Hallo an alle,

habe mich schon durch das Board gewühlt und auch den einen oder anderen Hinweis gefunden, nur bin ich mir nicht sicher ob wirklich etwas auf meinem rechner ist, anbei das hijack log von heute morgen:

Logfile of HijackThis v1.99.1
Scan saved at 10:04:59, on 13.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\STAMPIT\BINARY\STRAY.EXE
C:\Programme\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programme\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
Z:\Software\Sicherheit\hijack\Hijackneu.exe
C:\Programme\Opera\Opera.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\BINARY\STRAY.EXE
O4 - HKLM\..\Run: [Matrox PowerDesk 8] "C:\Programme\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe /NoDialog
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/pm/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180082586855
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = roeschbrother.timdocsign.de
O17 - HKLM\Software\..\Telephony: DomainName = roeschbrother.timdocsign.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = roeschbrother.timdocsign.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = roeschbrother.timdocsign.de
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

Vielen Dank im vorraus für eure Hilfe.

Alexander

Halli hallo.

Wenn du dich schon so wiet durch's Board gewühlt hast dann sollten dir die FAQ auch schon unter gekommen sein.
Dein log sieht sauber aus; eine PRoblembeschreibung wäre ganz nützlich...

Gruß

Undoreal

Problem,

obwohl ich auf dem Rechner keine Firewall, laufen hatten, da er an einem Windows 2000 Server mit Firewall hängt, kann ich seit kurzem mit meiner Warenwirtschaft nicht mehr auf den SQL Server zugreifen, vermehrt seltsame Abstürze die ich nicht erklären kann.

ich habe auch mein hijack und den security mehrmals durchgeschaut und nix gefunden (aber da ich so weit nicht drin stecke, kann ich ja auch was übersehen haben)

Alexander

Moin

ich denke es handelt sich bei dir um ein Produktivsystem (Firmen/Arbeitsrechner) und sollte ausschließlich von einem Admin betreut werden, nicht über ein Forum.

MFG

Hallo,

jetzt hab ich jede Menge gefunden, gescannt mit AVG Anti Spyware:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 11:05:05 13.06.2007

+ Scan-Ergebnis:



C:\Programme\Тasks\сhkntfs.exe -> Adware.PurityScan : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055952.dll -> Adware.PurityScan : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055960.exe/crack.exe -> Adware.Virtumonde : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055961.exe/crack.exe -> Adware.Virtumonde : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055963.exe/crack.exe -> Adware.Virtumonde : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0056076.dll -> Adware.Virtumonde : Ignoriert.
D:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP337\A0059421.dll -> Adware.Virtumonde : Ignoriert.
D:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP337\A0059422.dll -> Adware.Virtumonde : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055956.exe -> Downloader.Alphabet : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055982.exe -> Downloader.Alphabet : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055958.exe -> Downloader.Alphabet.b : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP336\A0059405.exe -> Downloader.Alphabet.c : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055960.exe/keygen.exe -> Downloader.Nurech.ak : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055961.exe/keygen.exe -> Downloader.Nurech.ak : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055963.exe/keygen.exe -> Downloader.Nurech.ak : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055949.exe -> Downloader.PurityScan.eg : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP324\A0058014.exe -> Downloader.PurityScan.eg : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP320\A0055951.dll -> Downloader.Small.ddx : Ignoriert.
D:\Software\ Adobe Photoshop Cs2 Crack Serial.rar/Adobe Photoshop Cs2 Crack Serial\Adobe Photoshop CS2 crack+serial.exe -> Dropper.Agent.abw : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP281\A0050410.exe -> Not-A-Virus.BadJoke.Win32.FakeFormat.105 : Ignoriert.
:mozilla.11:C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP324\A0057675.old -> TrackingCookie.Ivwbox : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP322\A0056117.dll -> Trojan.Agent.qt : Ignoriert.
C:\System Volume Information\_restore{C1C7B695-4391-45C5-8B73-BD290778F445}\RP336\A0059406.dll -> Trojan.Dialer.qn : Ignoriert.


::Berichtende

habe erstmal alles gelöscht...denke aber das wird nicht alles sein...

was ist zu tun ?

oder den Rechner gleich neu...

Alexander

Zitat:

da er an einem Windows 2000 Server mit Firewall hängt, kann ich seit kurzem mit meiner Warenwirtschaft nicht mehr auf den SQL Server zugreifen, vermehrt seltsame Abstürze die ich nicht erklären kann.

Zitat:

ich denke es handelt sich bei dir um ein Produktivsystem (Firmen/Arbeitsrechner)

das ist der Fall oder?

dann =>

Zitat:

sollte ausschließlich von einem Admin betreut werden, nicht über ein Forum.

Zitat:

was ist zu tun ?

oder den Rechner gleich neu..

sprich mit dem admin aber den Rechner Neuaufzusetzten ist sicher die sauberste Lösung.

Gruß

Undoreal

Hallo,

ja richtig es ist ein kleines Firmennetzwerk und mir gehört es und das schlimme ich bin auch der admin.

Nur ist meine Zeit des Studium der Medieninformatik schon so lange her und ich bin mit Rechnern mittlerweile auch auf Kriegsfuß, also hoffe ich mal ich bekomme ein paar Hinweise von euch.

Wichtig für mich wäre, ob es möglich ist die Rechner 1 Server, 2 PC´s und 2 Notebooks wieder sauber bekomme oder alles neu oder was genau neu.

Bisher zeigt nur ein Rechner, den Befall mit Trojaner und anderen Strolchen.

Alexander

Hallo

Zitat:

ja richtig es ist ein kleines Firmennetzwerk und mir gehört es und das schlimme ich bin auch der admin.

als Besitzer/Chef/Admin findet man bei dir solche Dateien auf den Rechnern?

Zitat:

D:\Software\ Adobe Photoshop Cs2 Crack Serial.rar/Adobe Photoshop Cs2 Crack Serial\Adobe Photoshop CS2 crack+serial.exe

Ohne Worte...

Prost

Hallo,

ich bin damit beschäftigt meine arbeit zu machen, für nen richtigen Admin hab ich leider noch kein Geld erwirtschaften können,

da in meinen Team rund 10 verschiedene Menschen an den Rchnern sitzen und ihre Arbeit tun...mal mehr mal weniger wie ich jetzt sehe...muß ich mir wahrscheinlich jetzt mehr mühe mit der übrewachung geben.

aber über arbeitsmoral und wie was auf nen rechner kommt, mag ich jetzt auch gar nicht reden, es is passiert ich muß meine konsequenzen ziehen und die sind schon hart genug...

fakt bleibt jedoch das ich Hilfe suche ?

Also wer kann und vor allem möchte helfen.

Grüße Alex