| |
| |||||||
Überwachung, Datenschutz und Spam: Mein Rechner sendet SPAM?Windows 7 Fragen zu Verschlüsselung, Spam, Datenschutz & co. sind hier erwünscht. Hier geht es um Abwehr von Keyloggern oder aderen Spionagesoftware wie Spyware und Adware. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
 |
19.03.2008, 15:06
| #1 |
 |  Mein Rechner sendet SPAM? Hallo, heute ist etwas merkwürdiges passiert. Ich wollte ins Internet, aber mein ISP (NetCologne) hat mir den Zugang verweigert. Begründung kam auf einer Seite, die sich im Firefox immer dann öffnete, wenn ich eine Adresse eingab: Mein Computer sei infiziert und es würden SPAM-Mails von meiner IP aus versendet werden. Das Ganze kam mir sehr komisch vor, zwar hatte ich vor einigen Tagen einen Virus auf meinem System, aber dieses schien mir nun wieder clean zu sein (Hilfe habe ich auch hier im Board bekommen, siehe dazu http://www.trojaner-board.de/50245-infiziert.html). Und jetzt die Behauptung, meine IP versende Spam?? Habe direkt mal meinen Virescanner drüber laufen lassen (Sophos), der hat aber nichts gefunden. Hat jemand ne Ahnung ob bloß mein ISP spinnt, die Meldung ca. 2 Wochen zu spät kam oder ich mir wirklich Sorgen machen muss? Thx vorab  |
|
19.03.2008, 15:37
| #2 |
| /// Mr. Schatten   | Mein Rechner sendet SPAM? 1.) Kam die Meldung wirklich von deinem Zugangsprovider?
__________________2.) Wenn ja, dann ist es mehr als allerhöchste Zeit sich Sorgen zu machen (eigentlich hättest du schon früher dafür sorgen müssen, dass so etwas nicht passiert) 3.) Wenn die Meldung nicht von deinem Zugangsprovider kommt, dann solltest du dir (auch) große Sorgen machen. 4.) Möglich wäre - aber extrem unwahrscheinlich - , dass dein Zugangsprovider eine sehr lange (Reaktions)Leitung hat und deinen Zugang über eine Woche zu spät sperrt. Wie lautet die Adresse der Meldung?
__________________ |
|
20.03.2008, 16:59
| #3 |
| | Mein Rechner sendet SPAM? Ja, die Meldung kam wirklich von meinem ISP. Ich habe mich über die Telefon Hotline mit denen in Verbindung gesetzt und es ist wohl so, dass von meinem Anschluss aus extrem viele eMail-Abgänge registriert werden (und diese eMails werden nicht von mir versand!). Ist also auch aktuell und nicht verzögert.
__________________Ich habe mein System dauerhaft mit Sophos überwacht, aber dieser findet nichts. Seit heute habe ich eine 15-Tage-Version von ZoneAlarm Suite drauf. Diese findet bei einer Komplettüberprüfung nach Viren und nach Spyware meine Inbox meines Thunderbird als infiziert. Dort sind halt meine eingekommenen eMails gespeichert, allerdings nur von bekannten Absendern. Was meinst du mit der Adresse der Meldung? Ne Idee wie ich vorgehen kann? Vielen Dank. |
|
20.03.2008, 18:01
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Mein Rechner sendet SPAM? Es wäre ja auch möglich, daß noch weitaus schlimmere Sachen auf Deinem PC werkeln, die bisher nur nich entdeckt wurden oder daß Du Dir in der Zwischenzeit was neues eingefangen hast. Sicherheitssoftware wie Sophos oder ZoneAlarm ist da wenig ausschlaggebend, denn womöglich war Deine Kiste kompromittiert während der Installation....und abgesehen davon erkennen Virenscanner eh nicht alle Schädlinge. Hat der Provider Dir gesagt, in welchem Zeitraum Dein PC gespamt hat? Womöglich jetzt noch?  Ich schlage mal das hier vor: Du führst folgende Tools aus und postest davon die Logfiles: * Blacklight * Silentrunners * combofix Die Logs bitte mit [code] Tags umschlossen posten! Stell hier auch ein HijackThis logfile herein, nimm dazu diese umbenannte hijackthis.exe!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.03.2008, 20:56
| #5 |
| | Mein Rechner sendet SPAM? Hey, was bedeutet kompromittiert in diesem Zusammenhang und während welcher Installation? Mein Internetzugang wurde gestern und heute gesperrt, laut ISP wurde also gestern und heute Spam Versand von meinem Rechner aus festgestellt. Ich habe den Account heute am frühen Abend wieder freischalten lassen und nach ca. einer Stunde mal die Hotline angerufen. Dort meinte ein Mitarbeiter dann, dass bislang noch kein weiter Spam wahrgenommen wurde. Allerdings arbeitet deren System nicht in Echtzeit, sondern mit etwas Verzögerung. Wie groß diese Verzögerung ist, konnte man mir aber nicht sagen. Hier mal die Log von Combofix: Code:
ATTFilter ComboFix 08-03-18.1 - Olli 2008-03-20 20:36:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.407 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM774b9808.xml
C:\WINDOWS\inf\yutsubk.cat
C:\WINDOWS\pskt.ini
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_yutsubk
((((((((((((((((((((((( Dateien erstellt von 2008-02-20 bis 2008-03-20 ))))))))))))))))))))))))))))))
.
