Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Scheinbarer Spambot - bin ratlos!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.05.2010, 15:07   #1
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Hallo

Ich bin neu im Forum und hab direkt mal ein unschönes Problem. Auf meinem Rechner läuft scheinbar ein Spambot, der permanent Daten verschickt. Aufgefallen ist mir das über PeerGuardian2, das bei mir mir permanent mitläuft und alle Verbindungen anzeigt und ggf. blockt. Dort fallen mir seit heute Vormittag unzählige (das Fenster rattert wie Tetris auf Level 200) Verbindungen zu SMTP-Servern auf Port 25 auf. Teilweise gibt es auch Rückmeldungen von den Servern. Dabei gibt es Verbindungen zum Googlemail-Server als auch zu unzähligen Servern diverser internationaler Universitäten.
Der jeweilige Port steigt dabei übrigens bei jeder Verbindung um 1. Mittlerweile ist es bei 30566 angekommen.

Im Taskmanager laufen keine suspekten Programme. Ich kann alles zuordnen.
HijackThis zeigt (meiner Meinung nach) keinerlei Auffälligkeiten. Dennoch hier einmal das Log:


---
Logfile of HijackThis v1.99.1
Scan saved at 16:01:19, on 11.05.2010
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UTSCSI.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\QIP\qip.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\k9v1\K9.exe
C:\Programme\Outlook Express\msimn.exe
D:\Downloads\Programme\HiJackThis\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Verknüpfung mit K9.lnk = C:\Programme\k9v1\K9.exe
O4 - Global Startup: PeerGuardian.lnk = C:\Programme\PeerGuardian2\pg2.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253106379484
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D018CAFF-DABE-4ACD-9A09-446744D698B5}: NameServer = 192.168.6.1,85.214.73.63
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\System32\UTSCSI.EXE

---

Spybot Search&Destroy hat ein "Win32.Agent.pz" entdeckt, allerdings nur einen einzigen Registry-Eintrag gelöscht. Das Problem besteht auch weiterhin.
Andere Anti-Virus oder Anti-Malware-Tools finden überhaupt nichts.

Gibt es Ideen oder Tipps, was ich machen könnte? =/ Ich bin grade relativ ratlos und etwas genervt
Danke

Alt 11.05.2010, 15:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Hallo und

Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Ist das Dein Ernst?
Wieso hat das XP noch keine Updates gesehen? Nichtmal SP1!
__________________

__________________

Alt 11.05.2010, 15:18   #3
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Zitat:
Zitat von cosinus Beitrag anzeigen
Hallo und
Ist das Dein Ernst?
Wieso hat das XP noch keine Updates gesehen? Nichtmal SP1!
Ja, ist es. Die Version ist glaub ich seit 2006 drauf Frag lieber nicht, wieso
Hätte auch noch eine Lizenz für Win7 hier, das will ich dem 1GB-RAM-Rechner aber ungern antun. Zudem das Ding hier eigentlich nur noch steht und einfach nur funktionieren soll.
__________________

Alt 11.05.2010, 15:18   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2010, 15:32   #5
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Malwarebytes hab ich heute schon 2x scannen lassen, beide Male ohne Ergebnis. Hier das Log vom letzten Scan:

---
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 5.1.2600
Internet Explorer 6.0.2600.0000

11.05.2010 15:51:44
mbam-log-2010-05-11 (15-51-44).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 106534
Laufzeit: 6 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
---

OTL kannte ich nicht. Ich lass es mal laufen.
Ääähm. Die OTL.txt Logfile ist wirklich SEHR lang. Soll ich die komplett einfügen?! Oder meintest Du, dass ich "Use SafeList" nur bei "Extra Registry" aktivieren soll? Es war standardmässig schon bei allen Optionen aktiviert. Dementsprechend wurden da scheinbar auch eine ganze Menge Dateien gescannt.


Alt 11.05.2010, 15:34   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Zitat:
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Mit Updates hast Du es wohl nicht so
Malwarebytes muss in Version 1.46 und die Datenbank in Version 4090 sein! Außerdem wollte ich einen Vollscan haben (zur Erinnerung)
__________________
--> Scheinbarer Spambot - bin ratlos!

