|
Log-Analyse und Auswertung: Problem mit diversen Viren, Trojanern in eMails !Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.07.2008, 17:56 | #1 |
| Problem mit diversen Viren, Trojanern in eMails ! Hallo Leute, ich habe heute mal einen kompletten Scan mit Avira gemacht und prompt wurden 37 Viren gefunden ! Vorwiegend in eMails die ich im Thunderbird garnicht mehr finde, also schon längst gelöscht haben muss ?! Haben hier mal ein Log von Avira und eins von HijackThis... Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 27. Juli 2008 16:59 Es wird nach 1510258 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: xxx Computername: xXx Versionsinformationen: BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 08:12:02 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 08:12:02 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 08:12:03 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 08:12:03 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 23:30:43 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 22:28:22 ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 19:53:16 ANTIVIR3.VDF : 7.0.5.175 2048 Bytes 25.07.2008 19:53:17 Engineversion : 8.1.1.12 AEVDF.DLL : 8.1.0.5 102772 Bytes 17.04.2008 16:08:09 AESCRIPT.DLL : 8.1.0.59 307579 Bytes 19.07.2008 08:40:17 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 08:09:29 AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 16:08:30 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 08:09:29 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 19.07.2008 08:40:16 AEHEUR.DLL : 8.1.0.44 1343863 Bytes 24.07.2008 15:17:06 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 19:59:11 AEGEN.DLL : 8.1.0.31 311669 Bytes 24.07.2008 15:17:04 AEEMU.DLL : 8.1.0.6 430451 Bytes 07.05.2008 18:15:32 AECORE.DLL : 8.1.1.7 172406 Bytes 24.07.2008 15:17:03 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 08:09:23 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 08:12:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 08:12:02 AVREP.DLL : 8.0.0.2 98561 Bytes 25.07.2008 15:17:05 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 08:12:02 AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 16:08:08 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 08:12:02 SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 16:08:09 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 08:12:03 NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 16:08:09 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 08:12:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 08:12:01 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: reparieren Sekundäre Aktion.................: löschen Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, G:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 27. Juli 2008 16:59 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '50709' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIACE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '63' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Lokaler Festplattenträger> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-1.net\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim [1] Archivtyp: MIME --> file0.html [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! C:\Dokumente und Einstellungen\xXx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-3.net\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.T --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim [1] Archivtyp: MIME --> file0.mim [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.T --> file0.mim [2] Archivtyp: MIME --> e-mail1.pif [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.#1 --> Mailbox_[Message-ID: <E8E15759.4603097@nimfomanka.com.pl>][From: Martin Badorrek <sales@earthcam.com>][Subject: Die Revolution im Netz des lebhaften Video. Seh]576.mim [1] Archivtyp: MIME --> ecplayer.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.AZX [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx.net\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Message-ID: <01c74ad1$1e5166e0$6c822ecf@Guillermo'sFerraro>][From: "Zigaretten GmbH" <Guillermo'sFerraro@2agewine.][Subject: Zigaretten Ausverkauf!]1128.mim [1] Archivtyp: MIME --> Preisliste.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Preisliste.zip [2] Archivtyp: ZIP --> Preisliste.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.M --> Mailbox_[From: "bestellung315@amazon.de" <bestellbestaetigung3][Message-ID: <70596326.20070223130355@amazon.de>][Subject: Ihre Bestellung 4540956 bei Amazon.de]1280.mim [1] Archivtyp: MIME --> 13915.zip [2] Archivtyp: ZIP --> 13915.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.W --> Mailbox_[From: "Julia otto " <gtexacuau@boydcorp.com>][Subject: *** GMX Spamverdacht *** Abrechnungsvertrag][Message-ID: <01c8d574$e7af3100$27c10255@gtexacuau>]8938.mim [1] Archivtyp: MIME --> Rechnung.rar [2] Archivtyp: RAR --> Rechnung.exe [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.cod --> Mailbox_[Message-ID: <01c8e584$93500d80$82ea3bcf@gjbngboblxyx>][From: "UPS Packet Service" <gjbngboblxyx@blueeleven.c][Subject: *** GMX Spamverdacht *** Ihr UPS Paket N2537784]9348.mim [1] Archivtyp: MIME --> UPS_Lieferschein_8102.zip [2] Archivtyp: RAR --> UPS_Lieferschein_8102\UPS_Lieferschein.