2008-03-20 17:08 . 2008-03-20 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-03-20 12:33 . 2008-03-20 12:33 <DIR> d-------- C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\MailFrontier
2008-03-20 12:19 . 2008-03-20 12:19 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-03-16 18:26 . 2008-03-16 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\.sdenbworkspace
2008-03-16 18:22 . 2008-03-16 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\.vplls
2008-03-08 17:17 . 2008-03-08 17:38 <DIR> d-------- C:\VundoFix Backups
2008-03-08 16:49 . 2008-03-09 15:07 1,308,101 ---hs---- C:\WINDOWS\system32\frtrkbeg.ini
2008-03-04 18:28 . 2004-05-18 13:44 40,960 --a------ C:\WINDOWS\system32\exitwx.exe
2008-02-28 08:48 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-02-28 08:48 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-02-28 08:48 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 19:40 --------- d-----w C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Free Download Manager
2008-03-06 13:38 --------- d-----w C:\Programme\Save
2008-03-04 17:31 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-04 17:25 --------- d--h--w C:\Programme\Zero G Registry
2008-03-04 17:23 --------- d-----w C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\ICQLite
2008-02-14 10:18 --------- d-----w C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\RipIt4Me
2008-02-14 10:18 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DVD Shrink
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D5E929E5-6B86-401F-A478-95205721B202}]
2008-03-04 15:01 41984 --a------ C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Microsoft\PrintHood\msndpcatl.gl1
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@={30351346-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@={30351347-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@={30351348-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@={3035134B-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@={3035134C-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@={3035134D-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@={3035134E-7B7D-4FCC-81B4-1E394CA267EB}
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11 536576 --a------ E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 20:05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 11:12 102492]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 11:11 692316]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 12:01 151552]
"AVStation premium"="C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" [2005-07-15 18:42 200704]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2005-08-18 09:33 1933312]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 12:48 1388544]
"EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.exe" [2005-04-25 05:00 98304]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Zone Labs Client"="E:\Eigene Programme\Sonstiges\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]
"PcSync"="E:\Eigene Programme\Sonstiges\Nokia PC Suite 6.82\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Ashampoo Magic Defrag.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Ashampoo Magic Defrag.lnk
backup=C:\WINDOWS\pss\Ashampoo Magic Defrag.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Dataviz Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Dataviz Messenger.lnk
backup=C:\WINDOWS\pss\Dataviz Messenger.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^GyroTwister.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\GyroTwister.lnk
backup=C:\WINDOWS\pss\GyroTwister.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^RWTH Aachen Cisco VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\RWTH Aachen Cisco VPN Client.lnk
backup=C:\WINDOWS\pss\RWTH Aachen Cisco VPN Client.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Olli.RUNNNINGMOOSE^Startmenü^Programme^Autostart^GPGRelay.lnk]
path=C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Startmenü\Programme\Autostart\GPGRelay.lnk
backup=C:\WINDOWS\pss\GPGRelay.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Olli.RUNNNINGMOOSE^Startmenü^Programme^Autostart^HotSync Manager.lnk]
path=C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Startmenü\Programme\Autostart\HotSync Manager.lnk
backup=C:\WINDOWS\pss\HotSync Manager.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Olli.RUNNNINGMOOSE^Startmenü^Programme^Autostart^Windows Privacy Tray.lnk]
path=C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Startmenü\Programme\Autostart\Windows Privacy Tray.lnk
backup=C:\WINDOWS\pss\Windows Privacy Tray.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7478ab94]