Alt 11.05.2010, 16:12   #7
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Aye! Sorry

Hab jetzt mal einen Komplettscan mit Malwarebytes in der aktuellsten Version durchgeführt. Hat 4 Objekte gefunden die anscheinend zu einem Rootkit gehören, das passt ja. Konnte nur nicht alles löschen. Ich werd noch berichten, wie es nach dem Reboot aussieht.

Danke!

---
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4090

Windows 5.1.2600
Internet Explorer 6.0.2600.0000

11.05.2010 17:10:15
mbam-log-2010-05-11 (17-10-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 165124
Laufzeit: 26 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\kronelgi.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully.
---

Alt 11.05.2010, 16:17   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Ehrlich gesagt würde ich so einen Rechner mit diesem niedrigem Patchstand (kein Servicepack!!) nicht mehr bereinigen. Aber wenn Du es unbedingt willst, auf Deine Verantwortung:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2010, 16:31   #9
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Also Malwarebytes hat es nicht geschafft die im oberen Log erwähnte Datei "kronelgi" nach dem Reboot zu löschen. Auch mit Killbox hatte ich keinen Erfolg.

Combofix hab ich vor einigen Tagen bei einer Infektion schon ausgeführt - erst danach ist das Problem mit dem Rootkit/Spambot aufgetreten =/
Ich kann es aber auch noch einmal ausprobieren.

Vernünftig ist es sicherlich nicht, das olle System noch zu "retten". Aber ich bin zur Zeit ehrlich gesagt nicht sonderlich motiviert, meine kompletten Dateien von C: zu sichern (jaa, ich bin schrecklich: keine aktuellen Updates, kein Backup... ) und mich hinzusetzen um Windows (und alles was das so mit sich zieht) neu aufzusetzen.

Alt 11.05.2010, 16:55   #10
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Also auch Combofix hat nichts gebracht =/ Hat das Rootkit anscheinend nichtmal entdeckt.

Trotzdem hier das Log:
---
ComboFix 10-05-10.04 - F............ 11.05.2010 17:39:23.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\F............\Desktop\cofi.exe
.

((((((((((((((((((((((( Dateien erstellt von 2010-04-11 bis 2010-05-11 ))))))))))))))))))))))))))))))
.

2010-05-11 13:45 . 2010-05-11 13:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-11 13:27 . 2010-05-11 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-05-09 18:13 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-05-09 18:13 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-05-09 18:13 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-09 18:13 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-05-09 16:19 . 2010-05-11 07:09 -------- d-----w- c:\programme\a-squared Anti-Malware
2010-05-06 10:13 . 2010-05-06 10:12 159744 ----a-w- c:\windows\Etipua.exe
2010-05-06 10:13 . 2010-05-11 15:42 823808 ----a-w- c:\windows\system32\drivers\kronelgi.sys
2010-05-06 10:02 . 2010-05-06 10:02 -------- d-----w- c:\programme\VOB
2010-05-06 10:02 . 2002-09-26 15:34 153088 ----a-w- c:\windows\system32\IWUninstall.exe
2010-05-06 10:02 . 2002-08-28 09:09 611840 ----a-w- c:\windows\system32\vobhw.dll
2010-05-06 10:02 . 2002-04-17 18:27 11264 ----a-w- c:\windows\system32\drivers\asapi.sys
2010-05-06 10:02 . 2000-04-27 10:31 19456 ----a-w- c:\windows\system32\asapi.dll
2010-04-20 09:10 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2010-04-20 09:07 . 2001-08-17 12:03 50688 ----a-w- c:\windows\system32\drivers\usbhub.sys
2010-04-20 09:07 . 2001-08-17 12:03 4736 ----a-w- c:\windows\system32\drivers\usbd.sys
2010-04-20 09:06 . 2010-04-20 09:06 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys
2010-04-20 09:06 . 2010-04-20 09:06 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2010-04-20 09:06 . 2010-04-20 09:06 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys
2010-04-20 09:06 . 2010-04-20 09:06 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys
2010-04-20 09:04 . 2010-04-20 12:30 -------- d-----w- c:\programme\Sony Ericsson

