Homepage gehackt! Bitte um Logfile Auswertung
 

Abend,

habe mir höchstwarscheinlich auch wieder mal einen Trojaner eingefangen.
Mein Problem ist:
Seit vorgestern ist die Homepage meiner Frau gehackt worden.
Sie war bei Firefox als Startseite hinterlegt und lautet: w*w.of-blue-home.de
Wenn ich sie nun öffne kommt lauter Werbung und es öffnet sich ein Downloadfenster mit der Bezeichnung: "ihre-Nachricht.exe"
Vom Typ Anwendung
von h**p//www.smalltool.net

Habe eigentlich das aktuellste Kaspersky 6.0 mit Sygate Peronal Firewall Pro,
Spybot - Search & Destroy laufen
Außerdem wird regelmäßig mit Adaware der Rechner durchsucht.
Aber leider tauchen keine Hinweise auf irgend welche Plagegeister auf.
Nun seit ihr meine letzte Rettung.
Bitte schaut euch mal mein Logfile an und wenn Ihr mir helfen könnt, wäre ich euch sehr dankbar. Bin leider kein Profii in Sachen Computern.
Danke für eure Unterstützung.

Gruß Achim

Logfile of HijackThis v1.99.1
Scan saved at 21:33:17, on 08.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
C:\Programme\Acronis\BackupServer\backupserver.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Moony\moony.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\linguatec\PT2006Pro\PTDirect.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\linguatec\PT2006Pro\pt_TEngine.exe
C:\Programme\linguatec\PT2006Pro\pt_TEngine.exe
C:\Programme\KHK\HW2000\Handwerk.exe
D:\Programme\QuoteTracker\stocks.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe
D:\PC\Viren_Dialer\hijackthis\HijackThis.exe
C:\Programme\IncrediMail\bin\IncMail.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.of-blue-home.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O4 - Global Startup: FRITZ!fax .lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PT Direct (2).lnk = C:\Programme\linguatec\PT2006Pro\PTDirect.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147805470390
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F6E849-5B8B-4683-9A85-AE5CE6B03E18}: NameServer = 192.168.1.1
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
O23 - Service: Acronis True Image Backup Server Service (AcronisBackupServerService) - Acronis - C:\Programme\Acronis\BackupServer\backupserver.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: V2i Protector - Unknown owner - D:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe (file missing)

Dein Logfile sieht sauber aus, werte Dein Log doch mal auf Hijackthis.de aus und schau nach Einträgen mit den gelben Fragezeichen. Aber imho sollten das legitime Programme sein.
Hast Du die Datei ihre-nachricht.exe ausgeführt? Benutzt Du den IE zum browsen?
Das sagt Virustotal zu dieser Datei.

Hallo,
ich arbeite mit Mozilla/Firefox/1.5.0.4

Gruß Achim

@bronkobull
Meinst Du "Homepage" oder "Startseite"? Homepage kann ich, glaube ich zumindest, aufrufen. Geht es dort um die Katzen?
Ich kann auch keine Probleme im Deinem Log merken. Versuche noch mit Ewido den PC zu scannen.

Hi,

was mit Frauchens Homepage passiert ist, weiß ich jetzt.
Nach einem Telefongespräch heute Morgen, wurde mir vom Ersteller der HP
mitgeteilt, dass von der Webhosting-Firma meine HP-Adresse irrtümlich gelöscht wurde und das, obwohl ich ein Abbuchungsverfahren habe, wo der Betrag für ein Jahr im voraus eingezogen wird.:koch:
Nun hat sich eine Firma gleich meine HP-Adresse resserviert und verbreitet darüber nur sinnlose Werbung. Ebenfalls wird dieses ominöse Fenster (ihre nachricht.exe) zum download bereitgestellt.
Ich habe nun die Firma angeschrieben, welche nun über meine HP diese Sch***-
werbung bringt. Die wollen nun als Entschädigung von mir einen Betrag von 600,-€ haben.:heulen:

Gruß Achim

Hört sich für mich eher nach einem Fall für den Anwalt als nach einem Fall für ein Sicherheitsforum an.

Gruß :daumenhoc
Yopie

... wobei eindeutig DU im Recht bist

Drohe ebenfalls mit einer Entschädigungsklage, bleib aber im bereich zwischen 200 und 400€ (da private Homepage - kein großer Sachschaden).

Ziehe einen Anwalt deines Vertrauens dazu und verfasse mit ihm das Schreiben. Richte es aber an die Webhostuing Firma, keinesfalls an die, die jetzt die Domain hat (sie ist zwar unseriös, aber auch unschuldig im Sinne der "Anklage" *lach*).

mfg,
Markus