E-Mail vom t-online Abuse Team, Botnetaktivitäten von meiner IP

Uwe B · 01.06.2011

Hallo ans Board,

bin im Moment richtig nervös und kann nur noch um Hilfe bitten.

Gestern bekam ich von meinem Provider eine E-Mail, dass von meinem Netzwerk (meiner IP) letzten Sonntag gegen 21:00 Uhr unautorisierte Zugriffe auf fremde Rechner erfolgt sein sollen. Auf Nachfrage wurde mir mitgeteilt, dass offenbar einer meiner Rechner um diese Zeit ein Sinkhole kontaktiert hat. Ursache vermutlich Trojaner Torpig (Sinowal oder Anserin) und/oder Mebroot. Ich habe, neben zweier MR 300 Mediareceiver, zwei Rechner im Netzwerk auf beiden läuft Win XP pro SP 3, auf beiden Norton 360 und Spybot 1.6.6 Alle Scans auf beiden Rechnern verlaufen negativ. Es ärgert mich richtig, weil ich beide Rechner vor etwa 2 Monaten komplett neu aufgesetzt habe. Am Sonntag gegen 21:00 Uhr war nur dieser Rechner an, WLAN wird lediglich von zwei iPhones genutzt und ist WPA2 verschlüsselt, dass Router-Log zeigt auch keine Auffälligkeiten oder unautorisierte Zugriffsversuche

Folgendes Hijack-Log vom ersten Rechner:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
C:\WINDOWS\System32\vssvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Dokumente und Einstellungen\Beate\Desktop\Systemwartung\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bb-ferien.reisepreisvergleich.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\5.1.0.29\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\5.1.0.29\IPS\IPSBHO.DLL
O2 - BHO: IncrediMail MediaBar 2 - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc0.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.1.0.29\coIEPlg.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [iTunesHelper] D:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra->Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5852F5ED-8BF4-11D4-A245-0080C6F74284} (isInstalled Class) - http://www.merlinx2.de/merlinx/plugin/jinstall-1_5_0_04-windows-i586.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1298718446078
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MAGIX StartUp Analyze Service - MAGIX AG - C:\Programme\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7917 bytes

Das Log vom zweiten Rechner habe ich erstmal weggelassen, da dieser am besagten Sonntag zu dieser Uhrzeit definitiv aus war. Kann da mal einer der Experten drüber schauen. Und vor allem, wenn eine Infektion vorliegt, wie finde ich diese Trojaner. Ich habe alles mögliche ergoogelt, allerdings habe ich jetzt auch Angst, dass ich mir beim runterladen irgendwelcher Scanner weitere Schadsoftware einhandle.

Grüße aus Oberfranken

Ezechiel666 · 01.06.2011

Hallo Uwe B,

meiner Meinung nach, war es nicht dieser Rechner. Das HJT-Log liest sich für mich, vom üblichen IncrediMail- und Google-Gedöns mal abgesehen, absolut sauber.

GreeZ
EzE

Uwe B · 01.06.2011

Hallo EzE,

danke für Deine Antwort. Hier noch das Log des zweiten Rechners:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\update\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\vssvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
C:\Programme\Hijackthis\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\5.1.0.29\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\5.1.0.29\IPS\IPSBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.1.0.29\coIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1305916096125
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MAGIX StartUp Analyze Service - MAGIX AG - C:\Programme\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5464 bytes

PCDpan_fee · 01.06.2011

Uwe schrieb:
Hier noch das Log des zweiten Rechners

der Rechner ist sauber.

pan_fee

cetdsl · 02.06.2011

nun welchen modem nutzt du ganz wichtig manche modem merken sich die geräte die auf internet zugegriffen haben.

http://www.merlinx2.de

für was wird dieser gebraucht.
schaumal hier zu anserin:
http://www.avira.com/de/support-vdf-details/survey/3/mod/1/step/3/ivdf_no/7.11.08.101

und gehe mall zu symantec wann die das reingestelt haben
kann aber auch software mäsig deine ip simuliert sein es gibt gewisse programme die ip adressen vorgaukeln um sich zu tarnen.

himm nach dem ich mich etwas durchgelesen habe sage ich mall alle jahre wieder siehe da:

http://forum.computerbild.de/sicherheit/e-mail-t-online-abuse-team_73903.html

ziemlich weiter unten wirds interesant nun meine meinung das ist telekom sache. das war circa 2002 auch nicht anderster

PCDpan_fee · 02.06.2011

ich würde mal den Email-Header nach Herkunft anschauen.

pan_fee

WinSimba · 02.06.2011

Wie ist denn die Nachfrage beim Provider erfolgt?
Telefonisch oder per Mail ?
Gab es vor 2 Monaten einen Grund in Richtung Trojanerbefall der zum Neuaufsetzen führte ?
Übrigens, wer den WPA2 Schlüssel hat kann den auch benutzen.

