bitte um Auswertung
 

Moin,
auf einem von mir betreuten XP-Rechner mit SP2 und allen Sicherheitsupdates öffnen sich ständig einige Fenster, die eine Sicherheitssoftware installieren wollen. Zudem öffnet sich cmd und ausführen mit h**p://rooclan.altervista.org/reptilex/work.exe

Spybot und Adware haben Stand gestern Abend nichts gefunden.


Logfile of HijackThis v1.99.1
Scan saved at 09:43:15, on 28.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
E:\AVGFRE~1\avgamsvr.exe
E:\AVGFRE~1\avgupsvc.exe
E:\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
E:\VNC\VNC4\WinVNC4.exe
E:\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
E:\D4\D4.exe
E:\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.178.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dimension4] E:\D4\D4.exe
O4 - HKLM\..\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] E:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - E:\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A1EA7A8-BC54-4D3F-A849-47F83A14CB53}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - E:\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - E:\VNC\VNC4\WinVNC4.exe" -service (file missing)

Hijep,

Hier wird eine Verbindung zu einem Server [whois.arin.net] in den
USA aufgebaut. Ist das dein Wille?
Da würde doch glatt auf deine nicht-bekannte hp tippen.

Dieser Eintrag is für diesen Prozess zuständig. Kann also ebenfalls selber losziehen.

Deine Stegano Sicherheitssoftware schenit ja ein richtig hartnäckiges Programm zu sein. Kann mir vorstellen, die sucht auch nach jede Menge Updates. Must du mal nach deren Konfigurationen suchen.

mfg Cleriker