Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware

guagua · 25.06.2009, 11:30

Hallo!
Endlich komme ich dazu, weiterzumachen!
Konnte leider Antivir nicht komplett ausschalten...
Habe dann trotzdem Combofix durchgeführt, hier das Log:

ComboFix 09-06-24.04 - Vorname Nachname 25.06.2009 12:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.225 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Vorname Nachname \Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\install.exe
c:\windows\system32\Ijl11.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-25 bis 2009-06-25 ))))))))))))))))))))))))))))))
.

2009-05-27 14:26 . 2009-05-27 14:26 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-05-27 14:26 . 2009-05-27 14:26 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-05-27 14:26 . 2009-05-27 14:26 -------- d-----w- c:\programme\Prevx
2009-05-27 14:26 . 2009-06-20 11:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-05-27 13:12 . 2009-05-27 13:12 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-05-27 13:10 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-27 13:10 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-05-27 13:10 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-27 13:10 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-27 13:10 . 2009-05-27 13:10 -------- d-----w- c:\programme\Avira
2009-05-27 13:10 . 2009-05-27 13:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 09:51 . 2008-10-27 10:13 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Skype
2009-06-25 08:26 . 2009-01-04 08:03 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\HPAppData
2009-06-25 08:10 . 2009-05-18 19:44 117760 ----a-w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-06-25 08:10 . 2008-10-27 10:14 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\skypePM
2009-06-25 08:08 . 2008-06-13 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-05-25 12:19 . 2005-01-12 13:28 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-25 12:13 . 2009-05-25 12:13 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Buhl Data Service
2009-05-25 12:13 . 2009-05-25 12:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2009-05-25 12:13 . 2004-08-04 12:00 75116 ----a-w- c:\windows\system32\perfc007.dat
2009-05-25 12:13 . 2004-08-04 12:00 415818 ----a-w- c:\windows\system32\perfh007.dat
2009-05-25 12:00 . 2009-05-25 12:00 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\InstallShield
2009-05-20 12:16 . 2008-12-09 20:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-18 19:44 . 2009-05-18 19:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-18 19:43 . 2009-05-18 19:43 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\SUPERAntiSpyware.com
2009-05-18 19:42 . 2008-11-02 15:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-18 19:23 . 2009-05-18 19:23 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Malwarebytes
2009-05-18 19:22 . 2009-05-18 19:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 15:32 . 2004-08-04 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-06 11:43 . 2007-11-20 08:45 -------- d-----w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\ICQ Toolbar
2009-05-02 10:00 . 2008-12-30 16:26 -------- d-----w- c:\programme\HP
2009-04-29 04:42 . 2004-08-04 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2004-08-04 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2004-08-04 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-06 13:32 . 2009-05-18 19:22 38496 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-05-18 19:23 15504 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-04-01 08:38 . 2009-04-01 08:38 152576 ----a-w- c:\dokumente und einstellungen\Vorname Nachname \Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2005-09-19 18:30 . 2005-09-19 18:30 154 -c--a-w- c:\programme\setuplog.txt
2004-03-11 12:27 . 2005-01-12 13:40 40960 ----a-w- c:\programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 1871872]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-09 68856]
"GMX_GMX MultiMessenger"="d:\programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-10-09 4785576]
"H/PC Connection Agent"="d:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-29 21755688]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"SUPERAntiSpyware"="d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 344064]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2004-09-29 28672]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-09-07 1400944]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2005-05-22 26112]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="d:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2004-09-29 28672]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2004-9-29 28672]
HP Digital Imaging Monitor.lnk - d:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Picture Package Menu.lnk - d:\programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2006-11-9 151552]
Picture Package VCD Maker.lnk - d:\programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2006-11-9 106496]
WISO Mein Sparbuch heute.lnk - d:\programme\WISO\Sparbuch 2009\meinsparbuchheute.exe [2009-5-25 1119528]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= c:\dokumente und einstellungen\Vorname Nachname \Desktop\buba_desktop.html
FriendlyName=

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- d:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=
"d:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"d:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [27.05.2009 16:26 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [27.05.2009 16:26 27656]
R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [27.05.2009 15:10 108289]
R2 atjsgt;atjsgt;c:\windows\system32\drivers\atjsgt.sys [19.03.2007 14:21 165504]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [27.05.2009 16:26 4368952]
R2 linsgt;linsgt;c:\windows\system32\drivers\linsgt.sys [19.03.2007 14:21 16000]
R3 SASENUM;SASENUM;d:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
S3 dtwmnic5;Telekom Eumex 704PC DSL;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?]
S3 esihdrv;esihdrv;\??\c:\dokume~1\NAMENA~1\LOKALE~1\Temp\esihdrv.sys --> c:\dokume~1\NAMENA~1\LOKALE~1\Temp\esihdrv.sys [?]
S3 naecd;naecd;\??\c:\dokume~1\NAMENA~1\LOKALE~1\Temp\naecd.sys --> c:\dokume~1\NAMENA~1\LOKALE~1\Temp\naecd.sys [?]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-25 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-25 11:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de-de.facebook.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {9A772CEA-E4C0-46C8-80C3-CFD35F8B600A} = 213.191.74.11 213.191.92.82
DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} - hxxp://www.facebook.com/controls/contactx.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-25 12:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-515967899-746137067-839522115-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="Expired"
"InitTime"=dword:00009645
"LastTime"=dword:000096df
"Keyindex"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(680)
d:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-06-25 12:21
ComboFix-quarantined-files.txt 2009-06-25 10:21

Vor Suchlauf: 319.000.576 Bytes frei
Nach Suchlauf: 312.008.704 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

190 --- E O F --- 2009-06-14 11:54

Ich hoffe, du kannst mir weiterhelfen!!!
VIELEN DANK!
Guagua
:aplaus:

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware

Log-Analyse und Auswertung: Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware

Ähnliche Themen: Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware