Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Dropper DR/Gator.1050.17

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.07.2009, 12:29   #1
Radieschen
 
Dropper DR/Gator.1050.17 - Standard

Dropper DR/Gator.1050.17



Hallo zusammen!

Bekam von t-online eine mail, dass über meinen Anschluss spam versendet werde. Malwarebytes fand einen Dropper DR/Gator.1050.17, den ich in meiner Panik gelöscht habe, so dass er im malwarebytes-log jetzt leider nicht mehr zu sehen ist:
Zitat:
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2363
Windows 5.1.2600 Service Pack 3

02.07.2009 21:29:33
mbam-log-2009-07-02 (21-29-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 129468
Laufzeit: 1 hour(s), 2 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hijackthis sagt folgendes:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:12, on 04.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\Programme\Gemeinsame Dateien\AOL\1179402335\ee\aolsoftware.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1179402335\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf;sesessionid=9H3sQyku7G-tXYt4jK9GG86i: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 6561 bytes
Liste der Programme:
Zitat:
Actions MP3 Player Utilities
Adobe Flash Player 10 ActiveX
Adobe Reader 9 - Deutsch
AOL Coach Version 1.0(Build:20040229.1 de)
AOL Deinstallation
AOL Meine Fotos Bildschirmschoner
Apple Software Update
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
C-Media 3D Audio
devolo dLAN-Konfigurationsassistent
devolo EasyClean
devolo EasyShare
devolo Informer
ElsterFormular 2004/2005
ElsterFormular 2005/2006
ElsterFormular 2006/2007
ElsterFormular 2007/2008
ElsterFormular 2008/2009
EVEREST Corporate Edition v4.50
Google Earth
GUT 1
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HP Business Inkjet 1000 Series
iTunes
Java 2 Runtime Environment, SE v1.4.2_03
Java(TM) 6 Update 13
LIDL Fotoservice
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Standard Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft XML Parser und SDK
MobileMe Control Panel
Moorhuhn Winter-Edition
Moorhuhnjagd
Mozilla Firefox (3.5)
MP3 Player Utilities V1.22
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MySQL Servers and Clients 4.0.20d
Nero - Burning Rom
NetoDragon 56K Voice Modem
Nokia Connectivity Cable Driver
Nokia PC Suite
OLYMPUS CAMEDIA Master 4.2
QuickTime
RealPlayer Basic
Safari
SAM3 (remove only)
save2pc Light 3.23
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
StarMoney 4.0 S-Edition
TorisWin32
Update für Windows Internet Explorer 8 (KB971930)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
USB Disk Win98 Driver
Viewpoint Media Player
VR-NetWorld
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
Was soll/kann/muss ich tun?

Vielen lieben Dank schon mal im voraus!

Alt 04.07.2009, 14:53   #2
Swisstreasure
/// Malwareteam
 
Dropper DR/Gator.1050.17 - Standard

Dropper DR/Gator.1050.17



Hallo Radieschen

Bist Du Dir sicher dass diese Email von T-Online ist und nicht etwa selber eine SPAM Mail??
Kannst du das Email als Anhang mal einfügen?

>>
Welche Avira Version nutzt Du? 8 oder 9?

>>
mache einen Onlinescan mit eset + poste den report
Eset - ESET Online Scanner

Gruss Swiss
__________________


Alt 05.07.2009, 12:26   #3
Radieschen
 
Dropper DR/Gator.1050.17 - Standard

Dropper DR/Gator.1050.17



Die t-online mail ist denke ich kein spam:
Code:
ATTFilter
-----Original-Nachricht-----
Betreff: [Abuse-ID:xxxxxxxxx] Account: xxxxxxxxxxxxxx-0001
Datum: Mon, 29 Jun 2009 09:46:27 +0200
Von: Deutsche Telekom Abuse-Team <abuse@t-online.de>
An: xxxxxxxxxxxxx-0001@t-online.de


Sehr geehrte Telekom Kundin,
sehr geehrter Telekom Kunde,

für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei
Ihnen bedanken.