C:\WINDOWS\system32\xcdpwdsn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
E:\EIGENE~1\SONSTI~1\Avast\ashDisp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 18:04 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM774b9808]
C:\WINDOWS\system32\jfacpxhh.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
E:\Eigene Programme\Sonstiges\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-08 23:00 128920 E:\Eigene Programme\Sonstiges\Daemon Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dictionary4Free]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2004-03-09 16:15 40960 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2004-03-09 15:54 57393 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-08 13:27 222208 E:\Eigene Programme\Sonstiges\Nokia PC Suite 6.82\Nokia PC Suite 6\LaunchApplication.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-15 14:46 77824 C:\Programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-03-17 00:06 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--------- 2004-05-25 09:16 49152 E:\Eigene Programme\Sonstiges\Brother\BrStDvPt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2004-08-06 07:27 860160 C:\Programme\Analog Devices\SoundMAX\Smax4.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 10:22 155648 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-10-15 14:51 151597 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RSVP"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"BITS"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Eigene Programme\\Sonstiges\\Miranda\\miranda32.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"E:\\Eigene Programme\\Sonstiges\\BitLord\\Bit Lord 1.1\\BitLord.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Eigene Programme\\Sonstiges\\J2SE\\J2SDK\\jre\\bin\\java.exe"=
"E:\\Eigene Programme\\Sonstiges\\Maple 9\\jre\\BIN\\JAVA.EXE"=
"E:\\Eigene Programme\\Sonstiges\\Maple 9\\bin.win\\mserver.exe"=
"E:\\Games\\Age of Empires II\\empires2.exe"=
"E:\\Games\\TmNations\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"E:\\Games\\Age of Empires II\\age2_x1.exe"=
"E:\\Server\\apache2\\bin\\Apache.exe"=
"E:\\Eigene Programme\\Sonstiges\\VLC\\vlc.exe"=
"C:\\WINDOWS\\system32\\burst.dll"=
"E:\\Eigene Programme\\Palm\\HOTSYNC.EXE"=
"E:\\Eigene Programme\\Sonstiges\\J2SE\\J2SDK\\bin\\javaw.exe"=
"E:\\Games\\AvP\\Aliens versus Predator\\AvP.exe"=
"E:\\Games\\Counter Strike\\hl.exe"=
"E:\\Eigene Programme\\Sonstiges\\Skype\\Phone\\Skype.exe"=
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 20:38]
R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-11-14 22:36]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-11-14 22:36]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 08:19]
R2 SNM WLAN Service;SNM WLAN Service;"C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe" [2005-05-28 07:35]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 20:35]
R3 wowfilter;WOW XT Filter Driver;C:\WINDOWS\system32\drivers\wowfilter.sys [2005-06-08 15:58]
S3 ADDMEM;ADDMEM;C:\DOKUME~1\OLLI~1.RUN\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS []
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2003-12-19 21:15]
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 22:09]
S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 14:26]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26c1080b-6f56-11da-b981-0013770264ff}]
\Shell\AutoRun\command - G:\RunGame.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 20:45:49
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yutsubk]
"ImagePath"="\??\C:\WINDOWS\inf\yutsubk.cat"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"E:\Server\mysql\bin\mysqld-nt\" --defaults-file=\"E:\Server\mysql\my.ini\" MySQL"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yutsubk]
"ImagePath"="\??\C:\WINDOWS\inf\yutsubk.cat"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> E:\Eigene Programme\Sonstiges\SVN Tortoise\iconv\_tbl_simple.so
-> E:\Eigene Programme\Sonstiges\SVN Tortoise\iconv\windows-1252.so
-> E:\Eigene Programme\Sonstiges\SVN Tortoise\iconv\utf-8.so
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\Ati2evxx.exe
E:\Server\Apache2\bin\Apache.exe
C:\WINDOWS\system32\Brmfrmps.exe
E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\Server\mysql\bin\mysqld-nt.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\Server\Apache2\bin\Apache.exe
C:\WINDOWS\system32\wdfmgr.exe
E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\TSVNCache.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe
E:\Server\apache2\bin\ApacheMonitor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-20 20:50:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-20 19:50:11
.