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 15:33 . 2006-08-23 09:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-11 15:24 . 2006-11-09 11:21 -------- d-----w- c:\programme\PeerGuardian2
2010-05-11 15:13 . 2009-07-02 09:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-11 08:41 . 2010-01-20 16:53 -------- d-----w- c:\programme\a-squared Free
2010-05-10 16:35 . 2009-01-28 09:10 -------- d-----w- c:\programme\Zattoo
2010-05-10 16:35 . 2006-04-20 21:06 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-10 16:35 . 2007-10-05 16:34 -------- d-----w- c:\programme\Gabest
2010-05-10 16:33 . 2009-05-08 12:27 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Move Networks
2010-05-10 16:33 . 2008-08-16 12:30 -------- d-----w- c:\programme\IrfanView
2010-05-10 16:33 . 2009-08-28 12:56 -------- d-----w- c:\programme\Free FLV Converter
2010-05-10 16:32 . 2009-04-01 18:06 -------- d-----w- c:\programme\Digitale Bibliothek (Symbole)
2010-05-10 09:28 . 2010-02-10 22:16 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Skype
2010-05-09 18:45 . 2001-08-18 10:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2010-05-09 18:45 . 2001-08-18 10:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2010-05-09 18:28 . 2006-05-03 12:04 3888 ----a-w- c:\windows\system32\drivers\NTHANDLE.SYS
2010-05-06 09:58 . 2006-11-09 11:08 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Azureus
2010-04-29 10:19 . 2009-07-02 09:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 10:19 . 2009-07-02 09:20 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 12:32 . 2007-07-11 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2010-03-06 12:01 . 2006-10-02 14:45 38760 ----a-w- c:\dokumente und einstellungen\F............\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-05-09_18.44.52 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-18 10:00 . 2010-03-28 09:02 58596 c:\windows\system32\perfc009.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 58596 c:\windows\system32\perfc009.dat
+ 2006-04-20 20:52 . 2010-05-11 15:37 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-05-09 18:45 . 2010-05-11 15:37 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2006-04-20 20:52 . 2010-05-11 15:37 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 392296 c:\windows\system32\perfh009.dat
- 2001-08-18 10:00 . 2010-03-28 09:02 392296 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVgenial"="c:\programme\TVgenial\TVgenial.exe" [2006-04-24 875520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MBM 5"="c:\programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312]

c:\dokumente und einstellungen\F............\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2005-10-23 118784]
Verknpfung mit K9.lnk - c:\programme\k9v1\K9.exe [2006-8-2 82944]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
PeerGuardian.lnk - c:\programme\PeerGuardian2\pg2.exe [2006-11-9 1421824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lannui.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^F............^Startmenü^Programme^Autostart^Eurobarre.lnk]
backup=c:\windows\pss\Eurobarre.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=

R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [30.08.2006 18:03 5248]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.05.2010 12:02 11264]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [18.04.2007 16:52 110304]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [20.01.2010 21:09 46080]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [20.01.2010 21:09 56960]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [20.04.2010 11:06 27632]
S0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [30.08.2006 18:03 159616]
S1 lannui;LAN MSFW adapter;\??\c:\windows\System32\lannui.sys --> c:\windows\System32\lannui.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.09.2009 16:57 133104]
S2 lanmui;LAN FW adapter;\??\c:\windows\System32\lannui.sys --> c:\windows\System32\lannui.sys [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.04.2010 11:06 13224]
S3 mdxgthkn;mdxgthkn;\??\c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys --> c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys [?]
S3 PZOVALNZSETJHWQN;PZOVALNZSETJHWQN;c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe --> c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe [?]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02.11.2007 11:47 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [02.11.2007 10:47 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [02.11.2007 10:47 109992]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - kronelgi
.
Inhalt des "geplante Tasks" Ordners

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.00\MediaManager\grab.html
TCP: {D018CAFF-DABE-4ACD-9A09-446744D698B5} = 192.168.6.1,85.214.73.63
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.asw.fh-dortmund.de/main/schwarzesbrett.htm
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
FF - plugin: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-11 17:42
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kronelgi]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1140)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1196)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Dssenh.dll
.
Zeit der Fertigstellung: 2010-05-11 17:44:16
ComboFix-quarantined-files.txt 2010-05-11 15:44
ComboFix2.txt 2010-05-09 18:48