July · 02.06.2011

Hallo Uwe B

ich möchte gern etwas hinzufügen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C

rogrammeJavajre1.5.0_04binnpjpi150_04.dll

O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C

rogrammeJavajre1.5.0_04binnpjpi150_04.dll

sollte man bitte deinstallieren, das ist alt. soooo alt... <<!!

wir haben doch das JRE 6 update 25

http://www.java.com/de/download/

das zum ersten!

zum zweiten:

da hast Du keinen aktiven Browser stehen, im ersten aber den Opera !

*Der Kopf* von HijackThis fehlt aber auch noch im LOG ! würde ich auch mal gerne sehen wollen.....

Spybot 1.6.6 ?? Version 1.6.6 gibt es nicht
Oder ist das ein Schreibefahler deinerseits?

etwas mysteriös das, finde ich ..... :-\

Uwe B · 02.06.2011

Hallo all...

danke für die Antworten. Zu den Fragen: Nachfrage beim Abuseteam erfolgte per Mail. Anders sind die net erreichbar. Modem/Router ist der gute alte SP701V (Telekom).
MerlinX ist ein online-Buchungstool (Reisebüro meiner Frau). Beide Rechner wurden neu aufgesetzt weil: Der Erste: War insgesamt 8 Jahre unverändert in Betrieb und dermaßen zugemüllt, das es einfach Zeit war. Der Zweite: Es ist der Spielerechner meines Sohnes und wurde komplett neu zusammengestellt (aus Gebrauchtteilen).
Zu dem Computerbildfred: Ich bin sowohl Telekomkunde als auch -mitarbeiter, demnach glaube ich nicht, dass mich mein eigener Laden verscheißern will und mir ist das Abuseteam als solches bekannt.

Ich werde jetzt zunächst neue Zugangsdaten anfordern und den Router komplett neu konfigurieren, inkl. neuer Router- und WPA2 Kennung. Dannach ist das E-Mail Programm inklusive IncrediMail dran. Das bescheuerte ist bloß die Ungewissheit, so etwas u.U. von einem korrupten System aus zumachen... :|

Danke für die Antworten

Uwe

Uwe B · 02.06.2011

Hier nochmal das komplette Log des zweiten Rechners:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:33:29, on 02.06.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\vssvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
C:\Programme\Opera\opera.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijackthis\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\5.1.0.29\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\5.1.0.29\IPS\IPSBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.1.0.29\coIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1305916096125
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MAGIX StartUp Analyze Service - MAGIX AG - C:\Programme\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Programme\Norton 360\Engine\5.1.0.29\ccSvcHst.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5661 bytes

Danke

July · 02.06.2011

Hallo Uwe B

mein letztes Wörtchen und Meinung dazu :

Dannach ist das E-Mail Programm inklusive IncrediMail dran

tue Dir selbst den Gefallen, und lasse dieses Programm doch mal lieber weg, dies ist allein mein eigene Meinung.
Ich hatte es damals ganz zu Anfang, und bin mit diesem voll eingegangen, konnte danach gleich meinen Rechner neu aufsetzen,
es ist meine Meinung wie gesagt. Das ist ein buntes Geklimpere , tue Dir den Gefallen, es gibt auch andere seriöse Mailprogramme.

auch diese Google Toolbar, das ist einfach nix.....

[br][br]Erstellt am: 02.06.11 um 11:52:28

[br]Noch ewas....

ich bin ja wirklich so,

wenn ich eine Mail bekomme oder einen Anruf der Telekom, so lasse es Dir doch auch nochmals schriftlich per Post zukommen !
Hatte zwar noch nicht das *Vergnügen* aber ich würde es mir nochmals schriftlich bestätigen lassen , nicht nur durch Mail und Telefonate.

ich bin da sicher noch etwas altmodisch eingestellt, aber ich bin nun mal so.