Leider haben wir jedoch die Information erhalten, dass über Ihren
Telekom Zugang unverlangte eMail-Werbung (sogenannter Spam) versendet
wurde.
Der Hinweisgeber sendete uns typischerweise einen eMail-Header
(Kopfzeilen) der eMail mit. In jenem Header ist eine IP-Adresse mit
Datum und Uhrzeit inklusive Zeitzone enthalten. Diese Daten haben wir
ausgewertet und auf dieser Basis Ihren Account ermittelt.

Erklärung:
IP-Adresse (Internet Protokoll-Adresse)
Eine IP-Adresse wird Ihnen bei jeder Einwahl ins Internet zugewiesen.
Sie erhalten eine dynamische IP-Adresse, d.h. bei jeder neuen Einwahl
ins Internet wird Ihnen eine zufällig ausgewählte IP-Adresse
zugewiesen. Diese dient zur eindeutigen Adressierung von Rechner und
Netzwergeräten,
z.B. Ihrem Router. Die IP-Adresse besteht aus einer Zahlenfolge mit
folgendem Aufbau: vier Zahlenblöcke mit jeweils vier Zahlen von 0 bis
255, durch einen Punkt getrennt (z. B. 212.185.47.88). Die IP-Adresse
ist nicht zu verwechseln mit einer URL wie z. B. http://www.t-online.de.
Die IP-Adresse entspricht funktional der Telefonnummer in einem
Telefonnetz.

Für die Versendung von Spam gibt es zwei mögliche Ursachen:

- Die eMails wurden ohne Ihr Wissen von Dritten über Ihren Telekom
Zugang gesendet
- Sie haben diese eMails selbst über Ihren Telekom Zugang gesendet

Wir weisen Sie in diesem Zusammenhang darauf hin, dass eine solche
Inanspruchnahme unserer Funktionalitäten eine Beeinträchtigung Dritter
und damit eine Verletzung Ihrer vertraglichen Pflichten gemäß unserer
Allgemeinen Geschäftsbedingungen für Telekom Produkte und Tarife
darstellt.

Wir dürfen Sie daher auffordern, unsere Internetdienste in Zukunft im
Einklang mit unseren Allgemeinen Geschäftsbedingungen zu nutzen.

Falls Sie nicht wissen, wer die Spams über Ihren Telekom Zugang
versendet hat, überprüfen Sie bitte umgehend Ihren Computer bzw. Ihr
Netzwerk. Ist eine Fehlkonfiguration der Grund, muss der PC und die
verwendeten Applikationen umgehend neu konfiguriert werden. Hinweise
hierzu erhalten Sie in der Bedienungsanleitung der einzelnen
Komponenten oder direkt beim jeweiligen Hersteller. Bei Netzwerken ist
häufig ein falsch konfigurierter Proxyserver oder Router die Ursache.

Mögliche Ursache für die Versendung von Spams bzw. allgemeinen
Massenmails ohne Ihr Wissen können auch Schadsoftware (Viren oder
Trojaner, Botnetze) sein. Wir bitten Ihren Rechner auch dahingehend zu
prüfen.

Falls Sie keinen Virenscanner haben, empfehlen wir Ihnen die
Virenschutz-Software Norton AntiVirus (TM). Als Telekom Nutzer können
Sie die Vollversion der Software ohne zusätzliche Kosten testen und Ihr
Virus-Problem mit hoher Wahrscheinlichkeit beheben.
Am Besten laden Sie sich Norton AntiVirus (TM) gleich unter folgendem
URL herunter: http://service.t-online.de/c/75/87/73/7587730.html

Weitere wichtige Informationen finden Sie auch im nachfolgenden
"Merkblatt Sicherheit".

Mit freundlichen Grüßen
Ihr Abuse-Team
http://www.t-online.de/abuse

Products & Innovation
Deutsche Telekom AG
T-Online-Allee 1
D-64295 Darmstadt
E-Mail abuse@t-online.de
http://www.telekom.de

Aufsichtsrat: Prof. Dr. Ulrich Lehner (Vorsitzender)
Vorstand: René Obermann (Vorsitzender), Hamid Akhavan, Dr. Manfred Balz,
Reinhard Clemens, Niek Jan van Damme, Timotheus Höttges, Guido Kerkhoff,
Thomas Sattelberger
Handelsregister: Amtsgericht Bonn HRB 6794, Sitz der Gesellschaft: Bonn
USt.-IdNr. DE 123475223

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die
unbefugte Weitergabe dieser E-Mail und der darin enthaltenen
Informationen sind nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and delete this e-mail. Any
unauthorized copying, disclosure or distribution of the material
in this e-mail is strictly forbidden.