Vor Suchlauf: 298.561.536 Bytes frei
Nach Suchlauf: 271.216.640 Bytes frei

- - End Of File - - F535CE141956098A29152DD5FF0F7EEF

Alt 11.05.2010, 17:40   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/85991-scheinbarer-spambot-bin-ratlos.html

Collect::
c:\windows\Etipua.exe
c:\windows\system32\drivers\kronelgi.sys
c:\windows\system32\drivers\lannui.sys
c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys
c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lannui.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kronelgi]

Driver::
PZOVALNZSETJHWQN
lannui
lanmui
mdxgthkn
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2010, 17:59   #12
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Hi,
Danke Habs in der Zwischenzeit etwas anders gelöst. Über NTFS4DOS hab ich die kronelgi gelöscht, die restlichen Registry-Einträge hab ich grade "von Hand" gelöscht.
Nichts mehr los auf Port 25, wunderbar

Danke an alle!

PS: Ja, ich werd definitiv in nächster Zeit auf ein sauberes, aktuelleres System umsteigen Mal sehen ob ich dem Rechner mit 1GB RAM wirklich Win7 antue oder ob es XP SP3 oder Win 2003 wird

Alt 11.05.2010, 18:01   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Bitte lass noch das Script durchlaufen weil Du damit auch der Weiterentwicklung von CF hilfst...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2010, 18:28   #14
flowfish
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Hab ich getan Ist das normal, dass sich die Scriptdatei danach löscht?

Interessehalber: Inwiefern helfe ich damit der Weiterentwicklung?

Log:
---
ComboFix 10-05-10.05 - Fxxxxxx 11.05.2010 19:13:52.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.572 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Fxxxxxx\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Fxxxxxx\Desktop\CFScript.txt
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LANMUI
-------\Legacy_LANNUI
-------\Legacy_MDXGTHKN
-------\Legacy_PZOVALNZSETJHWQN
-------\Service_lanmui
-------\Service_lannui
-------\Service_mdxgthkn
-------\Service_PZOVALNZSETJHWQN


((((((((((((((((((((((( Dateien erstellt von 2010-04-11 bis 2010-05-11 ))))))))))))))))))))))))))))))
.

2010-05-11 16:05 . 2010-05-11 16:05 -------- d-----w- c:\programme\Avira
2010-05-11 13:45 . 2010-05-11 13:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-11 13:27 . 2010-05-11 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-05-09 18:13 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-05-09 18:13 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-05-09 18:13 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-09 18:13 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-05-09 16:19 . 2010-05-11 07:09 -------- d-----w- c:\programme\a-squared Anti-Malware
2010-05-06 10:02 . 2010-05-06 10:02 -------- d-----w- c:\programme\VOB
2010-05-06 10:02 . 2002-09-26 15:34 153088 ----a-w- c:\windows\system32\IWUninstall.exe
2010-05-06 10:02 . 2002-08-28 09:09 611840 ----a-w- c:\windows\system32\vobhw.dll
2010-05-06 10:02 . 2002-04-17 18:27 11264 ----a-w- c:\windows\system32\drivers\asapi.sys
2010-05-06 10:02 . 2000-04-27 10:31 19456 ----a-w- c:\windows\system32\asapi.dll
2010-04-20 09:10 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2010-04-20 09:07 . 2001-08-17 12:03 50688 ----a-w- c:\windows\system32\drivers\usbhub.sys
2010-04-20 09:07 . 2001-08-17 12:03 4736 ----a-w- c:\windows\system32\drivers\usbd.sys
2010-04-20 09:06 . 2010-04-20 09:06 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys
2010-04-20 09:06 . 2010-04-20 09:06 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2010-04-20 09:06 . 2010-04-20 09:06 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys
2010-04-20 09:06 . 2010-04-20 09:06 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys
2010-04-20 09:04 . 2010-04-20 12:30 -------- d-----w- c:\programme\Sony Ericsson