Uwe B · 02.06.2011

Zur Version Spybot: Das war´n Schreibfehler :

die Version ist 1.6.2.46

Danke July, für Deine Meinung. IncrediMail ist das Wunschprogramm meiner Frau, eben weils so schön bunt und animiert ist. Über die Seriösität dieses Programmes kann ich nix sagen, es tut halt was es soll, zu allererst schön sein! Naja und funktional ist´s auch schon. Die google-toolbar schmeiße ich runter.
Was passiert, wenn ich die beiden Java-Einträge fixe? Schieße ich mir da u.U. irgendwas ab?

Header der ersten mail:

Return-Path: <[email protected]>
Received: from mailin05.aul.t-online.de (mailin05.aul.t-online.de [172.20.27.44])
by mhead703 (Cyrus v2.3.15-fun-3.2.11.2-1) with LMTPA;
Tue, 31 May 2011 10:30:09 +0200
X-Sieve: CMU Sieve 2.3
Received: from imh00.t-online.com ([172.20.101.14]) by mailin05.aul.t-online.de
with esmtp id 1QRKL1-0vl5v60; Tue, 31 May 2011 10:30:07 +0200
Received: from abuse.t-online.de by imh00.t-online.com
with esmtp id 1QRKL1-0000fM-00; Tue, 31 May 2011 10:30:07 +0200
To: ************[email protected]
From: Deutsche Telekom Abuse-Team <[email protected]>
Subject: [Abuse-ID:53305182] Account: ************-0001
User-Agent: nhgbreznuare 0.1
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Message-Id: <[email protected]>
Date: Tue, 31 May 2011 10:30:07 +0200
X-TOI-SPAM: u;0;2011-05-31T08:30:09Z
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: 149288::1306830609-00002301-708C260F/3139194933-0/0-3
X-TOI-MSGID: 883aef90-29a9-4aac-b8d7-b5add92f7130
X-Seen: false
X-ENVELOPE-TO: <************[email protected]>
X-Antivirus: avast! (VPS 110530-1, 30.05.2011), Inbound message
X-Antivirus-Status: Clean

Hier noch der Header der zweiten Mail:

Return-Path: <[email protected]>
Received: from fwd19.aul.t-online.de (fwd19.aul.t-online.de [172.20.27.65])
by mhead703 (Cyrus v2.3.15-fun-3.2.11.2-1) with LMTPA;
Wed, 01 Jun 2011 15:23:24 +0200
X-Sieve: CMU Sieve 2.3
Received: from mail.t-online-team.de (E4iuaBZJwh-gqk7oREnVDaE+7vDxLr+quKS++y94pbC2CAerbUOR79yh0noudXyg0R@[194.25.187.129]) by fwd19.t-online.de
with esmtp id 1QRlOF-08mBmq0; Wed, 1 Jun 2011 15:23:15 +0200
From: Deutsche Telekom Abuse Team Christine Reimer <[email protected]>
To: Beate.Baake <**********@t-online.de>
Subject: Re: Betreff: [Abuse-ID:53305182] Account: ************-0001
Date: Wed, 01 Jun 2011 15:23:13 +0200
Organization: Deutsche Telekom AG
Message-ID: <[email protected]>
References: <[email protected]> <4DE630C0.000003.02576@BEATES-PC>
In-Reply-To: <4DE630C0.000003.02576@BEATES-PC>
X-Mailer: Forte Agent 6.00/32.1186
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-ID: E4iuaBZJwh-gqk7oREnVDaE+7vDxLr+quKS++y94pbC2CAerbUOR79yh0noudXyg0R
X-TOI-SPAM: n;0;2011-06-01T13:23:24Z
X-TOI-MSGID: 58e5c251-2a4d-4445-aca4-e4101a456d76
X-Seen: false
X-ENVELOPE-TO: <**********@t-online.de>
X-Brightmail-Tracker: AAAAAhguFoEYLhLf
X-Brightmail-Tracker: AAAAAA==

Account-ID wurde von mir versternelt...
Wie zusehen ist, hatte ich zwischen erster und zweiter Mail das Antivirenprogramm gewechselt, zuvor Avast jetzt Norton. Das hat ganz einfach den Hintergrund, dass der Rechner meiner Frau mit seinem Athlon xp2400+ nicht der schnellste ist, und Norton spürbar Performanceverluste mit sich bringt. Ich hatte noch zwei Lizenzen frei und denke, das Norton schon besser als Avast ist. Und mit dem etwas langsameren System kann ich zunächst leben.

