Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Reste (mailbot o.ä.) nach "rootkit.bagle" infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 11.05.2009, 23:23   #1
bagleopfer
 
Reste (mailbot o.ä.) nach "rootkit.bagle" infektion - Standard

Reste (mailbot o.ä.) nach "rootkit.bagle" infektion



Hallo zusammen,
da ich nicht weiterkomme, wende ich mich mal vertrauensvoll an dieses Forum.

Nachdem ich neulich ein aggressives Bagle Rootkit entfernen musste, habe ich noch mit einer unschönen Kleinigkeit zu kämpfen: Mein Rechner versucht in Abständen die ich nicht definieren kann, Mails über verschiedene SMTP Server zu versenden. Mal ist es hotmail, mal ein litauischer provider usw.
Die Google Suche nach den angesprochenen IPs brachte keine Hinweise auf bestimmte Seuchen ans Tageslicht.

Die ersten Zeichen waren das der Antivir Mailgard Dienst sich beendet hat wenn der versand gestartet hat. Allerdings hat mein Provider diesen Versand bemerkt und mich auf das Problem aufmerksam gemacht. (peinlich peinlich....)
Leider gaukeln mir Antivir, MBAM, Spybot, und die anderen üblichen einen sauberen Rechner vor.
Meine Analysen mit diversen Prozessnalysewerkzeugen sind leider erfolglos geblieben. Das Mistding ist scheinbar nicht ständig im Speicher.

Mein Rechner versendet akut nichts mehr, da die Software Firewall dieses jetzt per Regel verhindert, aber leider versucht er es doch noch.
Da ich alle Wiederherstellungskonsolen und auch eine zweite partition mit XP habe kann ich wenn gewünscht auch unter anderen voraussetzungen suchen, allerdings sieht es von da aus auch viel zu clean aus...


Hier sind die Logs:
Ich beginne ganz unüblich mit Zonealarm, da man hier sieht, dass ich mir das Problem nicht ausdenke.
ZoneAlarm verzeichnet das Ereignis mit folgenden zwei Einträgen. Man beachte die ca. 2500 Verbindungsversuche, die jedesmal in dieser Größenordnung liegen.

Code:
ATTFilter
Beschreibung      Host Process for Windows Services wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen.
Bewertung         Hoch
Datum/Uhrzeit     2009-05-11 21:02:30+2:00
Typ               Programmzugriff
Programm          svchost.exe
Quell-IP-Adresse  
Ziel-IP-Adresse   65.55.92.184:25
Richtung          Ausgehend (Verbindung herstellen)
Maßnahme          Gesperrt
Anzahl            2554
Quell-DNS         
Ziel-DNS          mx2.hotmail.com
Richtlinie        Persönliche Richtlinie
         
und
Code:
ATTFilter
Beschreibung      Antivirus MailScanner Service wurde für das Versenden von E-Mail-Nachrichten gesperrt. Verwenden Sie die Programmliste, um E-Mail-Sendeberechtigungen für dieses Programm zuzulassen.
Bewertung         Hoch
Datum/Uhrzeit     2009-05-11 21:02:34+2:00
Typ               Programmzugriff
Programm          avmailc.exe
Quell-IP-Adresse  
Ziel-IP-Adresse   202.131.27.102:25
Richtung          Ausgehend (Verbindung herstellen)
Maßnahme          Gesperrt
Anzahl            4
Quell-DNS         
Ziel-DNS          mx3.naver.com
Richtlinie        Persönliche Richtlinie
         

HJT:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:45, on 11.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mobsync.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.***/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.***/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.***/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.***/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 2519 bytes
         
Installierte Software:
Code:
ATTFilter
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1 - Deutsch
Application Suite
Application Suite
Application Suite
ATI AVIVO Codecs
Audacity 1.2.6
AutoIt v3.3.0.0
Avira AntiVir Premium
AVM FRITZ!fax für FRITZ!Box
Beyond TV DVD Burning Foundation
Bluesoleil 5.0.5.178
Catalyst Control Center - Branding
CCleaner (remove only)
Choice Guard
ClassicPro© v1.1
Creative Video Blaster WebCam 3 USB/WebCam Plus Driver
CutePDF Writer 2.7
DameWare NT Utilities
Discovery A Seek And Find Adventure
DivX Codec
DivX Plus DirectShow Filters
DivX Web Player
EasyBCD 1.7.2
Elecard MPEG Player
eMule
Encoder 7140 v3.0
Encoder And Reader Demo
EyeCare
EyeCon
FileZilla Client 3.2.2.1
Flash&Backup
Foxit Reader
Free FLV Converter V 6.0.0
Google Earth
Google Update Helper
GrabIt 1.7.2 Beta 3 (build 996)
Hex Workshop v6
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)
HotPotatoes v 6.2.5.4
HxD Hex Editor Version 1.7.7.0
HydraVision
IrfanView (remove only)
Java(TM) 6 Update 5
Last.fm 1.5.4.24567
Magic ISO Maker v5.5 (build 0265)
MagicDisc 2.7.106
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook Connector
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server Native Client
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Motorola Driver Installation 3.4.0
Motorola Phone Tools
Motorola Software Update
Mozilla Firefox (3.0.10)
Mozilla Thunderbird (2.0.0.21)
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
Nero 9
neroxml
OpenAL
QuickTime
RealPlayer
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
Rolling Madness 3D v1.0
RSDLite
SciTE4AutoIt3 20-12-2008
SDFormatter
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Skype™ 4.0
SolveigMM AVI Trimmer
SplitCam
SQL Server System CLR Types
Teachmaster 4.1 (nur Entfernen)
TeamViewer 4
TiltTools
Trillian
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Outlook 2007 Junk Email Filter (kb968503)
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VC 9.0 Runtime
VC80CRTRedist - 8.0.50727.762
VCRedistSetup
ViaMichelin Navigation PND
VLC media player 0.9.8a
Winamp
WinCE CAB Manager
Windows Live Anmelde-Assistent
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Sync
Windows Live Writer
Windows Live-Uploadtool
Windows Mobile-Gerätecenter
WinRAR
WinUAE 1.5.0
X10 Hardware(TM)
Xvid 1.2.1 final uninstall
Zattoo 3.3.1 Beta
ZoneAlarm Security Suite
         


MBAM: so sauber sind auch die logs von Antivir Premium und Co.
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Database version: 2109
Windows 6.0.6001 Service Pack 1

11.05.2009 23:19:26
mbam-log-2009-05-11 (23-19-26).txt

Scan type: Full Scan (C:\|)
Objects scanned: 225036
Time elapsed: 1 hour(s), 43 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         


vielen Dank an alle, die etwas zur Lösung beitragen können!

Das Bagleopfer

 

Themen zu Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
antivir, antivir guard, antivirus, avira, bagle, control center, converter, desktop, email, entfernen, excel, firefox, flash player, google, hijack, hijackthis, installation, malwarebytes' anti-malware, mozilla, office 2007, problem, prozess, rootkit, rootkit entfernen, server, software, studio, system, vista, visual studio, windows




Ähnliche Themen: Reste (mailbot o.ä.) nach "rootkit.bagle" infektion


  1. Nach Photo Transfer mit "MPE" nach"D", auf "C" ca. 5GB verloren? Rest: 5,6GB auf "C"!
    Alles rund um Windows - 17.04.2016 (21)
  2. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Probleme mit Festplatte nach "Sweet Page" Infektion, Kontrolle des MBR ?
    Log-Analyse und Auswertung - 13.01.2014 (5)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. Infektion "Internet Security Pro"/ "wmdefender.exe" unter Vista; Keine Erkennung mit MBAM
    Log-Analyse und Auswertung - 22.08.2013 (19)
  7. GVU-Trojaner: Wie beseitige ich eventuell vorhandene "Reste" und wie gehe ich mit den "Folgen" um ?
    Plagegeister aller Art und deren Bekämpfung - 21.06.2013 (3)
  8. Desktop nach GVU-Infektion "unsortiert"
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (5)
  9. Nach "smart protection 2012" infektion: System Clean?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2012 (11)
  10. Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2010 (17)
  11. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  12. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  13. Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (18)
  14. Bagle - "eigene Dateien" noch verwendbar?
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (0)
  15. Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (30)
  16. 2 Trojaner -> "Bagle.AL" und "QHosts.Script"
    Plagegeister aller Art und deren Bekämpfung - 13.03.2005 (3)
  17. Nach Backdoor-Infektion: Bin ich jetzt "sicher"?
    Log-Analyse und Auswertung - 14.01.2005 (10)

Zum Thema Reste (mailbot o.ä.) nach "rootkit.bagle" infektion - Hallo zusammen, da ich nicht weiterkomme, wende ich mich mal vertrauensvoll an dieses Forum. Nachdem ich neulich ein aggressives Bagle Rootkit entfernen musste, habe ich noch mit einer unschönen Kleinigkeit - Reste (mailbot o.ä.) nach "rootkit.bagle" infektion...
Archiv
Du betrachtest: Reste (mailbot o.ä.) nach "rootkit.bagle" infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.