Hinweis:
Bei weiteren Schriftwechseln übernehmen Sie für die zügige Bearbeitung
bitte die Betreffzeile dieser E-Mail. Dieser Vorgang wird von der
Abuse-Abteilung bearbeitet, die ausschließlich über die E-Mail-Adresse
abuse@t-online.de zu erreichen ist. Die Kundenberater unseres Service
Center Technik oder der Telekom Hotline können Ihnen in dieser Sache
keine telefonischen oder schriftlichen Auskünfte erteilen.
Hinweise zur Vorbeugung, Hintergrundinformationen und unsere
Kontakt-Seite finden Sie online unter: http://www.t-online.de/abuse


Merkblatt Sicherheit

Ist Ihr Computer mit Schadsoftware (Viren, Würmer, Trojanische Pferde
etc.) infiziert, so befindet er sich häufig nicht mehr unter Ihrer
Kontrolle. Sobald eine Verbindung zum Internet besteht, können Hacker
potentiell unerkannt auf Ihren Rechner und dessen Daten zugreifen und
Ihre Internetverbindung missbrauchen:

- Schadsoftware kann sich von Ihrem Rechner aus per E-Mail weiter
verbreiten. Dies geschieht bei aktuellen Viren und Würmern unabhängig
von den auf dem Rechner installierten E-Mail-Programmen bzw. den vom
Benutzer registrierten E-Mail-Accounts. Die Schadsoftware verwendet
dazu ein von ihr selbst installiertes Programm (eine sogenannte
'SMTPEngine'), welches seine Arbeit im Hintergrund und vom Benutzer
unbemerkt verrichtet.
- Massenmail-Versender (Spammer) können unbemerkt auf Ihren Rechner
zugreifen und die Internetverbindung für die Verbreitung von
Werbe-E-Mails in großer Anzahl benutzen. Spammer nutzen dafür die
SMTP-Engine der Schadsoftware oder installieren und steuern über die im
PC-Betriebssystem geöffneten Hintertüren eigene Programme.
- In Ihrem Adressbuch und anderen Dateien gespeicherten E-Mail-Adressen
können in die Hände von E-Mail-Massenversendern geraten und zur
Belästigung durch unerwünschte Werbung (Spam) führen.
- Schadsoftware kann Portscans ausführen, um nach anderen Rechnern mit
Sicherheitslücken zu suchen und diese dann ebenfalls anzugreifen.
- Der Rechner kann für Angriffe gegen Server (z. B. sogenannte
'DoS-Attacken') genutzt werden.

Bei jeder Datenübertragung im Internet wird auch die bei der Einwahl
zugewiesene und dem Zugang zugeordnete IPAdresse übermittelt. Wenn Sie
von uns über einen von Ihrem Zugang ausgehenden und nicht von Ihnen
selbst bzw. ohne Ihr Wissen verursachten Netzmissbrauch benachrichtigt
werden, sollten Sie auch im eigenen Interesse sofort Gegenmaßnahmen
ergreifen und das Sicherheitsproblem beheben:

Unter www.t-online.de/sicherheitscheck bieten wir Ihnen einen
kostenlosen Sicherheits-Check. Bitte beachten Sie dort auch die
Hinweise unter "Hilfe". Werden Infektionen oder Sicherheitslücken
gefunden, folgen Sie bitte unseren Hinweisen unter Punkt [1] dieses
Schreibens. Greifen über ein Netzwerk oder einen Router mehrere Rechner
auf Ihren Internetzugang zu, prüfen Sie bitte jeden dieser Rechner
einzeln, wobei jeweils eine direkte Interneteinwahl hergestellt werden
muss. Zuvor sollten die einzelnen Rechner vom Netzwerk getrennt (bzw.
ausgeschaltet) werden.

