| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GData Internet Security meldet infizierte ausgehende MailsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.05.2014, 16:42
| #1 |
 |  GData Internet Security meldet infizierte ausgehende Mails Hi hier der Ablauf in Kürze: User hat den Anhang einer Spam Mail geöffnet. Heute meldete das (leider veraltete) GData Internet Security den Versand von SPAM Mails: Code:
ATTFilter Virenprüfung ausgehender Mails
Absender: hhouse@oi.com.br
Empfänger: fran.maier@gmx.de
Datum: 19.05.2014 15:54:32
Betreff: Online Download Center AG abgeschlossenes Abo für Franz Maier 19.05.2014
Virus: OutbreakShield ordnet diese Mail einem neuen Virenausbruch zu.
Status: Die Nachricht wurde nicht versendet.
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 19. Mai 2014 16:16
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Antivirus Free
Seriennummer : 0000149996-AVHOE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PC
Versionsinformationen:
BUILD.DAT : 14.0.4.642 57086 Bytes 09.05.2014 11:16:00
AVSCAN.EXE : 14.0.4.632 1030736 Bytes 09.05.2014 09:16:43
AVSCANRC.DLL : 14.0.4.620 62032 Bytes 09.05.2014 09:16:43
LUKE.DLL : 14.0.4.620 57936 Bytes 09.05.2014 09:16:56
AVSCPLR.DLL : 14.0.4.620 89680 Bytes 09.05.2014 09:16:43
AVREG.DLL : 14.0.4.632 261200 Bytes 09.05.2014 09:16:43
avlode.dll : 14.0.4.638 583760 Bytes 09.05.2014 09:16:43
avlode.rdf : 14.0.4.22 64276 Bytes 19.05.2014 14:13:39
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 09:16:59
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 09:16:59
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 09:16:59
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 09:16:59
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 09:16:59
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 09:16:59
VBASE006.VDF : 7.11.139.38 15708672 Bytes 27.03.2014 09:16:59
VBASE007.VDF : 7.11.145.136 2117120 Bytes 28.04.2014 09:16:59
VBASE008.VDF : 7.11.145.137 2048 Bytes 28.04.2014 09:16:59
VBASE009.VDF : 7.11.145.138 2048 Bytes 28.04.2014 09:16:59
VBASE010.VDF : 7.11.145.139 2048 Bytes 28.04.2014 09:16:59
VBASE011.VDF : 7.11.145.140 2048 Bytes 28.04.2014 09:16:59
VBASE012.VDF : 7.11.145.141 2048 Bytes 28.04.2014 09:16:59
VBASE013.VDF : 7.11.146.20 166912 Bytes 29.04.2014 09:16:59
VBASE014.VDF : 7.11.146.131 194048 Bytes 01.05.2014 09:16:59
VBASE015.VDF : 7.11.146.243 167936 Bytes 03.05.2014 09:16:59
VBASE016.VDF : 7.11.147.97 122368 Bytes 05.05.2014 09:16:59
VBASE017.VDF : 7.11.147.207 169472 Bytes 06.05.2014 09:16:59
VBASE018.VDF : 7.11.148.61 174080 Bytes 08.05.2014 09:16:59
VBASE019.VDF : 7.11.148.149 257024 Bytes 09.05.2014 14:13:41
VBASE020.VDF : 7.11.148.241 135168 Bytes 12.05.2014 14:13:43
VBASE021.VDF : 7.11.149.61 139264 Bytes 13.05.2014 14:13:43
VBASE022.VDF : 7.11.149.169 160256 Bytes 15.05.2014 14:13:44
VBASE023.VDF : 7.11.150.31 189440 Bytes 17.05.2014 14:13:44
VBASE024.VDF : 7.11.150.32 2048 Bytes 17.05.2014 14:13:44
VBASE025.VDF : 7.11.150.33 2048 Bytes 17.05.2014 14:13:44
VBASE026.VDF : 7.11.150.34 2048 Bytes 17.05.2014 14:13:45
VBASE027.VDF : 7.11.150.35 2048 Bytes 17.05.2014 14:13:45
VBASE028.VDF : 7.11.150.36 2048 Bytes 17.05.2014 14:13:45
VBASE029.VDF : 7.11.150.37 2048 Bytes 17.05.2014 14:13:45
VBASE030.VDF : 7.11.150.38 2048 Bytes 17.05.2014 14:13:45
VBASE031.VDF : 7.11.150.100 229376 Bytes 19.05.2014 14:13:45
Engineversion : 8.3.18.22
AEVDF.DLL : 8.3.0.4 118976 Bytes 09.05.2014 09:16:42
AESCRIPT.DLL : 8.1.4.204 528584 Bytes 19.05.2014 14:13:39
AESCN.DLL : 8.3.0.2 135360 Bytes 09.05.2014 09:16:42
AESBX.DLL : 8.2.20.24 1409224 Bytes 09.05.2014 09:16:42
AERDL.DLL : 8.2.0.138 704888 Bytes 09.05.2014 09:16:42
AEPACK.DLL : 8.4.0.24 778440 Bytes 19.05.2014 14:13:38
AEOFFICE.DLL : 8.3.0.4 205000 Bytes 09.05.2014 09:16:42
AEHEUR.DLL : 8.1.4.1066 6705352 Bytes 19.05.2014 14:13:37
AEHELP.DLL : 8.3.0.0 274808 Bytes 09.05.2014 09:16:42
AEGEN.DLL : 8.1.7.26 450752 Bytes 09.05.2014 09:16:42
AEEXP.DLL : 8.4.1.312 569544 Bytes 09.05.2014 09:16:42
AEEMU.DLL : 8.1.3.2 393587 Bytes 09.05.2014 09:16:42
AECORE.DLL : 8.3.0.6 241864 Bytes 09.05.2014 09:16:42
AEBB.DLL : 8.1.1.4 53619 Bytes 09.05.2014 09:16:42
AVWINLL.DLL : 14.0.4.620 24144 Bytes 09.05.2014 09:16:44
AVPREF.DLL : 14.0.4.632 50256 Bytes 09.05.2014 09:16:43
AVREP.DLL : 14.0.4.620 219216 Bytes 09.05.2014 09:16:43
AVARKT.DLL : 14.0.4.632 225872 Bytes 09.05.2014 09:16:43
AVEVTLOG.DLL : 14.0.4.620 182352 Bytes 09.05.2014 09:16:43
SQLITE3.DLL : 14.0.4.620 452176 Bytes 09.05.2014 09:16:58
AVSMTP.DLL : 14.0.4.620 76368 Bytes 09.05.2014 09:16:43
NETNT.DLL : 14.0.4.620 13392 Bytes 09.05.2014 09:16:57
RCIMAGE.DLL : 14.0.4.620 4979280 Bytes 09.05.2014 09:16:58
