Spam-Schädling

Tintifax · 12.01.2009, 15:13

Ein herzliches Hallo in das Forum und schon vorab kann ich sagen, dass mir hier bereits sehr viel geholfen wurde. Ich bin dabei mein System neu aufzusetzen, will es aber bereits vorher "rein" bekommen.

Ich habe über die HJT-Files und die diversen Auswertungen bereits einige Datein gelöscht, in der Vergangenheit wurde immer wieder der win32 Trojaner gefunden, den ich lange nicht in den Griff bekommen habe.

Jetziges Problem: Ein mir unbekannter Schädling verschickt über meinen Yahoo-Account Spam an mein gesamtes Adressbuch, das er so nebenbei löschte. Die Meldung hört sich dann so an:

hi:
New shopping new life!
=A0 How are u doing these days?Yesterday I found a web of a large trading c=
ompany from china,which is an agent of all the well-known digital product f=
actories,and facing to both wholesalers,retailsalers,and personal customer =
all over the world. They export all kinds of digital products and offer mos=
t competitive and reasonable price and high quality goods for our clients,s=
o i think we you make a big profit if we do business with them.And they pro=
mise they will provide the best after-sales-service.In my opinion we can ma=
ke a trial order to test that.=20
Look forward to your early reply!
The Web address: w w w .stuffunion . com

Wie gesagt ich habe nach der HJT-Analyse einige Dateien gefixt und entfernt. Für einige Dateien gibt es folgende Meldungen (sie sind noch drauf):

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\google\common\google updater\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

C:\Programme\Windows Live\Messenger\msnmsgr.exe

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\msn messenger\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\jre1.5.0_02\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Part of Java

O22 - SharedTaskScheduler: esperantido - {67dc0736-075a-4647-95f5-d5421b838fed} - C:\WINDOWS\system32\svxmhpz.dll (file missing)

Diese Datei ist unbekannt.

Hier das gesamte Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:17, on 12.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.* * * * - * * * .com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Worm Radar .com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AutoTBar] C:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://a***.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http:// messenger . msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1311572E-FDD7-44C6-9640-4DA78688347E}: NameServer = 81.3.216.100 194.24.128.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{1311572E-FDD7-44C6-9640-4DA78688347E}: NameServer = 81.3.216.100 194.24.128.100
O17 - HKLM\System\CS3\Services\Tcpip\..\{1311572E-FDD7-44C6-9640-4DA78688347E}: NameServer = 81.3.216.100 194.24.128.100
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O22 - SharedTaskScheduler: esperantido - {67dc0736-075a-4647-95f5-d5421b838fed} - C:\WINDOWS\system32\svxmhpz.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 8333 bytes

Wäre sehr sehr dankbar, wenn sich das jemand kurz ansehen könnte und vor allem ob die obigen drei extra erwähnten Dateien nun zu löschen sind oder nicht.

Außerdem grundsätzlich die Frage: Kennt jemand die Maleware, die mir Spam versendet?

Tintifax · 13.01.2009, 10:35

HJT und MWB sagen mir nun, dass ich sauber bin. MWB fand einige Trojaner: Zlob, BHO, Rootkit Agent. Die fragwürdigen Dateien habe ich bei Virustotal gecheckt- eine davon gelöscht. Auch LopSD findet keine Einträge. Ich kann mir aber nicht vorstellen, dass ich sauber bin- alleine weil bei mir 9 x (!) svchost läuft. Dazu macht er weiter ein anderes fenster als Startseite auf, als von mir festgelegt: http://www.g o o g l e.com/firefox?client=firefox-a&rls=org.mozilla:de

fficial.
Am eisten verstört mich aber die Tatsache, dass immer die Meldung kommt dass meine Windows-Version eine Fälschung sein soll, obwohl sie dezidiert keine ist, es sei denn ich habe diesen PC bereits mit einem Software-Plagiat neu gekauft...

Vielleicht kann mir ja jemand einen Tipp geben wie ich weiter vorgehen soll.

Spam-Schädling

Plagegeister aller Art und deren Bekämpfung: Spam-Schädling

Spam-Schädling

Spam-Schädling

Ähnliche Themen: Spam-Schädling