 - Service: Acronis True Image Backup Server Service (AcronisBackupServerService) - Acronis - C:\Programme\Acronis\BackupServer\backupserver.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: V2i Protector - Unknown owner - D:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe (file missing) |
08.06.2006, 21:48 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Homepage gehackt! Bitte um Logfile Auswertung Dein Logfile sieht sauber aus, werte Dein Log doch mal auf Hijackthis.de aus und schau nach Einträgen mit den gelben Fragezeichen. Aber imho sollten das legitime Programme sein.
__________________Hast Du die Datei ihre-nachricht.exe ausgeführt? Benutzt Du den IE zum browsen? Das sagt Virustotal zu dieser Datei.
__________________ |
09.06.2006, 06:16 | #3 |
| Homepage gehackt! Bitte um Logfile Auswertung Hallo,
__________________ich arbeite mit Mozilla/Firefox/1.5.0.4 Gruß Achim |
09.06.2006, 06:36 | #4 | |
| Homepage gehackt! Bitte um Logfile Auswertung @bronkobull Zitat:
Ich kann auch keine Probleme im Deinem Log merken. Versuche noch mit Ewido den PC zu scannen. |
09.06.2006, 12:55 | #5 |
| Homepage gehackt! Bitte um Logfile Auswertung Hi, was mit Frauchens Homepage passiert ist, weiß ich jetzt. Nach einem Telefongespräch heute Morgen, wurde mir vom Ersteller der HP mitgeteilt, dass von der Webhosting-Firma meine HP-Adresse irrtümlich gelöscht wurde und das, obwohl ich ein Abbuchungsverfahren habe, wo der Betrag für ein Jahr im voraus eingezogen wird. Nun hat sich eine Firma gleich meine HP-Adresse resserviert und verbreitet darüber nur sinnlose Werbung. Ebenfalls wird dieses ominöse Fenster (ihre nachricht.exe) zum download bereitgestellt. Ich habe nun die Firma angeschrieben, welche nun über meine HP diese Sch***- werbung bringt. Die wollen nun als Entschädigung von mir einen Betrag von 600,-€ haben. Gruß Achim |
09.06.2006, 13:33 | #6 |
Moderator, a.D. | Homepage gehackt! Bitte um Logfile Auswertung Hört sich für mich eher nach einem Fall für den Anwalt als nach einem Fall für ein Sicherheitsforum an. Gruß Yopie |
09.06.2006, 15:47 | #7 |
| Homepage gehackt! Bitte um Logfile Auswertung ... wobei eindeutig DU im Recht bist Drohe ebenfalls mit einer Entschädigungsklage, bleib aber im bereich zwischen 200 und 400€ (da private Homepage - kein großer Sachschaden). Ziehe einen Anwalt deines Vertrauens dazu und verfasse mit ihm das Schreiben. Richte es aber an die Webhostuing Firma, keinesfalls an die, die jetzt die Domain hat (sie ist zwar unseriös, aber auch unschuldig im Sinne der "Anklage" *lach*). mfg, Markus |
Themen zu Homepage gehackt! Bitte um Logfile Auswertung |
adobe, als startseite, bho, computer, disk director, excel, explorer, firefox, firewall, fritz!, helfen, hijack, hijackthis, homepage, internet, internet explorer, kaspersky, konvertieren, logfile, logfile auswertung, mozilla, mozilla firefox, pdf, pdf-datei, problem, software, system, trojaner, viren, werbung, windows, öffnet |