Tcom meckert das von diesem pc Massenmails geschickt werden?!!

SethGecko2 · 18.09.2009, 11:34

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:48, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA601] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3298] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4995] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5201] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA455] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8557] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5945] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5640] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7546] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1313] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1540] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5420] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8710] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6816] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6293] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4201] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6661] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2380] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1754] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1450] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA168] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC481] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4742] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC917] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9616] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1050] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3178] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9969] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3171] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4135] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rohos] E:\Rohos\agent.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9600] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6047] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB934] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6223] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB426] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7238] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9153] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7697] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9303] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1581] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7136] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD81] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1390] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3183] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3681] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9218] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5497] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1643] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6720] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3767] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD390] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4036] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4357] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2908] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7405] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7305] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3818] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1593] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1300] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9288] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8194] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\Software\..\Telephony: DomainName = avorga.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = avorga.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = avorga.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 19773 bytes

Metallica · 18.09.2009, 11:50

Hallo Seth,
bin zwar kein offizieller Helfer, hab aber trotzdem mal drübergeschaut.

Ich konnte in dem Log nix auffässiges entdecken (hoffe ich täusch mich nicht^^)

Arbeite bitte hier Punkt 2 ab und poste die logfiles

€dit: mir ist noch aufgefallen, dass du den Internet explorer noch in der Version 6 benutzt, aktuell ist Version 8

cosinus · 18.09.2009, 12:04

Hallo und

Code:

ATTFilter

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = avorga.de

Ist das so rein zufällig ein Bürorechner, Domänenmitglied?

Wenn ja, tätest Du gut daran, das schnell und freundlich Deiner EDV-Abteilung das mitzuteilen...

MightyMarc · 18.09.2009, 12:12

Zitat:

Zitat von cosinus

Wenn ja, tätest Du gut daran, das schnell und freundlich Deiner EDV-Abteilung das mitzuteilen...

Sieht nicht so aus, als hätte die alles fest im Griff...
...aber stimmt schon, das ist die Zuständigkeit der IT-Abteilung.

Marc

SethGecko2 · 18.09.2009, 12:25

Zitat:

Zitat von Metallica

Hallo Seth,
bin zwar kein offizieller Helfer, hab aber trotzdem mal drübergeschaut.

Ich konnte in dem Log nix auffässiges entdecken (hoffe ich täusch mich nicht^^)

Arbeite bitte hier Punkt 2 ab und poste die logfiles

€dit: mir ist noch aufgefallen, dass du den Internet explorer noch in der Version 6 benutzt, aktuell ist Version 8

Arbeite gerade punkt 2 ab.

Internetexplorer ist alt weil ich ihn nicht benutze. Arbeite nur mit firefox.

MightyMarc · 18.09.2009, 12:29

Beantworte bitte die Frage, ob wir es hier mit einem Firmenrechner zu tun haben und wer bei Euch dafür zuständig ist.

Marc

SethGecko2 · 18.09.2009, 12:29

Zitat:

Zitat von MightyMarc

Sieht nicht so aus, als hätte die alles fest im Griff...
...aber stimmt schon, das ist die Zuständigkeit der IT-Abteilung.

Marc

stimmt, ist n firmenrechner.
Ist etwas kompliziert, momentan ist keiner da, der das Netzwerk betreut.
Ich habe mal It-Systemelektroniker gelernt, deswegn möchte ich es gerne selber fixen, bevor ich damit jetzt n externen betreue, den ich noch net kenne.
gretzeee

MightyMarc · 18.09.2009, 12:32

Hast Du einen offiziellen Auftrag? Wie kommst Du darauf, dass genau von diesem Rechner Spam versendet wird? Habt Ihr einen Mail-Server der als offenes Relay konfiguriert ist?

Bist Du Dir/Dein Chef sich sicher, dass ein externer Dienstleister nicht betriebswirschaftlich sinnvoller wäre?

Marc

SethGecko2 · 18.09.2009, 12:40

Zitat:

Zitat von MightyMarc

1. Hast Du einen offiziellen Auftrag? 2. Wie kommst Du darauf, dass genau von diesem Rechner Spam versendet wird? Habt Ihr einen Mail-Server der als offenes Relay konfiguriert ist?

3. Bist Du Dir/Dein Chef sich sicher, dass ein externer Dienstleister nicht betriebswirschaftlich sinnvoller wäre?

Marc

1. als stellvertretender Geschäftsführer brauche ich keinen Auftrag.
Laut Tcom ist der Rechner dafür verantwortlich von dem ich euch den log schon gepostet habe.
2. Tcom hat mich schriftlich darauf aufmerksam gemacht dass hier Massenmails geschickt werden. Nach Rücksprache mit Tcom ist dieser eine Rechner dafür verantwortich.
3. Ja

MightyMarc · 18.09.2009, 12:46

Zitat:

Zitat von SethGecko2

Laut Tcom ist der Rechner dafür verantwortlich von dem ich euch den log schon gepostet habe.
2. Tcom hat mich schriftlich darauf aufmerksam gemacht dass hier Massenmails geschickt werden. Nach Rücksprache mit Tcom ist dieser eine Rechner dafür verantwortich.

