|
Plagegeister aller Art und deren Bekämpfung: Spam-SchädlingWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.01.2009, 15:13 | #1 |
| Spam-Schädling Ein herzliches Hallo in das Forum und schon vorab kann ich sagen, dass mir hier bereits sehr viel geholfen wurde. Ich bin dabei mein System neu aufzusetzen, will es aber bereits vorher "rein" bekommen. Ich habe über die HJT-Files und die diversen Auswertungen bereits einige Datein gelöscht, in der Vergangenheit wurde immer wieder der win32 Trojaner gefunden, den ich lange nicht in den Griff bekommen habe. Jetziges Problem: Ein mir unbekannter Schädling verschickt über meinen Yahoo-Account Spam an mein gesamtes Adressbuch, das er so nebenbei löschte. Die Meldung hört sich dann so an: hi:Wie gesagt ich habe nach der HJT-Analyse einige Dateien gefixt und entfernt. Für einige Dateien gibt es folgende Meldungen (sie sind noch drauf): C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\google\common\google updater\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft. C:\Programme\Windows Live\Messenger\msnmsgr.exe Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\msn messenger\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft. C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\jre1.5.0_02\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Part of Java O22 - SharedTaskScheduler: esperantido - {67dc0736-075a-4647-95f5-d5421b838fed} - C:\WINDOWS\system32\svxmhpz.dll (file missing) Diese Datei ist unbekannt. Hier das gesamte Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:09:17, on 12.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Microsoft IntelliPoint\dpupdchk.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Olympus\DeviceDetector\DevDtct2.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.* * * * - * * * .com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Worm Radar .com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AutoTBar] C:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://a***.live.com/quickadd.aspx O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http:// messenger . msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1311572E-FDD7-44C6-9640-4DA78688347E}: NameServer = 81.3.216.100 194.24.128.100 O17 - HKLM\System\CS2\Services\Tcpip\..\{1311572E-FDD7-44C6-9640-4DA78688347E}: NameServer = 81.3.216.100 194.24.128.100 O17 - HKLM\System\CS3\Services\Tcpip\..\{1311572E-FDD7-44C6-9640-4DA78688347E}: NameServer = 81.3.216.100 194.24.128.100 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O22 - SharedTaskScheduler: esperantido - {67dc0736-075a-4647-95f5-d5421b838fed} - C:\WINDOWS\system32\svxmhpz.dll (file missing) O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe -- End of file - 8333 bytes Wäre sehr sehr dankbar, wenn sich das jemand kurz ansehen könnte und vor allem ob die obigen drei extra erwähnten Dateien nun zu löschen sind oder nicht. Außerdem grundsätzlich die Frage: Kennt jemand die Maleware, die mir Spam versendet? |
13.01.2009, 10:35 | #2 |
| Spam-Schädling HJT und MWB sagen mir nun, dass ich sauber bin. MWB fand einige Trojaner: Zlob, BHO, Rootkit Agent. Die fragwürdigen Dateien habe ich bei Virustotal gecheckt- eine davon gelöscht. Auch LopSD findet keine Einträge. Ich kann mir aber nicht vorstellen, dass ich sauber bin- alleine weil bei mir 9 x (!) svchost läuft. Dazu macht er weiter ein anderes fenster als Startseite auf, als von mir festgelegt: http://www.g o o g l e.com/firefox?client=firefox-a&rls=org.mozilla:defficial.
__________________Am eisten verstört mich aber die Tatsache, dass immer die Meldung kommt dass meine Windows-Version eine Fälschung sein soll, obwohl sie dezidiert keine ist, es sei denn ich habe diesen PC bereits mit einem Software-Plagiat neu gekauft... Vielleicht kann mir ja jemand einen Tipp geben wie ich weiter vorgehen soll. |
Themen zu Spam-Schädling |
ad-aware, avg, avg security toolbar, bho, firefox, frage, google, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, maleware, mozilla, olympus, problem, prozess, rojaner gefunden, rundll, schädling, security, software, spam, system, system neu, trojaner, trojaner gefunden, windows, windows xp |