Versende unbewusst Spam an die Kontaktliste (hotmail)

wiezel · 14.06.2011, 14:28

Hallo,
seit einiger Zeit versende ich an meine Kontaktliste Spam. In einem ähnlichem
Thema habe ich paar Anweisungen gefunden und stelle die von OTL erstellten Logs online. ich würde mich über eine baldige Antwort freuen.

Gruß

p.s.: Logs sind im Anhang

cosinus · 14.06.2011, 15:00

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

wiezel · 15.06.2011, 15:40

Hallo,
malware hat nichts gefunden

, werde den Log dennoch anhängen.

cosinus · 15.06.2011, 20:57

War das der erste Durchlauf mit Malwarebytes überhaupt oder hat es zuvor schonmal gescannt? Wenn ja, gab es da Funde?

wiezel · 16.06.2011, 08:28

Es war der erste Durchlauf.

cosinus · 16.06.2011, 10:45

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\Shell - "" = AutoRun
O33 - MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\Shell\AutoRun\command - "" = F:\autorun.exe
O33 - MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\Shell - "" = AutoRun
O33 - MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

wiezel · 16.06.2011, 12:57

Hi,
habe deine Anweisungen befolgt und poste den Log.

Code:

ATTFilter

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe2195d-516d-11df-9b16-001d6093e86c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe2195d-516d-11df-9b16-001d6093e86c}\ not found.
File F:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{543e16cf-dae1-11df-b92d-001d6093e86c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{543e16cf-dae1-11df-b92d-001d6093e86c}\ not found.
File G:\LaunchU3.exe -a not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.24.0 log created on 06162011_135327

Gruß

cosinus · 16.06.2011, 12:59

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst oder Verküpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista- und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

wiezel · 16.06.2011, 13:24

Habe sicherheitshalber unhide ausgeführt und das Kaspersky Tool. Es hat mir folgendes geliefert:

Code:

ATTFilter

HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot
C:\Windows\system32\Drivers\sptd.sys - will be deleted after reboot

Gruß und danke für die Geduld

cosinus · 16.06.2011, 13:51

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

wiezel · 16.06.2011, 17:04

Nach der Ausführung der Anweisungen hat es meine .exe Dateien zertrümmert.

Es kommt bei fast jeder exe eine Fehlermeldung:

C:.....simfy.exe

Es wurde versucht, einen Registierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Ich habe die Anweisungen direkt befolgt, nur das Programm hat einen Neustart ausgeführt, so dass Hintergrundprogramme erneut gestartet wurden.
Besteht eine Möglichkeit den Fehler global zu beheben?

cosinus · 16.06.2011, 20:14

Hast du Windows schon neu gestartet? diese Fehlermeldung

=> Es wurde versucht, einen Registierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

War nach einem Reboot eigentlich immer weg.

14.06.2011, 15:00	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Versende unbewusst Spam an die Kontaktliste (hotmail) Hallo und Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! __________________ __________________

15.06.2011, 20:57	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Versende unbewusst Spam an die Kontaktliste (hotmail) War das der erste Durchlauf mit Malwarebytes überhaupt oder hat es zuvor schonmal gescannt? Wenn ja, gab es da Funde? __________________ Logfiles bitte immer in CODE-Tags posten

16.06.2011, 20:14	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Versende unbewusst Spam an die Kontaktliste (hotmail) Hast du Windows schon neu gestartet? diese Fehlermeldung => Es wurde versucht, einen Registierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde. War nach einem Reboot eigentlich immer weg. __________________ Logfiles bitte immer in CODE-Tags posten

Versende unbewusst Spam an die Kontaktliste (hotmail)

Plagegeister aller Art und deren Bekämpfung: Versende unbewusst Spam an die Kontaktliste (hotmail)