Grüße an Alle

Uwe

July · 02.06.2011

Die Java Einträge, gehe über Deine Systemsteuerung / Programme und deinstalliere sie doch einfach !

Fixen kannst Du sie natürlich auch, passieren tut da nichts, aber gehe bitte erst auf Deine Programme und deinstalliere Java !!!

Das geht doch ruck zuck.

Und dann spielst das Neue auf .

Das IncrediMail, so kusch ist das auch nicht wie man denkt......aber wiederum es ist Dir überlassen,
das mit diesen bunten Smiley Dinger, das nimmt auch irre viel Platz weg und es ist nicht so seriös, ....(finde ich und ist meine Meinung),
es wird z.B. sage ich mal im Avira Forum nicht gern gesehen und auch davor gewarnt, habe ich schon zur Genüge gelesen.

so, das war es denne, also das Java über Deine Programme einfach deinstallieren, vorher kannst Du das neue downloaden,
http://www.java.com/de/download/manual.jsp#win
und abspeichern, aber vorher bitte erst das alte deinstallieren. !!

audipaule · 02.06.2011

Das mit IncrediMail kann ich bestätigen. Hatte damit nur Probleme und ständig irgendwelche mysteriösen Warnmeldungenvon dem Programm bekommen, von wegen doch auf die Bezahl Version aufzurüsten usw. Hab mich von dem Programm getrennt und bin auf Mozilla Thunderbird umgestiegen, was ich absolut nicht bereut habe.

July · 02.06.2011

audipaule schrieb:
Das mit IncrediMail kann ich bestätigen. Hatte damit nur Probleme und ständig irgendwelche mysteriösen Warnmeldungenvon dem Programm bekommen, von wegen doch auf die Bezahl Version aufzurüsten usw. Hab mich von dem Programm getrennt und bin auf Mozilla Thunderbird umgestiegen, was ich absolut nicht bereut habe.

das stimmt ! :1

cetdsl · 02.06.2011

@Uwe B himm telekom kunde und telekom mitarbeiter?? meine frage wie lang bist du in dem verein (ich würde einfach sagen das was da schief leuft ist ein fall für wie wento oder so etwas die wusten noch wie sie ihre server konfigurieren) ich binn davon überzeugt davon das die telekom wieder etwas an ihren servern gedreht haben und die kriegen das nicht hin.

wenn du dir pluspunkte einhandeln wilst kannst du telekom darauf ansprechen das das von dem falsch konfigurierten tool zur online durchsuchung kommt die ist schon damals gehackt worden bevor der verschickt wurde und dadurch mehr aufgebohrt als gesichert wird.

also zurück zum bnd.!!!

(IPv6)

PCDpan_fee · 02.06.2011

Uwe schrieb:
Was passiert, wenn ich die beiden Java-Einträge fixe? Schieße ich mir da u.U. irgendwas ab?

nein, Hijackthis beseitigt (fixt) nur die Einträge in der Registry. Programme und Dateien werden von dem Tool nicht gelöscht. Diese müssen selbst entfernt werden. Bei [O2] Einträgen beseitigt HijackThis den Wert in der Registry und versucht auch die Dateien zu löschen - gilt aber nur für [O2] Einträge.

Java JRE 6.0.250.6 downloaden:
http://www.wintotal.de/softwarearchiv/?id=3558

JAVA JRE Version ermitteln:
http://www.java.com/de/download/installed.jsp

pan_fee

E-Mail vom t-online Abuse Team, Botnetaktivitäten von meiner IP

Uwe B

Ezechiel666

Uwe B

PCDpan_fee

cetdsl

PCDpan_fee

WinSimba

July

Uwe B

Uwe B

July

Uwe B

July

audipaule

July

cetdsl

PCDpan_fee

E-Mail vom t-online Abuse Team, Botnetaktivitäten von meiner IP

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums