Hinweise auf Spyware?
 

@ all

Kann mir jemand bitte sagen, ob das untenstehende Log "unauffällig" ist?

Habe nämlich mit meinem Malware-Scanner Hinweise auf MailSkinner in der Registry (angebl. Spyware) gefunden und weiß nicht ob das harmlos ist. Löschen kann ich den Eintrag in der Registry jedenfalls nicht. Habe mich schon früher an Euch gewendet aber jetzt erst ein Log:


Logfile of HijackThis v1.99.1
Scan saved at 10:04:29, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
\satviefs01\telefoncd\OtbStart.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Astrocontact Astroplus\AcPlaStd.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\WISPTIS.EXE
\Satviefs02\jurxpert$\Bin\jurXpert3.exe
C:\Programme\Microsoft Office\Office\MSACCESS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://satviesps01/search.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.20.2.10:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = mail.***.at;<local>
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [OtbStart] \\satviefs01\telefoncd\OtbStart.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AcPlaStd.exe] C:\Programme\Astrocontact Astroplus\AcPlaStd.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106044513718
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Law.Local.inet
O17 - HKLM\Software\..\Telephony: DomainName = Law.Local.inet
O17 - HKLM\System\CCS\Services\Tcpip\..\{056C720B-1547-4B96-B88E-83EB86A06B75}: Domain = law.local.inet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Law.Local.inet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Law.Local.inet
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)


Vielen Dank schon mal!

allo Cyberfrog,
du hast einige Sachen drin ,die bedürfen der Erläuterung.
Das hier kennst du ? C:\Programme\Astrocontact Astroplus\AcPlaStd.exe
Das hier solltest du fixen : O14 - IERESET.INF: START_PAGE_URL=about:blank
Die Sternchen in den R1 und O17 Einträgen,sind die von dir gemacht ?
Mehrere Einträge hinter denen steht "file missing" können ebenfalls gefixt werden.Das hier solltest du mal bei Jotti scannen lassen :\Satviefs02\jurxpert$\Bin\jurXpert3.exe
http://virusscan.jotti.org/de/
Irrlicht

Hallo Irrlicht!

Danke für Deine Nachricht. Astrocontact kenn ich, ist ein Astrologie-Programm - war bis jetzt immer harmlos. Die Sternchen habe ich selbst gemacht (Hinweis auf Firma-kommt vielleicht nicht so gut...).

JurXPert habe ich mit Jotti gescannt, ist Status OK.

Wie kann ich Einträge fixen?

Danke u lg

cyberfrog

Servus cyberfrog!
Habe gerade Deine Vorposts zu diesem Prob von wegen Mailskinner durchgesehen - Du willst von uns einen Tipp, wie Du am Firmenrechner etwas ändern kannst?
Dazu hast Du einen IT-Abteilung oder EDV Experten/Admin -der will nicht-dann ist es seine Verantwortung.
Aber hier im board wird aus prinzipiellen Gründen nicht in Firmensysteme, die in der Verantwortung von Admins stehen, eingegriffen!
Suche bitte das Einvernehmen mit Deinem Admin!
stupormundi

Servus Stupor!

Ich will gar nicht eingreifen oder ändern - vorerst wäre für mich nur wichtig zu wissen ob MailSkinner gefährlich ist und Viren entfernen ist sicher auch im Interesse des Addi...nur ist meiner so überlastet, dass erst alles crashen muss bevor er was tut :-( Er kennt sich leider selbst nicht aus mit dem Eintrag! Vielen Dank

Servus nochmal!
Guck mal hier nach! -->spyware!?
stupormundi

Schönen Abend aus und nach Ostarrichi!

Danke für den Link! Also definitiv ein Trojaner... Aber die Dateien "MailSkinner.exe, OESkinner.dll, and OLSkinner.dll" und "msegcompid.dll, msclock32.jpg and axsetup.dll" finde ich nicht auf dem Rechner - kann es sein dass die von der Firewall oder vom Virenscanner geblockt oder schon gelöscht wurden? Wenn ja, ist dann der (schreibgeschützte) Eintrag in der Registry noch gefährlich? Ich weiß, ich nerve, sorry schon mal ...