RCTEXT.DLL : 14.0.4.620 73808 Bytes 09.05.2014 09:16:58
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Montag, 19. Mai 2014 16:16
Der Suchlauf über die Bootsektoren wird begonnen:
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_13_0_0_214.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_13_0_0_214.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.OE.Systray.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.OE.ServiceHost.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'DevDtct2.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '189' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\Bentuzer\AppData\Roaming\Jrucwt\haduslkak.exe
[FUND] Ist das Trojanische Pferd TR/Injector.90112.59
C:\Users\Bentuzer\AppData\Local\Temp\Nxgsotust\uejqosjzuu.exe
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.92
Die Registry wurde durchsucht ( '1438' Dateien ).
Beginne mit der Desinfektion:
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1353347914-2304057398-1962027342-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uukejzuu> konnte nicht entfernt werden.
C:\Users\Bentuzer\AppData\Local\Temp\Nxgsotust\uejqosjzuu.exe
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.92
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1353347914-2304057398-1962027342-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uukejzuu> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1353347914-2304057398-1962027342-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\imaplkak> konnte nicht entfernt werden.
C:\Users\Bentuzer\AppData\Roaming\Jrucwt\haduslkak.exe
[FUND] Ist das Trojanische Pferd TR/Injector.90112.59
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1353347914-2304057398-1962027342-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\imaplkak> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Ende des Suchlaufs: Montag, 19. Mai 2014 16:20
Benötigte Zeit: 02:32 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
2121 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2119 Dateien ohne Befall
13 Archive wurden durchsucht
2 Warnungen
2 Hinweise
Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Scan Date: 19.05.2014 Scan Time: 16:34:40 Logfile: mbam_1.txt Administrator: Yes Version: 2.00.1.1004 Malware Database: v2014.05.19.04 Rootkit Database: v2014.03.27.01 License: Free Malware Protection: Disabled Malicious Website Protection: Disabled Chameleon: Disabled OS: Windows 7 Service Pack 1 CPU: x86 File System: NTFS User: Beckschulte Scan Type: Threat Scan Result: Completed Objects Scanned: 238470 Time Elapsed: 13 min, 57 sec Memory: Enabled Startup: Enabled Filesystem: Enabled Archives: Enabled Rootkits: Disabled Shuriken: Enabled PUP: Enabled PUM: Enabled Processes: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Registry Keys: 0 (No malicious items detected) Registry Values: 0 (No malicious items detected) Registry Data: 0 (No malicious items detected) Folders: 0 (No malicious items detected) Files: 3 Spyware.Zbot.ED, C:\Users\Benutzer\AppData\Roaming\Jrucwt\haduslkak.exe, , [af918bc80c6f4beb4463512807faad53], Trojan.Ransom, C:\Users\Beckschulte\AppData\Local\Temp\{0000B25F-DE52-7BA2}, , [7dc3242f552668ce18c210568a7724dc], Spyware.Zbot.ED, C:\Users\Bnutzer\AppData\Local\Temp\thoaeynwmq.pre, , [ae9279dad3a88da9f0b780f942bf46ba], Physical Sectors: 0 (No malicious items detected) (end) Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 19.05.2014 Suchlauf-Zeit: 17:03:33 Logdatei: mbam_2.txt Administrator: Ja Version: 2.00.1.1004 Malware Datenbank: v2014.05.19.05 Rootkit Datenbank: v2014.03.27.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Chameleon: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x86 Dateisystem: NTFS Benutzer: Beckschulte Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 238629 Verstrichene Zeit: 16 Min, 39 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Shuriken: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 0 (No malicious items detected) Registrierungswerte: 0 (No malicious items detected) Registrierungsdaten: 0 (No malicious items detected) Ordner: 0 (No malicious items detected) Dateien: 0 (No malicious items detected) Physische Sektoren: 0 (No malicious items detected) (end) Wie ich die Plagegeister kenne, war es dach wohl noch nicht oder? |
| Themen zu GData Internet Security meldet infizierte ausgehende Mails |
| desktop, dllhost.exe, gdata, home, internet, löschen, modul, neustart, prozesse, registry, scan, schutz, services.exe, software, spyware.zbot.ed, svchost.exe, tr/injector.90112.59, tr/matsnu.a., tr/matsnu.a.92, trojan.ransom, warnung, winlogon.exe, wmp |
Baum-Darstellung