Sollten Sie den Sicherheits-Check online aus technischen Gründen nicht
ausführen können, scannen Sie bitte alle Datenträger Ihres Rechners mit
einem aktuellen Virenscanner. Stellen Sie dazu bitte sicher, dass die
Virensignaturen nach Anleitung des Herstellers aktualisiert wurden. Sie
können beispielsweise AntiVir, eine für den privaten Gebrauch
kostenlose Antiviren-Software des Herstellers Avira, unter
www.free-av.de herunterladen.

Prüfen Sie bitte auch, ob Ihre Zugangsdaten von Dritten ohne Ihre
Kenntnis verwendet werden könnten. Beachten Sie dazu bitte Punkt [2]
dieses Schreibens. Eine weitere Ursache für unbefugte Zugriffe ist oft
auch die "Datei- und Druckerfreigabe" des Betriebssystems. Unter [3]
beschreiben wir, wie Sie diese deaktivieren können.

Falls Sie einen Proxy-Server, Router oder privaten Mailserver
betreiben, beachten Sie bitte besonders auch die Hinweise unter [4] und
[5], sowie [6], falls Sie einen WLAN-Router betreiben.

Wenn ein Fremdzugriff auf einen Rechner stattgefunden hat, ist es
manchmal leider unumgänglich, das Betriebssystem vollständig neu zu
installieren, da einige der durch Schadsoftware oder Eindringlinge
vorgenommen Manipulationen nur mit Expertenwissen zu finden sind und
nicht mit einfachen Mitteln entfernt werden können. Wir raten Ihnen, in
einem solchen Fall einen Fachmann hinzuzuziehen.

Wir bitten um Verständnis, dass wir für Fremdsoftware und
Betriebssysteme selbst keine Unterstützung anbieten können. Wenden Sie
sich bei technischen Fragen bitte an den Produkt-Support des
Herstellers.

Nützliche Informationsquellen zum Thema Sicherheit haben wir unter
Punkt [7] zusammengefasst. Hinweise zur Vorbeugung,
Hintergrundinformationen und unsere Kontakt-Seite finden Sie online
unter: www.t-online.de/abuse Erläuterungen, Informationen und Hinweise:

[1] Sie haben einen Virus, Wurm oder ein Trojanisches Pferd auf Ihrem
Rechner installiert und es wurden "Hintertüren" (Backdoors) geöffnet.
Grundsätzlich sollten Sie besser niemals Software oder Dateien aus
unsicheren bzw. unbekannten Quellen verwenden. Falls Sie unerwartete
E-Mails erhalten, öffnen Sie keinesfalls darin enthaltene Dateianhänge
und ignorieren Sie auch Links in solchen Mails; selbst dann, wenn Ihnen
der Absender vertraut ist, denn auch Bekannte könnten von einem Virus
betroffen sein. Um Viren und anderen Schädlingen wirksam zu begegnen,
bieten wir Ihnen unter www.t-online.de/sicherheit ein Sicherheitspaket
an, welches die mehrfach ausgezeichnete Virenschutz-Software Norton 360
Version 2.0 und die Dialerschutz Software enthält.

[2] Ihre Zugangsdaten (Anschlusskennung und persönliches Kennwort)
sollten Sie stets unter Verschluss halten und unter keinen Umständen an
Dritte weitergeben. Neue Zugangsdaten können Sie ganz einfach
schriftlich mit dem Formular:
ftp://software.t-online.de/pub/service/pdf/neue_tonline_zugangsdaten.pdf
anfordern. Die Vergabe neuer Zugangsdaten und der Versand sind
kostenfrei. Ihr persönliches Zugangskennwort können Sie im Kundencenter
unter www.t-online.de/kundencenter jederzeit ändern. Bei Fragen hilft
Ihnen unser Kundenservice gerne weiter: www.t-online.de/kontakt

[3] Ist die "Datei- und Druckerfreigabe" in Windows aktiviert, so sind
die Daten Ihrer Laufwerke eventuell für fremde Zugriffe weltweit
freigegeben. Diese Freigabe sollte deaktiviert bzw. gegen
unberechtigten Zugriff geschützt werden. Hilfe zur Konfiguration finden
Sie in der Windows-Hilfe ("Start" > "Hilfe"), indem Sie dort einfach
nach "Datei- und Druckerfreigabe deaktivieren" suchen. Ändern Sie
anschließend bitte vorsorglich Ihr Zugangskennwort und fordern Sie ggf.
neue Zugangsdaten wie unter [2] beschrieben an.