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.brm --> Mailbox_[From: "United Parcel Service" <vmbqad@bluefruitdesign][Message-ID: <245634009.34250470602777@bluefruitdesign.com>][Subject: *** GMX Spamverdacht *** UPS Tracking Number 05]9492.mim [1] Archivtyp: MIME --> UPS_INVOICE_978172.zip [2] Archivtyp: ZIP --> UPS_INVOICE_978172.exe [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.dip --> Mailbox_[Message-ID: <01c8ed13$a47ee400$9a9f944b@bqmj>][From: "United Parcel Service" <bqmj@blueroomboys.com>][Subject: *** GMX Spamverdacht *** UPS Tracking Number 98]9514.mim [1] Archivtyp: MIME --> invoice_8712.zip [2] Archivtyp: ZIP --> INVOICE_8712.exe [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.dkf.1 [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx.net\Sent [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Message-ID: <47936702.1000800@gmx.de>][From: XXX>][Subject: RSD]232.mim [1] Archivtyp: MIME --> RSD.rar [2] Archivtyp: RAR --> RSD\AntiCaptcha.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/AntiCaptcha.1 --> RSD\Plugins\YCPlugins\airfreshsteelhoster.dll [FUND] Ist das Trojanische Pferd TR/Spy.Delf.BS --> RSD\Plugins\YCPlugins\bestprotect.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIZ --> RSD\Plugins\YCPlugins\cashcrystalize.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIO --> RSD\Plugins\YCPlugins\ddlmusic.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIX --> RSD\Plugins\YCPlugins\ddlwarez.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BJJ --> RSD\Plugins\YCPlugins\flyload.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHY --> RSD\Plugins\YCPlugins\gameblog.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIV --> RSD\Plugins\YCPlugins\hoerbuch.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHS --> RSD\Plugins\YCPlugins\linkbank.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIG --> RSD\Plugins\YCPlugins\linkkuzeyforum.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIM --> RSD\Plugins\YCPlugins\linkprotector.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHN --> RSD\Plugins\YCPlugins\lix.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHU --> RSD\Plugins\YCPlugins\mirrorit.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHR --> RSD\Plugins\YCPlugins\myref.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIJ --> RSD\Plugins\YCPlugins\protectit.dll [FUND] Ist das Trojanische Pferd TR/Spy.Delf.BR --> RSD\Plugins\YCPlugins\rapidbolt.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BJI --> RSD\Plugins\YCPlugins\rapidfolder.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIF --> RSD\Plugins\YCPlugins\rsprotect.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIY --> RSD\Plugins\YCPlugins\safecrystalize.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHZ --> RSD\Plugins\YCPlugins\safefilecash.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BID --> RSD\Plugins\YCPlugins\safelink.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIS --> RSD\Plugins\YCPlugins\sceneload.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BJG --> RSD\Plugins\YCPlugins\shareprotect.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BJE --> RSD\Plugins\YCPlugins\speedsafe.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BJK --> RSD\Plugins\YCPlugins\ssllinkz.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIR --> RSD\Plugins\YCPlugins\stacheldraht.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIP --> RSD\Plugins\YCPlugins\takemyfile.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIU --> RSD\Plugins\YCPlugins\tresor.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHP --> RSD\Plugins\YCPlugins\uppicoasis.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIT --> RSD\Plugins\YCPlugins\wonsite.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIE --> RSD\Plugins\YCPlugins\xeem.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BIW --> RSD\Plugins\YCPlugins\xirror.dll [FUND] Ist das Trojanische Pferd TR/Spy.Agent.BII [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Lokaler Festplattenträger> Beginne mit der Suche in 'G:\' <Extern> Ende des Suchlaufs: Sonntag, 27. Juli 2008 18:00 Benötigte Zeit: 1:01:02 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8189 Verzeichnisse wurden überprüft 363749 Dateien wurden geprüft 37 Viren bzw. unerwünschte Programme wurden gefunden 9 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 363700 Dateien ohne Befall 14913 Archive wurden durchsucht 7 Warnungen 0 Hinweise 50709 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Ich hoffe ihr könnt mir bei der Beseitigung helfen, kenne mich nicht wirklich damit aus ! SpyBot findet nichts, ich benutze täglich den CC Cleaner und habe Avira mit den hier angegebenen Einstellungen konfiguriert ! Vielen Dank für eure Bemühungen ! |
27.07.2008, 17:57 | #2 |
| Problem mit diversen Viren, Trojanern in eMails ! und hier das Log von HijackThis !
