| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Habe von t-online Post bekommen...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.11.2008, 13:37
| #1 |
| |  Habe von t-online Post bekommen... ... nachder über mein Account viel gespammt wurde. Zunächst habe ich das für einen HOAX gehalten und ziemlich unmotiviert meine HijackThis Logdatei hier: http://www.hijackthis.de/de ohne besondere Vorkommnisse überprüfen lassen. Weiter setzte ich dann Spybot S&D und Ad-Aware ein, welche wiederum nur ein, zwei Tracking-Cookies fanden und eliminierten. Sehr skeptisch ließ ich dann den in der Mail von t-online empfohlenen "Trend Micro HouseCall" über meinen Rechner laufen, welcher mich jedoch nur auf einige Lücken in meiner Office 2003 Installation hinwies, welche ich daraufhin schloss und nun keine weitern Beanstandungen erhalte. Das Thema war für mich bis dahin dann fast gegessen, ja wenn nicht meine Firwall gemeldet hätte, dass der Generic Host Process for Win32 Services zur (74.50.107.172) IP funken will. Die Ergebnisse der Googlesuche zu dieser IP beunruhigten mich dann schon. So wendete ich mich zunächst Malwarebytes' Anti-Malware 1.30 zu: Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1434
Windows 5.1.2600 Service Pack 3
29.11.2008 20:24:14
mbam-log-2008-11-29 (20-24-14).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 231750
Laufzeit: 1 hour(s), 23 minute(s), 8 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter 11/29/08 23:52:51 [Info]: BlackLight Engine 2.2.1092 initialized
11/29/08 23:52:51 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/29/08 23:52:52 [Note]: 7019 4
11/29/08 23:52:52 [Note]: 7005 0
11/29/08 23:52:55 [Note]: 7006 0
11/29/08 23:52:55 [Note]: 7011 3460
11/29/08 23:52:55 [Note]: 7035 0
11/29/08 23:52:55 [Note]: 7026 0
11/29/08 23:52:55 [Note]: 7026 0
11/29/08 23:52:58 [Note]: FSRAW library version 1.7.1024
11/30/08 00:01:29 [Note]: 7007 0
Code:
ATTFilter ComboFix 08-11-29.02 - Administrator 2008-11-29 21:08:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1451 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
d:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires
d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires\rosa.sys
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_rosa
((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-29 ))))))))))))))))))))))))))))))
.
2008-11-29 20:30 . 2008-11-29 20:30 <DIR> d-------- d:\dokumente und einstellungen\Administrator\DoctorWeb
2008-11-29 18:59 . 2008-11-29 18:59 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-29 18:59 . 2008-11-29 18:59 <DIR> d-------- d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-29 18:59 . 2008-11-29 18:59 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-29 10:47 . 2008-11-29 18:15 <DIR> d-------- d:\dokumente und einstellungen\Administrator\.housecall6.6
2008-11-28 19:29 . 2008-11-28 19:29 <DIR> d-------- c:\programme\PC Inspector File Recovery
2008-11-28 17:52 . 2008-11-29 16:45 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-25 11:33 . 2008-11-25 12:55 <DIR> d-------- c:\programme\Exifer
2008-11-25 11:33 . 2008-11-25 11:33 <DIR> d-------- c:\programme\EXIF Date Changer
2008-11-23 15:59 . 2008-11-23 15:59 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe
2008-11-23 15:19 . 2008-11-23 15:19 <DIR> d-------- c:\programme\LightScribe
2008-11-23 12:23 . 2008-11-23 12:26 <DIR> d-------- c:\programme\Combined Community Codec Pack
2008-11-23 11:54 . 2008-11-23 11:54 <DIR> d-------- d:\dokumente und einstellungen\Chris\Anwendungsdaten\vlc
2008-11-23 11:53 . 2008-11-23 11:53 <DIR> d-------- d:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-11-21 11:06 . 2008-11-21 11:06 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\{deef362040caa3f2c46d3ca419a5b7ab}
2008-11-21 10:35 . 2008-11-21 10:50 <DIR> d-------- c:\programme\HDD Regenerator
2008-11-20 22:00 . 2008-11-20 22:00 <DIR> d-------- c:\programme\GetData
2008-11-20 21:35 . 2008-11-20 21:35 <DIR> d-------- c:\programme\JPEG Recovery Pro
2008-11-20 20:55 . 2008-11-20 20:55 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\{bd78f9f661583e4dbb3c3468a905e704}
2008-11-20 20:50 . 2008-11-20 20:53 <DIR> d-------- c:\programme\MagicRecovery Pro DEMO
2008-11-20 20:36 . 2008-11-20 22:24 <DIR> d-------- c:\programme\Digital Photo Recovery
2008-11-20 20:26 . 2008-11-21 11:09 <DIR> d-------- d:\dokumente und einstellungen\Administrator\Programs
2008-11-19 13:04 . 2008-11-19 13:04 <DIR> d-------- c:\programme\GetDatBack
2008-11-18 21:10 . 2008-11-21 11:08 <DIR> d-------- c:\programme\Data Recovery Pro
2008-11-18 21:05 . 2008-11-18 21:06 <DIR> d-------- c:\programme\Toolstar Filerepair Pro
2008-11-18 20:26 . 2008-11-18 21:04 <DIR> d-------- c:\programme\Data Recovery
2008-11-18 20:20 . 2008-11-18 21:03 <DIR> d-------- c:\programme\Filerecovery Pro 3.5
2008-11-10 21:36 . 2008-11-29 21:20 <DIR> d-------- c:\programme\Plaxo
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-29 15:45 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\SolidDocuments
2008-11-29 09:48 102,664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2008-11-29 08:52 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM
2008-11-28 18:29 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-28 16:38 --------- d-----w c:\programme\Ad-Aware 2008
2008-11-28 11:29 --------- d-----w c:\programme\EasyRecovery Professional
2008-11-27 23:18 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\foobar2000
2008-11-27 22:13 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype
2008-11-27 22:03 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\SolidDocuments
2008-11-27 18:12 --------- d-----w c:\programme\StarMoney 5.0 APO-Edition Vollversion
2008-11-26 22:34 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss
2008-11-23 14:59 --------- d-----w c:\programme\Gemeinsame Dateien\LightScribe
2008-11-23 11:29 --------- d-----w c:\programme\DivX
2008-11-23 11:26 --------- d-----w c:\programme\Media Player Classic
2008-11-23 10:51 --------- d-----w c:\programme\VLC Player
2008-11-20 19:49 286,720 ----a-w c:\windows\iun507.exe
2008-11-20 19:45 --------- d-----w c:\programme\Digital Image Recovery
2008-11-18 23:54 65,856 ----a-w c:\windows\system32\drivers\snapman.sys
2008-11-18 23:54 37,888 ----a-w c:\windows\system32\setupnt.dll
2008-11-18 20:37 --------- d-----w c:\programme\SeaTools for Windows
2008-11-09 22:33 --------- d-----w c:\programme\StarMoney 6.0
2008-11-05 20:25 --------- d-----w c:\programme\Sunbelt Personal Firewall
2008-11-05 19:20 113,706 ----a-w c:\windows\system32\drivers\fwdrv.err
2008-11-03 18:32 --------- d-----w c:\programme\Opera
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-15 12:06 --------- d-----w c:\programme\FreePDF_XP
2008-10-12 10:19 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\MakeitOne
2008-10-12 10:19 --------- d-----w c:\programme\mp3 Joiner
2008-10-12 10:04 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\MakeitOne
2008-10-06 19:12 --------- d---a-w c:\programme\VectorWorks Pro 2008
2008-10-05 16:40 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nemetschek
2008-10-02 22:33 --------- d-----w c:\programme\Microstation
2008-10-02 22:32 --------- d-----w c:\programme\Gemeinsame Dateien\Bentley Shared
2008-10-02 09:31 --------- d-----w c:\programme\Rhinoceros 4.0
2008-10-02 09:17 --------- d-----w c:\programme\Langenscheidt T1 6.0
2008-10-02 08:18 --------- d-----w c:\programme\Gemeinsame Dateien\McNeel Shared
2008-09-30 19:34 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\Nemetschek
2008-09-30 19:23 --------- d-----w c:\programme\VectorWorks 2008
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-29 17:00 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-09-29 09:26 --------- d-----w c:\programme\eMule
2008-09-28 21:18 --------- d-----w d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canneverbe_Limited
2008-09-28 19:30 --------- d-----w d:\dokumente und einstellungen\Chris\Anwendungsdaten\Canneverbe_Limited
2008-09-28 19:28 --------- d-----w c:\programme\CDBurnerXP
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-06-22 09:14 56 ---ha-w d:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsidmv.dat
2004-08-03 22:57 67,518 ----a-w c:\windows\inf\i386\cmprops.dll
2008-04-14 05:52 93,184 --sha-w c:\windows\ServicePackFiles\i386\iexplore.exe
2008-04-14 05:52 60,416 --sha-w c:\windows\ServicePackFiles\i386\msimn.exe
2008-08-14 09:30 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081420080815\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"PlaxoUpdate"="c:\programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe" [2008-10-04 382023]
"PlaxoSysTray"="c:\programme\Plaxo\3.16.0.49\PlaxoSysTray.exe" [2008-10-04 20480]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-10-22 2363392]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"FlashIcon"="c:\programme\USB Card Reader Driver v2.3\FlashIcon.exe" [2004-07-21 40960]
"SmartSync - ScheduleSync"="c:\progra~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [2006-08-31 45056]
"Acrobat Assistant 7.0"="c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]
"Xfire"="Xfire.exe" [2001-11-13 c:\windows\system32\xfire.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
d:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-09-28 25214]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psnppagn32]
2004-11-20 22:53 12288 c:\windows\system32\psnppagn32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\V-Ray for 3ds max 9\\vrlserver.exe"=
"c:\\Programme\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"2116:TCP"= 2116:TCP:messenger
R0 m5289;m5289;c:\windows\system32\drivers\m5289.sys [2007-02-12 51840]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-11-05 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]
R2 ARCGIS License Manager;ARCGIS License Manager;c:\programme\ESRI\License\arcgis9x\lmgrd.exe [2006-08-13 467968]
R2 MicroGuard;MicroGuard Copy Protection;\??\c:\windows\system32\drivers\mgnt.sys [2007-01-29 40288]
R2 psnppagn32;DCOM Proxy for NPPAgent Object;rundll32.exe c:\windows\system32\psnppagn32.dll,ehet []
R2 SbPF.Launcher;SbPF.Launcher;"c:\programme\Sunbelt Personal Firewall\SbPFLnch.exe" [2008-07-30 95528]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-11-05 65576]
R3 ULI5261;ULi Based Ethernet NT Driver;c:\windows\system32\DRIVERS\ULILAN.SYS [2006-05-11 29696]
S2 SPF4;Sunbelt Personal Firewall 4;"c:\programme\Sunbelt Personal Firewall\SbPFSvc.exe" [2008-07-30 1361192]
S3 ALI5261;ALi-basierte Ethernet-NT-Treiber;c:\windows\system32\DRIVERS\ALI5261.SYS [2008-03-26 27678]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt [2005-08-17 7168]
S3 filter;filter;c:\windows\system32\drivers\filter.sys [2004-07-05 8832]
S3 HWACCESS;HWACCESS;\??\c:\windows\SYSTEM32\HWACCESS.SYS [2006-06-19 6808]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5} - (no file)
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\lf3rst3f.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 21:19:49
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet006\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(860)
c:\windows\system32\psnppagn32.dll
- - - - - - - > 'explorer.exe'(1764)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Plaxo\3.16.0.49\plx_hook.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\programme\Office 2003\OFFICE11\msohev.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Belkin Wireless Network Utility\WLService.exe
c:\programme\ESRI\License\arcgis9x\ARCGIS.EXE
c:\programme\Belkin Wireless Network Utility\WLanCfgG.exe
c:\programme\VPN Client\cvpnd.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Raxco\PerfectDisk\PDAgent.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-29 21:30:01 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-11-29 20:29:55
Vor Suchlauf: 1,346,199,552 Bytes frei
Nach Suchlauf: 1,050,558,464 Bytes frei
225 --- E O F --- 2008-11-18 15:34:18
Geändert von zonk (30.11.2008 um 14:35 Uhr) |
|
30.11.2008, 13:45
| #2 |
 | Habe von t-online Post bekommen... Hi
__________________poste mal bitte auch deinen Hjt-Logfile und dein System  Gruß Lumitu |
|
30.11.2008, 13:55
| #3 |
| | Habe von t-online Post bekommen... mann seid ihr schnell RESPEKT
__________________.....aber hier erstmal hier die Fortsetzung: Eine weitere Überprüfung ließ ich mit escan folgen. Außer merkwürdigen Reg-Einträgen fand aber auch dieses nichts besonderes. Die „Virus Information“: Code:
ATTFilter Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "virusguardplus Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "diskknight Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "spyware.expresskeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "personalantispy Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.
AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Übrigends der Link zu find.dat (ebenso wie der zur unauffindbar find.bat von haui) ist nicht mehr gerade aktuell Code:
ATTFilter 30 Nov 2008 00:14:15 - **********************************************************
30 Nov 2008 00:14:15 - eScan-AntiViren- und Antispywarewerkzeugsatz.
30 Nov 2008 00:14:15 - Copyright © MicroWorld Technologies
30 Nov 2008 00:14:15 - **********************************************************
30 Nov 2008 00:14:15 - Version 10.0.36 (D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\MWAV\MEXE.COM)
30 Nov 2008 00:14:15 - Logdatei: D:\Dokumente und Einstellungen\Administrator\Desktop\mwav\MWAV.LOG
30 Nov 2008 00:14:15 - Datum und Uhrzeit des letzten Scannens: 29.11.2008 22:09:57
30 Nov 2008 00:14:15 - MWAV Registered: FALSE
30 Nov 2008 00:14:15 - User Account: Administrator (Administrator Mode)
30 Nov 2008 00:14:15 - OS Type: Windows Workstation
30 Nov 2008 00:14:15 - OS: Windows XP [OS Install Date: 12 Feb 2007 16:40:38]
30 Nov 2008 00:14:15 - Ver: Service Pack 3 (Build 2600)
30 Nov 2008 00:14:15 - System Up Time: 5 Minutes, 26 Seconds
30 Nov 2008 00:14:15 - Parent Process Name : C:\WINDOWS\Explorer.EXE
30 Nov 2008 00:14:15 - Windows Root Folder: C:\WINDOWS
30 Nov 2008 00:14:15 - Windows Sys32 Folder: C:\WINDOWS\system32
30 Nov 2008 00:14:15 - Local Fixed Drives: c:\,d:\,n:\
30 Nov 2008 00:14:15 - MWAV Mode: Only Scan files
30 Nov 2008 00:14:16 - [CREATED ZIP FILE: D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\pinfect.zip]
…..
30 Nov 2008 00:50:50 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
30 Nov 2008 00:50:54 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Größe: 866983]…
30 Nov 2008 00:50:54 - Indexed Spyware Databases Successfully Created...
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\kazaa !!!
30 Nov 2008 00:51:08 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:12 - Offending file found: C:\WINDOWS\system32\borlndmm.dll
30 Nov 2008 00:51:12 - System found infected with virusguardplus Corrupted Adware/Spyware (borlndmm.dll)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:23 - Offending file found: D:\Dateien von Administrator\backup.reg
30 Nov 2008 00:51:23 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:41 - Offending file found: D:\Dateien von Administrator\backup.reg
30 Nov 2008 00:51:41 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:55 - Offending Registry Entry found: hkcu\software\microsoft\ole
30 Nov 2008 00:51:55 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:57 - Offending Registry Entry found: hklm\software\knight
30 Nov 2008 00:51:57 - System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:58 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\policies\associations
30 Nov 2008 00:51:58 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:58 - Offending Registry Entry found: hklm\software\microsoft\internet explorer\urlsearchhooks
30 Nov 2008 00:51:58 - System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:14 - Checking MountPoints2 Registry Key...
30 Nov 2008 00:52:14 - Checking CLSID Reference Entries...
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:23 - Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:23 - Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:24 - Checking Module Usage Entries...
30 Nov 2008 00:52:24 - Checking User Trusted External App Entries...
30 Nov 2008 00:52:24 - Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.
30 Nov 2008 00:52:24 - Checking Shared DLL Entries...
30 Nov 2008 00:52:32 - Checking Installer Entries...
30 Nov 2008 00:52:43 - Checking Shared Tools Entries...
30 Nov 2008 00:52:43 - Checking File Extension Entries...
30 Nov 2008 00:52:43 - Checking Application Cache Entries...
…
30 Nov 2008 01:24:38 - AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
….
30 Nov 2008 01:34:51 - Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
….
30 Nov 2008 01:34:53 - Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
….
Wenn Ihr also Vorschläge hättet, ob und wie man jetzt dagegen vorgehen soll, dann wäre ich euch dafür sehr dankbar. Ohne größere Ergebnisse lief dann noch die ganze Nacht DrWeb: Code:
ATTFilter C.bat;C:\32788R22FWJFW;Wahrscheinlich BATCH.Virus
psexec.cfexe;C:\32788R22FWJFW ;Program.PsExec.171
ComboFix.exe\32788R22FWJFW\C.bat;D:\Dateien von Administrator\Software\ComboFix.exe;Wahrscheinlich BATCH.Virus
ComboFix.exe\32788R22FWJFW\psexec.cfexe;D:\Dateien von Administrator\Software\ComboFix.exe;Program.PsExec.171
ComboFix.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte
SPECViewperf10.exe\data125;D:\Dateien von Administrator\Software\SPECViewperf10.exe;Tool.ShutDown.10
SPECViewperf10.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte
Oiloncanvas.html ;D:\Dateien von Chris\Dokumente\Architektur\nach Themen\www.usc.edu\schools\annenberg\asc\projects\comm544\library\mediums;Win32.HLLM.Graz
Also so richtig weiß ich mit Alledem jetzt nichts anzufangen. Daher meine Fragen an Euch: 1. Wie kann ich überprüfen ob mein Rechner noch spammt? 2. Was sollte/könnte ich noch unternehmen? 3. Ist eine Systemwiederherstellung vor Ausführung des wahrscheinlichen schuldigen „Trojan-Dropper.Win.32.Kgen.gen“ (befindet sich nicht mehr auf dem Rechner) sinnvoll? 4. Was mache ich mit der wohl beim Start von esacn angelegten Datei „pinfect.zip“? (siehe auch hier: http://www.trojaner-board.de/47803-w...m-analyse.html) Schon mal vielen Dank und noch einen schönen Sonntag Chris Geändert von zonk (30.11.2008 um 14:18 Uhr) Grund: codefenster |
|
30.11.2008, 14:01
| #4 |
| | Habe von t-online Post bekommen... ... und zu guter Letzt natürlich auch noch die HijackThis File: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:28:41, on 29.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ESRI\License\arcgis9x\lmgrd.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Belkin Wireless Network Utility\WLService.exe C:\Programme\ESRI\License\arcgis9x\ARCGIS.EXE C:\Programme\Belkin Wireless Network Utility\WLanCfgG.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Raxco\PerfectDisk\PDAgent.exe C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Xfire.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe C:\Programme\Sunbelt Personal Firewall\SbPFCl.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Opera\opera.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [FlashIcon] C:\Programme\USB Card Reader Driver v2.3\FlashIcon.exe O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe -a O4 - HKCU\..\Run: [PlaxoSysTray] C:\Programme\Plaxo\3.16.0.49\PlaxoSysTray.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Architectural Desktop 3\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcPreview.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: psnppagn32 - C:\WINDOWS\SYSTEM32\psnppagn32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ARCGIS License Manager - Unknown owner - C:\Programme\ESRI\License\arcgis9x\lmgrd.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin Wireless Network Utility\WLService.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Programme\Kerio Personal Firewall 4.2.3.912\Personal Firewall 4\kpf4ss.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: DCOM Proxy for NPPAgent Object (psnppagn32) - Unknown owner - rundll32.exe (file missing) O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe -- End of file - 8034 bytes Warum klappt das nicht mehr mit'm "CODE".. naja egal auf jeden Fall viel Spaß damit und auch schon gleich ein Dankeschön Geändert von zonk (30.11.2008 um 14:10 Uhr) Grund: code-fenster |
|
30.11.2008, 14:08
| #5 |
| /// Helfer-Team    | Habe von t-online Post bekommen... Auf deinem Rechner sollte es einen Ordner Code:
ATTFilter C:\Qoobox\Quarantine
Übrigens, zu den Code-Tags: Slash, nicht Backslash.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.11.2008, 14:25
| #6 |
| | Habe von t-online Post bekommen... In C:\Qoobox\Quarantine befindet sich: ein leerer Odner namens "C" ein Odner namens "Registry_backups" mit den Dateien: HKLM-Run-CFSServ.exe.reg.dat, HKLM-Run-NDSTray.exe.reg.dat, HKLM-Run-TFncKy.reg.dat, Service_rosa.reg.dat, ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5}.reg.dat und tcpip.reg der catchme.log: Code:
ATTFilter -------- 29.11.2008 - 20:57:19,29 -------------
-------- 2008-11-29 - 21:08:05.81 -------------
|
|
30.11.2008, 15:02
| #7 | ||
| /// Helfer-Team | Habe von t-online Post bekommen... Befindet sich denn irgendwo eine Datei, die so heißen müsste: Zitat:
Außerdem würde mich interessieren, was Virustotal zu dieser Datei sagt: Zitat:
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.11.2008, 15:25
| #8 |
| |  Habe von t-online Post bekommen... Hallo Franz1968! Da hast du wohl ein tolles Gespühr bewiesen: Datei psnppagn32.dll empfangen 2008.11.30 15:14:45 (CET) Status: Beendet Ergebnis: 11/37 (29.73%) Code:
ATTFilter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.30 -
AntiVir 7.9.0.36 2008.11.29 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.11.30 -
Avast 4.8.1281.0 2008.11.29 Win32:Globan
AVG 8.0.0.199 2008.11.29 Agent_r.EG
BitDefender 7.2 2008.11.30 DeepScan:Generic.Clicker.Lobgal.F63E2684
CAT-QuickHeal 10.00 2008.11.29 -
ClamAV 0.94.1 2008.11.30 -
DrWeb 4.44.0.09170 2008.11.30 -
eSafe 7.0.17.0 2008.11.30 Suspicious File
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.30 -
F-Prot 4.4.4.56 2008.11.29 -
F-Secure 8.0.14332.0 2008.11.30 Trojan-Proxy.Win32.Glukelira.gen
Fortinet 3.117.0.0 2008.11.30 -
GData 19 2008.11.30 DeepScan:Generic.Clicker.Lobgal.F63E2684
Ikarus T3.1.1.45.0 2008.11.30 Trojan-Dropper.Agent
K7AntiVirus 7.10.538 2008.11.29 -
Kaspersky 7.0.0.125 2008.11.30 Trojan-Proxy.Win32.Glukelira.gen
McAfee 5449 2008.11.29 -
McAfee+Artemis 5449 2008.11.29 -
Microsoft 1.4104 2008.11.30 -
NOD32 3651 2008.11.30 a variant of Win32/Evati.A
Norman 5.80.02 2008.11.28 -
Panda 9.0.0.4 2008.11.30 -
PCTools 4.4.2.0 2008.11.30 -
Prevx1 V2 2008.11.30 -
Rising 21.05.62.00 2008.11.30 -
SecureWeb-Gateway 6.7.6 2008.11.29 Trojan.Crypt.XPACK.Gen
Sophos 4.36.0 2008.11.30 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.30 -
TheHacker 6.3.1.1.169 2008.11.29 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.29 -
ViRobot 2008.11.29.1492 2008.11.29 -
VirusBuster 4.5.11.0 2008.11.29 -
weitere Informationen
File size: 12288 bytes
MD5...: d35f075df6726ee13842e3532d78857a
SHA1..: 21365835c8163be819ee072479cac1781e197b99
SHA256: ab1017486919dd586caad7ead3954685591f3e94c3acdf5e5714b42f41309e16
SHA512: b9f436cdd5b891e633eb938a960e31c4c5f4c68c594b9cb1e9e8af5891c8cea9
f0b3df70e7d11df49884fd128498b92fff478beac327203e0be2f844d8c11f94
ssdeep: 192:o0llxPnbv693qKrQTtffPC/dxVL+fAUBp+o6lr1HOAl5TUpwiiDWPWj:o0Tp
nbvwZkTYdvLivjmrMM9V7WPWj
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1000a430
timedatestamp.....: 0x48baf116 (Sun Aug 31 19:29:26 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x3000 0x2600 7.86 4137cfa9b6336375e9330614c13da38d
.rsrc 0xb000 0x1000 0x600 2.85 74c441ef5f9ceb00103444064e5461b0
( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
( 1 exports )
ehet
packers (Kaspersky): PE_Patch.UPX, UPX
packers (Avast): UPX
packers (F-Prot): UPX
Code:
ATTFilter Rosa.sys.vir
Viele Grüße Chris ....aber was kann ich jetzt tun? |
|
30.11.2008, 15:54
| #9 |
| /// Helfer-Team | Habe von t-online Post bekommen... Lade dir einmal TcpView: http://download.sysinternals.com/Files/TcpView.zip Entpacke und starte tcpview.exe. In dem sich öffnenden Programmfenster aktiviere unter Options den Punkt Show unconnected endpoints. Im Anschluss wähle unter File Save as und speichere das Ergebnis von TcpView als c:\tcpview.txt. Den Inhalt dieser Datei poste hier. Lade dir außerdem den Process Explorer: http://download.sysinternals.com/Files/ProcessExplorer.zip Nur herunterladen, noch nicht ausführen.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.11.2008, 16:42
| #10 |
| | Habe von t-online Post bekommen... so die Ausgabe von TCPview: Code:
ATTFilter [System Process]:0 TCP zonk:33233 localhost:2618 TIME_WAIT
[System Process]:0 TCP zonk:2607 217-212-246-145.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP zonk:2608 217-212-246-145.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP zonk:33233 localhost:2620 TIME_WAIT
[System Process]:0 TCP zonk:2622 localhost:33233 TIME_WAIT
[System Process]:0 TCP zonk:2624 localhost:33233 TIME_WAIT
[System Process]:0 TCP zonk:33233 localhost:2609 TIME_WAIT
[System Process]:0 TCP zonk:2598 statse.iad.webtrendslive.com:http TIME_WAIT
[System Process]:0 TCP zonk:33233 localhost:2626 TIME_WAIT
[System Process]:0 TCP zonk:2599 statse.iad.webtrendslive.com:http TIME_WAIT
[System Process]:0 TCP zonk:2601 statse.iad.webtrendslive.com:http TIME_WAIT
[System Process]:0 TCP zonk:33233 localhost:2613 TIME_WAIT
[System Process]:0 TCP zonk:2602 statse.iad.webtrendslive.com:http TIME_WAIT
[System Process]:0 TCP zonk:2603 217-212-246-145.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP zonk:2604 217-212-246-145.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP zonk:33233 localhost:2616 TIME_WAIT
[System Process]:0 TCP zonk:2605 217-212-246-145.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP zonk:2606 217-212-246-145.customer.teliacarrier.com:http TIME_WAIT
alg.exe:2564 TCP zonk:1031 zonk:0 LISTENING
ARCGIS.EXE:1760 TCP zonk:1025 zonk:0 LISTENING
ARCGIS.EXE:1760 UDP zonk:1027 *:*
cvpnd.exe:1796 TCP zonk:62514 zonk:0 LISTENING
cvpnd.exe:1796 UDP zonk:62514 *:*
lmgrd.exe:1696 TCP zonk:27000 zonk:0 LISTENING
lsass.exe:924 UDP zonk:isakmp *:*
lsass.exe:924 UDP zonk:4500 *:*
opera.exe:1884 TCP zonk:2631 65.55.197.126:http ESTABLISHED
opera.exe:1884 TCP zonk:2636 65.55.11.240:http ESTABLISHED
opera.exe:1884 TCP zonk:2629 65.55.197.126:http ESTABLISHED
raysat_3dsmax9_32server.exe:284 TCP zonk:mi-raysat_3dsmax9_32 zonk:0 LISTENING
SbPFCl.exe:3232 TCP zonk:1038 localhost:1040 ESTABLISHED
SbPFCl.exe:3232 TCP zonk:1036 localhost:44334 ESTABLISHED
SbPFCl.exe:3232 TCP zonk:1038 zonk:0 LISTENING
SbPFCl.exe:3232 UDP zonk:1039 *:*
SbPFCl.exe:3232 UDP zonk:1037 *:*
SbPFCl.exe:3232 UDP zonk:1445 *:*
SbPFSvc.exe:456 TCP zonk:1040 localhost:1038 ESTABLISHED
SbPFSvc.exe:456 TCP zonk:44334 localhost:1036 ESTABLISHED
SbPFSvc.exe:456 TCP zonk:44334 zonk:0 LISTENING
SbPFSvc.exe:456 TCP zonk:44501 zonk:0 LISTENING
SbPFSvc.exe:456 UDP zonk:44334 *:*
spoolsv.exe:1584 UDP zonk:1030 *:*
svchost.exe:1080 TCP zonk:3389 zonk:0 LISTENING
svchost.exe:1192 TCP zonk:epmap zonk:0 LISTENING
svchost.exe:1248 UDP zonk:ntp *:*
svchost.exe:1248 UDP zonk:ntp *:*
svchost.exe:1440 UDP zonk:1900 *:*
svchost.exe:1440 UDP zonk:1900 *:*
System:4 TCP zonk:microsoft-ds zonk:0 LISTENING
System:4 TCP zonk:netbios-ssn zonk:0 LISTENING
System:4 UDP zonk:netbios-ns *:*
System:4 UDP zonk:microsoft-ds *:*
System:4 UDP zonk:netbios-dgm *:*
|
|
30.11.2008, 18:05
| #11 |
| /// Helfer-Team | Habe von t-online Post bekommen... Ok, ich hatte jetzt naiverweise gedacht, beim Spamversand zugucken zu können. Dem ist aber nicht so.  Gibt es irgendeine Regelmäßigkeit in Bezug auf die Verbindungen zu der ominösen IP-Adresse? Schau ggf. mal im Log deiner Firewall nach.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.11.2008, 19:54
| #12 |
| | Habe von t-online Post bekommen... Hallo Franz1968 und alle anderen! Ich habe mal den Rechner neu gestartet und gehofft so die MalWare "an den Start" zu bringen. Wie aber schon den ganzen Nachmittag gibt’s sie sich weiterhin sehr bedeckt. Zwar wurde wieder eine Verbindung zu 74.50.107.172 erfragt, die ich dann auch erlaubt habe, (siehe Screenshot 1) jedoch steht im Firewll-Log denied.. (siehe Screenshot 2) obwohl ich den Vorgang ausdrücklich zugelassen habe Jedenfalls tat sich zunächst nichts Großartiges...und dann (musste in der FireWall zwar noch Port 25 freigeben) gings aber los ! (siehe Screenshot 3) Hier die das Log-File von TcpView: (zum selbigen Zeitpunkt) Code:
ATTFilter [System Process]:0 TCP zonk:1674 spf12.us4.outblaze.com:smtp TIME_WAIT
...
gekürzt.. war zu lang :-)
....
[System Process]:0 TCP zonk:1721 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2105 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1995 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1675 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1323 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1558 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1750 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1381 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1813 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1797 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1848 spf12.us4.outblaze.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2037 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1221 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1573 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2137 nb-mx-vip2.prodigy.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:1274 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1146 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1866 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1658 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1466 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2015 exch.corp.earthlink.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:1180 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1836 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1196 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2044 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1372 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2028 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1276 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1884 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1335 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1783 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1607 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1562 aln-mailrelay.att.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:1510 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1590 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1222 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1654 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1318 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1366 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1579 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1787 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1419 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1627 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1629 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1373 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1197 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1805 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1645 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1288 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1617 ib1.charter.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:1518 rmail.lycosmail.lycos.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1742 rmail.lycosmail.lycos.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2169 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2174 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2186 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2170 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2145 fk-in-f27.google.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2173 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2179 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2165 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2181 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2193 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2185 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2166 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2207 nb-mx-vip1.prodigy.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:2197 mxl145v2.mxlogic.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:2206 litemail08.bigfoot.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2216 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2223 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2227 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2222 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2226 dc.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2219 mail.mx4.compuserve.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2233 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2236 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2232 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2241 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2238 spf11.us4.outblaze.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2253 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:1949 desperate.cnc.net:smtp TIME_WAIT
[System Process]:0 TCP zonk:2252 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2255 da.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2258 md.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2263 de.mx.aol.com:smtp TIME_WAIT
[System Process]:0 TCP zonk:2260 exch.corp.earthlink.net:smtp TIME_WAIT
Acrobat.exe:1180 UDP zonk:1080 *:*
alg.exe:3732 TCP zonk:1031 zonk:0 LISTENING
ARCGIS.EXE:1936 TCP zonk:1025 zonk:0 LISTENING
ARCGIS.EXE:1936 UDP zonk:1027 *:*
cvpnd.exe:1972 TCP zonk:62514 zonk:0 LISTENING
cvpnd.exe:1972 UDP zonk:62514 *:*
lmgrd.exe:1868 TCP zonk:27000 zonk:0 LISTENING
lsass.exe:1088 UDP zonk:isakmp *:*
lsass.exe:1088 UDP zonk:4500 *:*
raysat_3dsmax9_32server.exe:576 TCP zonk:mi-raysat_3dsmax9_32 zonk:0 LISTENING
SbPFCl.exe:1964 TCP zonk:1037 localhost:44334 ESTABLISHED
SbPFCl.exe:1964 TCP zonk:1039 localhost:1041 ESTABLISHED
SbPFCl.exe:1964 TCP zonk:1039 zonk:0 LISTENING
SbPFCl.exe:1964 UDP zonk:1090 *:*
SbPFCl.exe:1964 UDP zonk:1040 *:*
SbPFCl.exe:1964 UDP zonk:1038 *:*
SbPFSvc.exe:312 TCP zonk:44334 localhost:1037 ESTABLISHED
SbPFSvc.exe:312 TCP zonk:1041 localhost:1039 ESTABLISHED