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 16:49 . 2006-11-09 11:21 -------- d-----w- c:\programme\PeerGuardian2
2010-05-11 15:54 . 2006-05-03 12:04 3888 ----a-w- c:\windows\system32\drivers\NTHANDLE.SYS
2010-05-11 15:33 . 2006-08-23 09:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-11 15:13 . 2009-07-02 09:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-11 08:41 . 2010-01-20 16:53 -------- d-----w- c:\programme\a-squared Free
2010-05-10 16:35 . 2009-01-28 09:10 -------- d-----w- c:\programme\Zattoo
2010-05-10 16:35 . 2006-04-20 21:06 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-10 16:35 . 2007-10-05 16:34 -------- d-----w- c:\programme\Gabest
2010-05-10 16:33 . 2009-05-08 12:27 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Move Networks
2010-05-10 16:33 . 2008-08-16 12:30 -------- d-----w- c:\programme\IrfanView
2010-05-10 16:33 . 2009-08-28 12:56 -------- d-----w- c:\programme\Free FLV Converter
2010-05-10 16:32 . 2009-04-01 18:06 -------- d-----w- c:\programme\Digitale Bibliothek (Symbole)
2010-05-10 09:28 . 2010-02-10 22:16 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Skype
2010-05-09 18:45 . 2001-08-18 10:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2010-05-09 18:45 . 2001-08-18 10:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2010-05-06 09:58 . 2006-11-09 11:08 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Azureus
2010-04-29 10:19 . 2009-07-02 09:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 10:19 . 2009-07-02 09:20 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 12:32 . 2007-07-11 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2010-03-06 12:01 . 2006-10-02 14:45 38760 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-05-09_18.44.52 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-18 10:00 . 2010-03-28 09:02 58596 c:\windows\system32\perfc009.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 58596 c:\windows\system32\perfc009.dat
+ 2006-04-20 20:52 . 2010-05-11 17:19 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-05-09 18:45 . 2010-05-11 17:19 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2006-04-20 20:52 . 2010-05-11 17:19 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 392296 c:\windows\system32\perfh009.dat
- 2001-08-18 10:00 . 2010-03-28 09:02 392296 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVgenial"="c:\programme\TVgenial\TVgenial.exe" [2006-04-24 875520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MBM 5"="c:\programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312]

c:\dokumente und einstellungen\Fxxxxxx\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2005-10-23 118784]
Verknpfung mit K9.lnk - c:\programme\k9v1\K9.exe [2006-8-2 82944]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
PeerGuardian.lnk - c:\programme\PeerGuardian2\pg2.exe [2006-11-9 1421824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fxxxxxx^Startmenü^Programme^Autostart^Eurobarre.lnk]
backup=c:\windows\pss\Eurobarre.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=

R0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [30.08.2006 18:03 159616]
R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [30.08.2006 18:03 5248]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.05.2010 12:02 11264]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [18.04.2007 16:52 110304]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [20.01.2010 21:09 46080]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [20.01.2010 21:09 56960]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [20.04.2010 11:06 27632]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.09.2009 16:57 133104]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.04.2010 11:06 13224]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02.11.2007 11:47 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [02.11.2007 10:47 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [02.11.2007 10:47 109992]
.
Inhalt des "geplante Tasks" Ordners

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.00\MediaManager\grab.html
TCP: {D018CAFF-DABE-4ACD-9A09-446744D698B5} = 192.168.6.1,85.214.73.63
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.asw.fh-dortmund.de/main/schwarzesbrett.htm
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
FF - plugin: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-11 19:20
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85EECD68]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7880fd7
\Driver\ACPI -> ACPI.sys @ 0xf77c072e
\Driver\atapi -> atapi.sys @ 0xf776704a
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8054af41
ParseProcedure -> ntoskrnl.exe @ 0x80574176
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8054af41
ParseProcedure -> ntoskrnl.exe @ 0x80574176
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7677ef4
PacketIndicateHandler -> NDIS.sys @ 0xf7684140
SendHandler -> NDIS.sys @ 0xf7666bfe
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1164)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1220)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Dssenh.dll

- - - - - - - > 'explorer.exe'(5284)
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
c:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\wdfmgr.exe
c:\windows\System32\UTSCSI.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-11 19:23:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-11 17:23
ComboFix2.txt 2010-05-11 15:44
ComboFix3.txt 2010-05-09 18:48

Vor Suchlauf: 262.373.376 Bytes frei
Nach Suchlauf: 235.810.816 Bytes frei

- - End Of File - - 80F0A0151FD6D5C67E1D709226F190FD

---

Alt 11.05.2010, 18:39   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scheinbarer Spambot - bin ratlos! - Standard

Scheinbarer Spambot - bin ratlos!