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:17:56, on 27.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxps://login.live.com/ppsecure/sha1auth.srf?lc=1031 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-343818398-1606980848-1801674531-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'xxx') O4 - HKUS\S-1-5-21-343818398-1606980848-1801674531-1004\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime (User 'xxx') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-21-343818398-1606980848-1801674531-1004 Startup: TransBar.lnk = C:\Programme\Vista Inspirat 2\TransBar\TransBar.exe (User 'xxx') O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: TransBar.lnk = C:\Programme\Vista Inspirat 2\TransBar\TransBar.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212833152125 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe -- End of file - 9333 bytes |
28.07.2008, 16:20 | #3 |
| Problem mit diversen Viren, Trojanern in eMails ! Hat keiner einen Tipp zur Beseitigung, will ungern das ganze Thunderbird und die Konten löschen um es dann wieder komplett neu einzurichten, weil eine Sicherungskopie von den Konten würde ja auch nichts bringen oder !?
__________________Wäre sehr dankbar für ein paar Tipps ! |
28.07.2008, 18:18 | #4 |
/// Helfer-Team | Problem mit diversen Viren, Trojanern in eMails ! Hi, in dem Log stehen ja genügend Headerinformationen zu den infizierten Mails, dass es möglich ist, sie zu finden und zu löschen. Danach in Thunderbird den Papierkorb leeren, schließlich alle Ordner komprimieren und dann sollte es erledigt sein. Solange Du die Anhänge nicht aufmachst, kannst Du die Mails auch ignorieren. Gruß, Karl |
29.07.2008, 17:49 | #5 |
| Problem mit diversen Viren, Trojanern in eMails ! Ja ich habe auch alle Konten durchsucht aber keine der aufgelisteten Mails gefunden unter dem angegebenen Pfad findet man ja nur die Überordner! Der Papierkorb wird beim schliesen automatisch gelöscht, deshalb kann dort auch nichts sein. Aber irgendwo müssen die ja hinterlegt sein sonst würde Avira sich ja nicht beschweren ! Ist das Hijack Logfile eigentlich Okay soweit ?! Hoffe ihr könnt helfen ! Greetz... |
29.07.2008, 18:18 | #6 |
/// Helfer-Team | Problem mit diversen Viren, Trojanern in eMails ! Fehlt dann noch das Komprimieren der Ordner. Vorher sind gelöschte Mails nur als gelöscht markiert, aber noch vorhanden, auch wenn sie nicht mehr angezeigt werden. Erst durch das komprimieren werden diese Bereiche aus den Mailboxdateien entfernt. Die Javaversion auf deinem Rechner ist veraltet. Die muss aktualisiert werden. Dazu in Systemsteuerung -> Software alle alten Versionen deinstallieren, von http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java Update[/URL] die aktuelle "Java Runtime Environment (JRE) 6u7" runterladen und installieren. Entsprechend für den Adobe-Reader, nur dass ich da gerade den Link nicht parat habe. Und schließlich noch dieser Artikel. |
30.07.2008, 19:35 | #7 |
| Problem mit diversen Viren, Trojanern in eMails ! Super danke erstmal ! Die meisten konnte ich dadurch bereinigen Habe auch Java gelöscht und Skype da ich es eh nicht mehr genutzt habe ^^ Hab nochmal nen komplett Scan gemacht und Avira meldet noch 4 Malware Funde in den gelöschten eMails... das sie nicht mittelbar gefährlich ist okay aber will sie doch lieber los haben ! Laut Log in der Inbox, dort ist aber nichts dergleichen ! Wieso wurden diese Mails nicht gelöscht beim komprimieren ? Gruß Inspectah Code:
ATTFilter C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-1.net\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim [1] Archivtyp: MIME --> file0.html [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-3.net\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.T --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim [1] Archivtyp: MIME --> file0.mim [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.T --> file0.mim [2] Archivtyp: MIME --> e-mail1.pif [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.#1 --> Mailbox_[Message-ID: <E8E15759.4603097@nimfomanka.com.pl>][From: Martin Badorrek <sales@earthcam.com>][Subject: Die Revolution im Netz des lebhaften Video. Seh]576.mim [1] Archivtyp: MIME --> ecplayer.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.AZX [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht! |
Themen zu Problem mit diversen Viren, Trojanern in eMails ! |
.dll, antivir, avg, avgnt.exe, avira, beseitigung, bestellbestaetigung, ctfmon.exe, drivers, e-mail, einstellungen, eudora, extern, failure notice, festplatte, gmx.de, handel, helfen, hiddenext/worm.gen, hijack, jusched.exe, logon.exe, mailer-daemon, modul, nt.dll, problem, prozesse, quara, registry, rundll, scan, services.exe, suchlauf, svchost.exe, trojaner, ups, versteckte objekte, verweise, viren, virus, virus gefunden, warnung, windows, windows\system32\drivers, winlogon.exe, wuauclt.exe |