[4] Bei Fehlkonfiguration eines Proxy-Servers oder Routers können
Dritte unter Umständen Ihr System als Gateway nutzen und mit Ihrer
Identität auf die Proxy-Server zugreifen. Bitte installieren und
konfigurieren Sie grundsätzlich keine sicherheitskritische Software,
bevor Sie deren Dokumentation nicht vollständig gelesen und verstanden
haben.

Berücksichtigen Sie bitte auch, dass Software oft fehlerbehaftet sein
kann, besondere Kenntnisse zur Konfiguration notwendig sind und ggf.
von den Herstellern herausgegebene Patches oder Updates regelmäßig
installiert werden müssen.

[5] Betreiben Sie einen privaten Mailserver oder Mailproxy, stellen Sie
bitte sicher, dass Dritte nicht unberechtigt E-Mails über diesen Server
versenden können. Nähere Angaben zur Konfiguration finden Sie in der
Dokumentation und in FAQs zur Software. Beachten Sie bitte auch die
Hinweise unter [4].

[6] Beim Betrieb eines WLAN-Routers ist eine Fehlkonfiguration des
Accesspoints eine nahe liegende Ursache für unbefugte Zugriffe auf
Ihren Rechner. Konfigurieren Sie Ihren Router in jedem Fall so, dass
Dritte nicht von außen auf Ihr System und Ihre Internetverbindung
zugreifen können. Details hierzu finden Sie gewöhnlich in der
Produkt-Hilfe ("F1-Taste"), im Handbuch und den Internetseiten des
Herstellers, sowie auf unseren Service-Seiten zum Thema WLAN unter
http://service.t-online.de/c/16/06/37/14/16063714.html

Für einen sicheren Betrieb sind folgende Einstellungen erforderlich:

* SSID unterdrücken
* WEP / WPA Verschlüsselung aktivieren
* nur eigene MAC-Adressen zulassen
* Router Zugang mit eigenem Passwort sichern

[7] Weitere Informationen, Hilfen und aktuelle Hinweise zum Thema
Sicherheit im Internet finden Sie unter www.t-online.de/sicherheit
sowie im Bereich "Computer" auf www.t-online.de in der Unterrubrik
"PC-Sicherheit" und z.B. auch auf den folgenden nützlichen
Informationsseiten:

www.bsi-fuer-buerger.de
www.tu-berlin.de/www/software/security.shtml
www.heise.de/security/artikel/knowhow/
www.heise.de/security/dienste/
www.microsoft.de/sicherheit/

In den Service-Foren und Newsgroups haben Sie die Möglichkeit, sich mit
anderen Kunden u. a. über Sicherheits und Konfigurationsfragen
auszutauschen. Sie erreichen die Service-Foren online unter
www.forum.t-online.de. Die Benutzung des Usenet wird unter
www.t-online.de/newsgroups ausführlich beschrieben. Dort finden Sie
auch Newsgroups, die
exklusiv Telekom Kunden vorbehalten sind.
         
ESET hat nichts gefunden.

Wie geht's weiter?

Liebe Grüße!
__________________

Alt 05.07.2009, 21:12   #4
Swisstreasure
/// Malwareteam
 
Dropper DR/Gator.1050.17 - Standard

Dropper DR/Gator.1050.17



>>
wende bitte den CCleaner an

>>
Rootkitsuche mit Gmer:

Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls GMER etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
Wenn der Scan fertig ist, drücke auf "Copy"
Füge den Text hier im Board mit "STRG + V" ein

>>
Wende Combofix an und poste das Log:

Gruss Swiss

Alt 08.07.2009, 07:49   #5
Radieschen
 
Dropper DR/Gator.1050.17 - Standard

Dropper DR/Gator.1050.17



CCleaner hatte ich schon angewendet.