2008-03-12 17:07:25 --- E O F ---
|
|
20.03.2008, 21:00
| #6 |
| | Mein Rechner sendet SPAM? Weiterhin hier die Log von SilenRunners: Code:
ATTFilter "Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"MagicKeyboard" = "C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [empty string]
"AVStation premium" = ""C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"" [empty string]
"BatteryManager" = "C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [empty string]
"SoundMAXPnP" = "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]
"EPSON Stylus Photo R240 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB002" /M "Stylus Photo R240"" ["SEIKO EPSON CORPORATION"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Zone Labs Client" = ""E:\Eigene Programme\Sonstiges\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "e:\eigene programme\sonstiges\adobe acrobat\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]
{16664845-0E00-11D2-8059-000000000000}\(Default) = (no title provided)
-> {HKLM...CLSID} = "ClickCatcher MSIE handler"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll" ["ReGet Software"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\Free Download Manager\iefdmcks.dll" [null data]
{D5E929E5-6B86-401F-A478-95205721B202}\(Default) = "Google.Awards"
-> {HKLM...CLSID} = "Google.Awards"
\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Microsoft\PrintHood\msndpcatl.gl1" [null data]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{E3575A69-CBCB-42D4-89F1-49CF96A26654}" = "Samsung Screen Manager"
-> {HKLM...CLSID} = "ExtConMenu Class"
\InProcServer32\(Default) = "C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll" [empty string]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Office 2003\OFFICE11\msohev.dll" [MS]
"{E0D79300-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
"{E0D79301-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
"{E0D79302-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "E:\Eigene Programme\Palm\RealOne\rpshellext.dll" ["RealNetworks"]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\Nokia PC Suite 6.82\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{30351348-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351347-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134A-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134C-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351346-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351349-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134B-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134D-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134E-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" = "Sophos Anti-Virus Shell Extension"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\pmkjj.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{30351349-7B7D-4FCC-81B4-1E394CA267EB}\(Default) = (no title provided)
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
CopyLocationShl\(Default) = "{E3575A69-CBCB-42D4-89F1-49CF96A26654}"
-> {HKLM...CLSID} = "ExtConMenu Class"
\InProcServer32\(Default) = "C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll" [empty string]
EPPShellEx\(Default) = "{509FE1AF-ADD5-49EC-BC55-7CF81FD16E78}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll" ["SEIKO EPSON CORPORATION"]
GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}"
-> {HKLM...CLSID} = "GNU Privacy Guard Explorer Extension"
\InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\GPGee\GPGEE-~1.1\GPGee\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}"
-> {HKLM...CLSID} = "GNU Privacy Guard Explorer Extension"
\InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\GPGee\GPGEE-~1.1\GPGee\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
CopyLocationShl\(Default) = "{E3575A69-CBCB-42D4-89F1-49CF96A26654}"
-> {HKLM...CLSID} = "ExtConMenu Class"
\InProcServer32\(Default) = "C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll" [empty string]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
-> {HKLM...CLSID} = "ContextMenuHandler Class"
\InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\webshots.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\webshots.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\radarss.scr" ["Xander Zerge"]
Startup items in "Olli" & "All Users" startup folders:
------------------------------------------------------
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"AutoUpdate Monitor" -> shortcut to: "E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe" ["Sophos Plc"]
"Monitor Apache Servers" -> shortcut to: "E:\Server\apache2\bin\ApacheMonitor.exe" ["Apache Software Foundation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\ZoneLabs\vetredir.dll ["Computer Associates International, Inc."], 01 - 03, 29
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{17939A30-18E2-471E-9D3A-56DD725F1215}" = "ReGet Bar"
-> {HKLM...CLSID} = "ReGet Bar"
\InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ReGet\iebar.dll" ["ReGet Software"]
Explorer Bars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
HKLM\SOFTWARE\Classes\CLSID\{16664849-0E00-11D2-8059-000000000000}\(Default) = "MSIE Spy"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll" ["ReGet Software"]
HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\OFFICE~1\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Apache2, Apache2, ""E:\Server\Apache2\bin\Apache.exe" -k runservice" ["Apache Software Foundation"]
AshampooDefragService, AshampooDefragService, "E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe" [" "]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Brother Popup Suspend service for Resource manager, brmfrmps, ""C:\WINDOWS\system32\Brmfrmps.exe" -service " ["Brother Industries, Ltd."]
Cisco Systems, Inc. VPN Service, CVPND, ""E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
MySQL, MySQL, ""E:\Server\mysql\bin\mysqld-nt" --defaults-file="E:\Server\mysql\my.ini" MySQL" [null data]
SNM WLAN Service, SNM WLAN Service, ""C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe"" [null data]
Sophos Anti-Virus, SAVService, ""C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe"" ["Sophos Plc"]
Sophos Anti-Virus Statusreporter, SAVAdminService, ""C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe"" ["Sophos Plc"]
Sophos AutoUpdate Service, Sophos AutoUpdate Service, ""E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe"" ["Sophos Plc"]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
Print Monitors:
---------------
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus Photo R240 Series 2KMonitor5E\Driver = "E_FLMAHE.DLL" ["SEIKO EPSON CORPORATION"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" ["Adobe Systems Incorporated."]
---------- (launch time: 2008-03-20 20:33:05)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 57 seconds, including 13 seconds for message boxes)
Code:
ATTFilter 03/20/08 20:15:26 [Info]: BlackLight Engine 1.0.67 initialized
03/20/08 20:15:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/20/08 20:15:27 [Note]: 7019 4
03/20/08 20:15:27 [Note]: 7005 0
03/20/08 20:15:33 [Note]: 7006 0
03/20/08 20:15:34 [Note]: 7011 1332
03/20/08 20:15:34 [Note]: 7026 0
03/20/08 20:15:34 [Note]: 7026 0
03/20/08 20:15:38 [Note]: FSRAW library version 1.7.1024
03/20/08 20:28:25 [Note]: 2000 1012
03/20/08 20:32:06 [Note]: 7007 0
|
|
20.03.2008, 21:01
| #7 |
| | Mein Rechner sendet SPAM? HijackThis meldet: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:58:03, on 20.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe E:\Server\Apache2\bin\Apache.exe C:\WINDOWS\system32\Brmfrmps.exe E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe E:\Server\mysql\bin\mysqld-nt.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe E:\Server\Apache2\bin\Apache.exe E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\TSVNCache.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE C:\Programme\Java\jre1.6.0_03\bin\jusched.exe E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe E:\Server\apache2\bin\ApacheMonitor.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe E:\NetCologne\signup\wlanmon.exe E:\Eigene Programme\Sonstiges\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Desktop\qlketzd.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\eigene programme\sonstiges\adobe acrobat\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Eigene Programme\Sonstiges\Free Download Manager\iefdmcks.dll O2 - BHO: Google.Awards - {D5E929E5-6B86-401F-A478-95205721B202} - C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Microsoft\PrintHood\msndpcatl.gl1 O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - E:\Eigene Programme\Sonstiges\ReGet\iebar.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB002" /M "Stylus Photo R240" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Zone Labs Client] "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoUpdate Monitor.lnk = E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe O4 - Global Startup: Monitor Apache Servers.lnk = E:\Server\apache2\bin\ApacheMonitor.exe O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Eigene Programme\Sonstiges\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Eigene Programme\Sonstiges\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://E:\Eigene Programme\Sonstiges\Free Download Manager\dllink.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{274E3367-5203-46CF-80D7-F272677EA86B}: NameServer = 81.173.194.68,194.8.194.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{4476AB14-D812-4E53-B0D0-FE3C13D0E283}: NameServer = 213.168.112.60 194.8.194.60 O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL O23 - Service: Apache2 - Apache Software Foundation - E:\Server\Apache2\bin\Apache.exe O23 - Service: AshampooDefragService - - E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MySQL - Unknown owner - E:\Server\mysql\bin\mysqld-nt (file missing) O23 - Service: NBService - Nero AG - E:\Eigene Programme\Sonstiges\Nero 7 Essentials\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 10026 bytes |