SbPFSvc.exe:312 TCP zonk:44334 zonk:0 LISTENING
SbPFSvc.exe:312 TCP zonk:44501 zonk:0 LISTENING
SbPFSvc.exe:312 UDP zonk:44334 *:*
spoolsv.exe:1764 UDP zonk:1030 *:*
svchost.exe:1252 TCP zonk:1947 mta-v8.mail.vip.mud.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2100 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1991 mta-v1.mail.vip.re3.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2119 mta-v1.mail.vip.re3.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1941 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2133 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1225 mta-v1.mail.vip.re3.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1143 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1158 mta-v15.mail.vip.re1.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1556 mta-v13.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1657 mta-v1.mail.vip.ac4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1361 mta-v8.mail.vip.mud.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1259 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1304 mta-v13.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1407 mta-v1.mail.vip.re3.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1398 mta-v9.mail.vip.mud.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2150 mta-v9.mail.vip.mud.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1806 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1630 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1194 mta-v13.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1472 mta-v1.mail.vip.ac4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:1994 mta-v9.mail.vip.mud.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2050 mta-v12.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:3389 zonk:0 LISTENING
svchost.exe:1252 TCP zonk:2228 mta-v15.mail.vip.re1.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2242 mta-v13.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2248 mta-v15.mail.vip.re1.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2250 mta-v13.mail.vip.re4.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2262 mta-v15.mail.vip.re1.yahoo.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2273 mta-v15.mail.vip.re1.yahoo.com:smtp SYN_SENT
svchost.exe:1252 TCP zonk:2275 mx.dca.untd.com:smtp ESTABLISHED
svchost.exe:1252 TCP zonk:2274 mta-v13.mail.vip.re4.yahoo.com:smtp LAST_ACK
svchost.exe:1252 TCP zonk:2276 mta-v1.mail.vip.re3.yahoo.com:smtp SYN_SENT
svchost.exe:1252 TCP zonk:2281 bay0-mc4-f.bay0.hotmail.com:smtp SYN_SENT
svchost.exe:1252 TCP zonk:2280 mail.mx5.compuserve.com:smtp SYN_SENT
svchost.exe:1252 TCP zonk:2283 mta-v12.mail.vip.re4.yahoo.com:smtp SYN_SENT
svchost.exe:1252 TCP zonk:2282 mta-v9.mail.vip.mud.yahoo.com:smtp LAST_ACK
svchost.exe:1360 TCP zonk:epmap zonk:0 LISTENING
svchost.exe:1420 UDP zonk:ntp *:*
svchost.exe:1420 UDP zonk:ntp *:*
svchost.exe:1600 UDP zonk:1900 *:*
svchost.exe:1600 UDP zonk:1900 *:*
System:4 TCP zonk:microsoft-ds zonk:0 LISTENING
System:4 TCP zonk:netbios-ssn zonk:0 LISTENING
System:4 UDP zonk:netbios-ns *:*
System:4 UDP zonk:microsoft-ds *:*
System:4 UDP zonk:netbios-dgm *:*
Da ich morgen dann auch schon wieder an dem Rechner arbeiten muss, und das auch nur noch für 1 Monat, macht eine zeitnahe Neuinstallation oder sehr zeitaufwändige Säuberung keinen Sinn, und so werde ich ihm wohl einfach den W-LAN Dongle ziehen.. aus die Maus. Jetzt nur noch schnell zur "psnppagn32.dll". Sollte ich die vorsichtshalber wie in dem escan Tutorial beschrieben löschen.. oder bringt das gar nichts? Ich nehme mal an, da hat sich bei mir ein feines Root-Kit eingenistet, das es versteht sich sehr gut zu verstecken... .. was haltet Ihr von einer Systemwiederherstellung zu einem früheren Zeitpunkt... könnte das was bringen?.. und was soll ich denn mit der Code:
ATTFilter pinfect.zip
Viele Grüße Chris Geändert von zonk (30.11.2008 um 20:40 Uhr) |
|
30.11.2008, 22:35
| #13 |
| /// Helfer-Team | Habe von t-online Post bekommen... Dann versuchen wir behelfsweise, die psnppagn32.dll zu löschen.  Lade dir The Avenger hier. Entpacke die exe-Datei nach C:\, starte sie und kopiere in das weiße Feld bei "input script here" Folgendes: Code:
ATTFilter Files to delete:
C:\WINDOWS\SYSTEM32\psnppagn32.dll
Nach dem Reboot findest du eine Datei c:\avenger.txt Deren Inhalt hier posten.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.11.2008, 23:04
| #14 |
| | Habe von t-online Post bekommen... @franz1968: Allzulaut mag ich noch nicht  dennoch gebührt dir so oder so ein riesen :aplaus: für deine Tips und deinen Einsatz!  In der Avenger Log fand sich folgendes: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\SYSTEM32\psnppagn32.dll" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Chris P.S.: Werde in absehbarer Zeit natürlich auch noch posten ob das des "Pudels Kern" war |
|
01.12.2008, 16:55
| #15 | |
| /// Helfer-Team | Habe von t-online Post bekommen...Zitat:
 Flüchtiges Googlen förderte u.a. Hinweise auf geklaute Zugangsdaten zu Tage, so dass du in jedem Fall deinen Rechner neu aufsetzen solltest und außerdem Zugangsdaten (Mailaccounts, Game-Accounts, Ebay, Online-Banking usw. usf.) von einem sauberen Rechner aus ändern solltest. Warte nicht zu lange damit. Was auf deinem Rechner verändert worden ist, ist u.U. nicht mehr nachvollziehbar. Dass T-Online dich vom Netz abklemmt, wenn dein Rechner weiter spammen sollte, könnte noch das geringere Übel sein.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
| Themen zu Habe von t-online Post bekommen... |
| 1.exe, ad-aware, administrator, browser, combofix, components, data recovery, desktop, einstellungen, generic, generic host, generic host process, hijack, hijackthis, home, installation, jusched.exe, laufende prozesse, logon.exe, malwarebytes' anti-malware, monitor.exe, mozilla, mp3, object, opera, programme, proxy, registrierungsschlüssel, rundll, security, skype.exe, software, starmoney, suchlauf, system, tcp, usb, windows xp, winlogon.exe |
Linear-Darstellung