Gmer hat nichts gefunden.

Combofix macht mir ehrlich gesagt etwas Angst. Deutet denn irgendetwas im hjt-file darauf hin, dass es nötig ist, Combofix anzuwenden - v.a., da ja der Rest der Programme nichts finden kann? Wie wäre es, ein oder zwei Wochen zu warten, mich dann mit der Telekom in Verbindung zu setzen, und zu sehen, ob immer noch spam über meinen account versendet wird?


Alt 08.07.2009, 10:38   #6
Swisstreasure
/// Malwareteam
 
Dropper DR/Gator.1050.17 - Standard

Dropper DR/Gator.1050.17



Das Problem ist halt wenn Du teil eines Botnetzes bist... Nimm mal Kontakt mit der Telekom auf und schau was die sagen.

Du kannst auch noch zur Sicherheit mit Superantispyware scannen.

Gruss Swiss

Antwort

Themen zu Dropper DR/Gator.1050.17
adobe, anschluss, avira, bho, dateien, disabled.securitycenter, dll, excel, explorer, firefox, flash player, format, hkus\s-1-5-18, internet, internet explorer, internet explorer 8, launch, malwarebytes, messenger, microsoft, mp3, plug-in, programme, registrierungsschlüssel, rundll, security, software, spam, system, usb, windows internet, windows internet explorer, windows xp




Ähnliche Themen: Dropper DR/Gator.1050.17


  1. Gain.Gator und Probleme mit Firefox (fvd.kallout.com)
    Plagegeister aller Art und deren Bekämpfung - 08.06.2011 (15)
  2. Spyware (grokster, gator ua.) nach escan entfernen:
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (2)
  3. Gain.gator und Possible Fujack-type Worm gefunden.
    Plagegeister aller Art und deren Bekämpfung - 30.08.2007 (2)
  4. Win32.Gator ist nicht desinfizierbar
    Plagegeister aller Art und deren Bekämpfung - 19.06.2007 (6)
  5. gator ??
    Log-Analyse und Auswertung - 24.12.2006 (5)
  6. gain.gator und konsorten
    Plagegeister aller Art und deren Bekämpfung - 07.08.2006 (2)
  7. kriege gain gator nicht weg
    Plagegeister aller Art und deren Bekämpfung - 04.02.2006 (1)
  8. Gator Virus. Bitte Log auswerten, danke!
    Log-Analyse und Auswertung - 28.10.2005 (3)
  9. Adware.Gator.A erkannt, aber nicht entfernt...???
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (2)
  10. gator und co
    Plagegeister aller Art und deren Bekämpfung - 19.02.2005 (4)
  11. AdWare.Gator.6041
    Antiviren-, Firewall- und andere Schutzprogramme - 17.02.2005 (2)
  12. Aware.gator ist nicht zu beheben!
    Plagegeister aller Art und deren Bekämpfung - 04.02.2005 (11)
  13. Adware Gator HILFE
    Plagegeister aller Art und deren Bekämpfung - 10.12.2004 (1)
  14. Gator
    Plagegeister aller Art und deren Bekämpfung - 19.10.2004 (3)
  15. Unbekannte Prozesse (neben Gator)
    Log-Analyse und Auswertung - 18.09.2004 (1)
  16. Cydoor / Gator / Mybar
    Plagegeister aller Art und deren Bekämpfung - 22.08.2004 (1)
  17. Gator - alle Manuals versagen bisher
    Plagegeister aller Art und deren Bekämpfung - 20.06.2004 (0)

Zum Thema Dropper DR/Gator.1050.17 - Hallo zusammen! Bekam von t-online eine mail, dass über meinen Anschluss spam versendet werde. Malwarebytes fand einen Dropper DR/Gator.1050.17, den ich in meiner Panik gelöscht habe, so dass er im - Dropper DR/Gator.1050.17...
Archiv
Du betrachtest: Dropper DR/Gator.1050.17 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.