Ich will hier nur für die Malwarespezis etwas abklären bevor an der falschen Stelle gesucht wird:

Der Rechner ist in der Domäne und nutzt die Internetanbindung des Netzwerkes oder hat der Rechner einen separaten Zugang?
Ich frage mich nämlich, wie bei einem Rechner in der Domäne der idR über NAT ins Internet kommt, eine Spamquelle genau identifiziert werden kann. Wenn der Rechner einen extra Zugang hat ist das natürlich kein Problem, aber wenn der Rechner in einer Domäne ist und der Provider meldet sich wegen Spams ist meist ein falsch konfigurierter Mailserver schuld.

Marc

SethGecko2 · 18.09.2009, 12:54

Zitat:

Zitat von MightyMarc

Ich will hier nur für die Malwarespezis etwas abklären bevor an der falschen Stelle gesucht wird:

1. Der Rechner ist in der Domäne und nutzt die Internetanbindung des Netzwerkes oder hat der Rechner einen separaten Zugang?
2. Ich frage mich nämlich, wie bei einem Rechner in der Domäne der idR über NAT ins Internet kommt, eine Spamquelle genau identifiziert werden kann. Wenn der Rechner einen extra Zugang hat ist das natürlich kein Problem, aber wenn der Rechner in einer Domäne ist und der Provider meldet sich 3. wegen Spams ist meist ein falsch konfigurierter Mailserver schuld.

Marc

1. Der Rechner ist in der Domäne soweit ist das korrekt. Aber der Rechner greift nicht über den domain server aufs inet zu, sondern direkt über den inet router.

2. das habe ich mich auch gefragt, aber tcom ist da irgendwie nicht so gesprächig gewesen, nachdem ich gefragt habe woher die wissen welcher pc es ist. Und sie könnte sogar recht haben, denn spybot search und destroy hat ne menge gefunden, nur leider weiß ich nicht wie ich da ne logdatei rausbekomme die ich hier posten kann...

3. Dieser Rechner läuft nicht über einen maillserver.

gretzeeed

MightyMarc · 18.09.2009, 13:01

Zitat:

Zitat von SethGecko2

..., sondern direkt über den inet router.

Und den Router nutzt das komplette Netzwerk, oder? Damit wäre mMn lediglich der spammende Anschluss zu ermitteln und das wären alle Rechner die diesen Router nutzen.
Habt Ihr einen Mailserver? Wenn ja, prüfe mal (zB Exchange > System Manager > Nachrichtenstatus) ob der Mailserver Spam versendet.

Ansonsten arbeite ab was Dir unsere Malwarespezis raten. Am sichersten und vermutlich auch ökonomischten wäre eine Neuinstallation des Clients, aber das bleibt Deine Entscheidung.

Marc

SethGecko2 · 18.09.2009, 13:09

Zitat:

Zitat von MightyMarc

1. Und den Router nutzt das komplette Netzwerk, oder? Damit wäre mMn lediglich der spammende Anschluss zu ermitteln und das wären alle Rechner die diesen Router nutzen.
2. Habt Ihr einen Mailserver? Wenn ja, prüfe mal (zB Exchange > System Manager > Nachrichtenstatus) ob der Mailserver Spam versendet.

3. Ansonsten arbeite ab was Dir unsere Malwarespezis raten. Am sichersten und vermutlich auch ökonomischten wäre eine Neuinstallation des Clients, aber das bleibt Deine Entscheidung.

Marc

1. Ja. Aber Tcom muß doch irgendwie auf diesen rechner kommen, die sagen mir den PCnamen ja nicht einfach so.... die konnten mir genau sagen, wie der pc im netz heiß.

2. Haben wir schon, aber nur zum empfangen und verteilen der nahrichten, der Versand der emails findet über den jeweiligen pc statt.

3. Ja, werde ich tun, warte noch auf die ergebnisse von dem anti malware programm. Und mit einer Neuinstallation hätte ich nur in sofern ein problem, dass ich gerade die xp cd nicht finde.

MightyMarc · 18.09.2009, 13:20

Zitat:

Zitat von SethGecko2

1. Ja. Aber Tcom muß doch irgendwie auf diesen rechner kommen, die sagen mir den PCnamen ja nicht einfach so.... die konnten mir genau sagen, wie der pc im netz heiß.

2. Haben wir schon, aber nur zum empfangen und verteilen der nahrichten, der Versand der emails findet über den jeweiligen pc statt.

Dann steht der Rechner als Mailserver im Header.

SethGecko2 · 18.09.2009, 13:22

Zitat:

Zitat von MightyMarc

Dann steht der Rechner als Mailserver im Header.

Wie im header? wie meinst du das?

Tcom meckert das von diesem pc Massenmails geschickt werden?!!

Log-Analyse und Auswertung: Tcom meckert das von diesem pc Massenmails geschickt werden?!!