|
21.03.2008, 10:48
| #8 | |
| /// Mr. Schatten | Mein Rechner sendet SPAM?Zitat:
Auch solltest du dringend(!) dein "Sicherheitskonzept" überdenken. Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung! Solltest du einen WLAN-Router haben (mit eingeschaltetem WLAN), wäre es auch möglich dass ein "netter Nachbar" deinen Zugang nutzt, dann wäre es sinnvoll dein System und die Ergebnisse doch anzusehen, aber so ... Du hast wohl immer noch erklärt und geklärt warum auf deinem System ein Webserver läuft
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
21.03.2008, 12:39
| #9 |
| | Mein Rechner sendet SPAM? Hm, also bisher dachte ich dass mein "Sicherheitskonzept" nicht soo schlecht wäre, die meisten der aufgeführten Punkte hatte ich auch berücksichtigt. Nun ja... Ich habe keinen WLAN Router, lediglich einen WLAN Adapter, aber über den hat man ja kein Zugriff auf mein System. Der Apache läuft weil ich gelegentlich in php Programmiere und die Ergebnisse auch gern mal auf meinem eigenen System teste. Was ist mit dem Log FIles die ich gepostet habe? Kann man dort etwas erkennen? |
|
21.03.2008, 13:08
| #10 |
| | Mein Rechner sendet SPAM? Ist wohl eine Rustock Variante gewesen: yutsubk.cat - Program Information Obwohl ich eher auf Sturmwurm getippt haette
__________________ MfG Ralf |
|
21.03.2008, 13:45
| #11 | |||
| /// Mr. Schatten | Mein Rechner sendet SPAM?Zitat:
Zitat:
 Zitat:
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
21.03.2008, 13:58
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mein Rechner sendet SPAM? raman hat recht, hier aus dem combofix logfile ersichtlich: Code:
ATTFilter C:\WINDOWS\BM774b9808.xml
C:\WINDOWS\inf\yutsubk.cat
C:\WINDOWS\pskt.ini
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_yutsubk
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.03.2008, 14:30
| #13 |
| /// Mr. Schatten | Mein Rechner sendet SPAM? Danke root (und natürlich raman), bin z.Zt. etwas "submotiviert" und habe keine Lust mehrere Zeilen hintereinander lesen zu müssen (und genau deshalb ist ein Forum gut)
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
21.03.2008, 14:30
| #14 | |
| | Mein Rechner sendet SPAM?Zitat:
Ok, also scheint System formatieren das einzig Sinnvolle zu sein? Oder habe ich eine Chance den Rustock so zu entfernen? Bzgl. Neuaufsetzen: Ich habe im Grunde 4 Partitionen, auf einer ist Linux, auf den anderen dreien Windows (eine mit dem System, eine mit installierten Programmen, eine mit Daten auf die auch von Linux aus zugegriffen werden kann). Alle formatieren oder reicht die mit dem Windows-System? In wie weit kann ich vorher noch Daten sichern? Oder ist das RootKit (was Rustock ja glaube ich ist) in allen möglichen Dateien, so dass Sichern und Aufspielen gewisser Daten auf das neue System dann nur den Rustock auch auf das neue System überträgt? In wie weit kann ich mich mit meinem Rechner im derzeitigen Zustand in ein anderes Home-Netzwerk einklinken, oder infiziere ich dann via Netzwerk andere Rechner? Schon ma vielen Dank für die Hilfe. |
|
21.03.2008, 19:18
| #15 |
| | Mein Rechner sendet SPAM? Ist es sicher, dass das der Rustock ist? Bzw. ist es nur der Rustock oder sind da noch mehr Schädlinge auf meinem System? Vielen Dank für eure Hilfe. |
|
| Themen zu Mein Rechner sendet SPAM? |
| adresse, ahnung, board, clean, computer, direkt, firefox, infiziert, interne, internet, meldung, nichts, rechner, seite, sophos, sorge, spam, spam-mails, spinnt, system, virus, wirklich, woche, wochen, zugang |
Linear-Darstellung