Zitat:
Ist das normal, dass sich die Scriptdatei danach löscht?
Bin ich jetzt ehrlich gesagt überfragt. Evtl. ist das nicht gewollt, aber an sich ist das jetzt auch irrelevant.

Zitat:
Interessehalber: Inwiefern helfe ich damit der Weiterentwicklung?
Weil man mit speziellen Scripts CF dazu auffordern kann, Dateien zu löschen und Samples davon hochzuladen, so dass diese in späteren CF-Versionen berücksichtigt und gleich im ersten Durchlauf gelöscht werden. So viel sei dazu gesagt

Probier jetzt mal bitte Durchgänge mit GMER und OSAM
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Scheinbarer Spambot - bin ratlos!
ad-aware, dateien, explorer, firefox, forum, gupdate, hotkey, internet, internet explorer, log, microsoft, monitor, mozilla, mp3, neu, nvidia, outlook express, port, ratlos, software, spambot, system, system32, taskmanager, tetris, win32.agent.pz, windows, windows xp




Ähnliche Themen: Scheinbarer Spambot - bin ratlos!


  1. Yahoo Email-Spambot
    Plagegeister aller Art und deren Bekämpfung - 26.07.2014 (9)
  2. Skype Spambot Virus
    Plagegeister aller Art und deren Bekämpfung - 29.03.2013 (11)
  3. Domäne Blacklisted (CBL,BARRACUDA) Verdacht auf Cutwail-Spambot im Netzwerk
    Plagegeister aller Art und deren Bekämpfung - 08.01.2013 (7)
  4. mobilecashmechanisms wahrscheinlich gmx Spambot - um Einschätzung wird gebeten
    Plagegeister aller Art und deren Bekämpfung - 23.11.2012 (17)
  5. Spambot Befall GMX
    Plagegeister aller Art und deren Bekämpfung - 12.05.2012 (1)
  6. Spambot PostMaster@qq.com
    Überwachung, Datenschutz und Spam - 08.03.2012 (1)
  7. Xarvester Spambot laut CBL vorhanden, aber nicht auffindbar!
    Log-Analyse und Auswertung - 12.11.2010 (15)
  8. Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?
    Log-Analyse und Auswertung - 07.07.2010 (1)
  9. Spambot im Heimnetzwerk
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (3)
  10. antivir & internet funktioniert nicht mehr trotz scheinbarer "bereinigung"
    Plagegeister aller Art und deren Bekämpfung - 22.09.2009 (5)
  11. Mein HiJackThis-Log nach scheinbarer Säuberung des PCs
    Mülltonne - 29.10.2008 (0)
  12. trojaner spambot und rootkit agent
    Plagegeister aller Art und deren Bekämpfung - 24.09.2008 (21)
  13. SpamBot
    Plagegeister aller Art und deren Bekämpfung - 09.03.2007 (8)
  14. TR & Spambot werden autom. ausm I-Net gezogen
    Plagegeister aller Art und deren Bekämpfung - 13.02.2007 (1)
  15. Spambot verteilt Links zu (angeblich) kompromittierter Seite
    Plagegeister aller Art und deren Bekämpfung - 26.10.2006 (2)
  16. Habe Problem mit Trojan.Spambot.BX
    Plagegeister aller Art und deren Bekämpfung - 06.08.2006 (11)
  17. Trojan.Spambot.Az
    Plagegeister aller Art und deren Bekämpfung - 25.04.2006 (14)

Zum Thema Scheinbarer Spambot - bin ratlos! - Hallo Ich bin neu im Forum und hab direkt mal ein unschönes Problem. Auf meinem Rechner läuft scheinbar ein Spambot, der permanent Daten verschickt. Aufgefallen ist mir das über PeerGuardian2, - Scheinbarer Spambot - bin ratlos!...
Archiv
Du betrachtest: Scheinbarer Spambot - bin ratlos! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.