Massenspam über meine Domäne

#1 Hallo,

ich glaube auch auf meinen rechner hat sich was breit gemacht.
Ich wäre euch dankbar wenn ihr mal über das hijack log drüberschauen würde.

Lieben dank
Fratzi

Logfile of HijackThis v1.99.1
Scan saved at 21:19:42, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla1.7.3\Mozilla.exe
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\oem\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17E23096-5D5B-4F47-966D-ABF1CA3544FC}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{17E23096-5D5B-4F47-966D-ABF1CA3544FC}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#2 Das Log sieht sauber aus. Kannst Du dein Problem etwas genauer beschreiben ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallöchen,
sry das ich mich erst jetzt melde

mein problem ist dass jemand von meiner domäne massenspams versand hat. die firma die meine domäne hält war ziemlich sauer.
es hatte sich auch ohne mein zutun die remoteunterstützung geöffnet, ich wußte noch nich mal das ich sowas habe.
da ich den PC nicht vertehe gehe ich davon aus, dass programme im hintergrund laufen wenn ich surfe oder so. nur so kann ich mir beim abmelden die meldung erklären dass ein programm (was für eins auch immer) noch geschlossen werden muss damit der pc runtergefahren werden kann. das dürfte aber wohl kein problem sein.
gruß
fratzi

#4

Zitat

mein problem ist dass jemand von meiner domäne massenspams versand hat.

Möglicherweise ein Bug in verwendeter Software/Scripts auf deiner Internetpräsenz !? Wenn ja, so könnte es sich wiederholen, wenn ein Angreifer erst mal die Lücke entdeckt hat. Wenn Du interessiert bist, dass sich das jemand ansschaut- poste bitte einen Link zu der Seite.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Hallo Joschi,

ich hab grad mal geschaut aber meine www seite ist gesperrt bzw wird nicht gefunden. Aber was ist ein Bug??? der witz an der sache ist dass ich keine HP gemacht habe, ich bin nämlich zu dämlich dazu. ich fands nur witzig ne mail addy mit meinem namen hinter dem @ zu haben.

Gruß
Fratzi

#6 Könntest Du mal einen Screenshot von deinem Bildschirm machen, wenn sich diese "Remoteunterstützung" zeigt ? Möglicherweise harmlos, aber mal sehen.

Um auch auf einen älteren Post v. Dir zu sprechen zu kommen:
Bezüglich http://board.protecus.de/t22955.htm#222662

Wurde von diesem infizierten PC ebenfalls Mails über deinen Hoster versendet ?
Möglicherweise solltest Du mal das Passwort für den Mailversand ändern.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 Hallöchen,

um die Frage zu beantworten so wie ich haben beide kinder eine mail addy auf die sie über ein icon auf dem desktop zugreifen können. Jede mailaddy hatte ihr PW. Es kann sein, dass hier auch PW klau stattgefunden hat. Ich weiß es nicht, aber ad aware als auch antivir haben ja nix gemeldet. erst als sich bei meiner tochter der trojaner bemerkbar gemacht hat habe ich ja den pc von euch durchleuchten lassen. Die www wird morgen freigeschaltet. Ich bin natürlich daran interessiert wenn sich das mal jemand anguggen kann. kann man denn über die HP auf einen rechner zugreifen so von hinten ins auge?
Von der Remoteunterstützung habe ich den Screenshot, das ist vom Hilfe- und Supportcenter von windows. Dumme frage wie bekomme ich ein JPG hier ein?

Lieben Gruss
Fratzi

#8 Dumme frage wie bekomme ich ein JPG hier ein?

Zitat

Unter dem Textfeld für die Eingabe deines zu postenden Textes => "Anhang" => Schaltfläche "Durchsuchen" => Datei auswählen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 hallöchen,
meine frage war wirklich dumm, sorry.
Bin mal gespannt ob es klappt

Gruß
Fratzi

#10 Fixe in Hijackthis den Eintrag O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

Könnte mir vorstellen, dass dieser Eintrag dafür verantwortlich ist
Mehr Infos dazu: http://sysinfo.org/startuplist.php?filter=PDVDServ.exe
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Hallöchen,

ich habe den Eintrag gefixt. Danach erschien auf meinem Desktop ein Ordner backups. Soll ich den löschen?

Ich hab noch eine Frage Wie kann ich überprüfen ob auf den PC`s ein PW klau stattgefunden hat, da ich das Problem mit de Massenspam nicht nochmal haben möchte.

Auf jedenfall möchte ich mich nochmal bedanken für die Hilfe von euch!

Gruß
Fratzi

#12 Backups ? In welchem Pfad genau liegt der Ordner ? also z.B c:\Ordner xyz\etc\etc

Das ist schwer zu überprüfen, aber ein verseuchtes System ist nie vertrauenswürdig, von daher (wie oben angemerkt) - ändere das Passwort für die div. Dienste auf deiner Domain.
Im Zweifelsfall- Passwörter für alle Zugänge und Accounts ändern, die sicherheitskritisch sind. (Online-Banking. Ebay, Paypal, etc....)
__________
Durchsuchen --> Aussuchen --> Untersuchen

#13 der Ordner hat lt. Eigenschaften folgenden Pfad
C\Dokumente und Einstellungen\oem\Desktop\backups und ist eine Datei mit 1 kb
Die Passwörter für die Dömane habe ich schon geändert.

Nochmals danke Joschi dafür das du dir die Zeit genommen hast. Mein Dank geht ebenso an alle anderen.

Gruß Fratzi