|
Plagegeister aller Art und deren Bekämpfung: Scheinbarer Spambot - bin ratlos!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.05.2010, 15:07 | #1 |
| Scheinbarer Spambot - bin ratlos! Hallo Ich bin neu im Forum und hab direkt mal ein unschönes Problem. Auf meinem Rechner läuft scheinbar ein Spambot, der permanent Daten verschickt. Aufgefallen ist mir das über PeerGuardian2, das bei mir mir permanent mitläuft und alle Verbindungen anzeigt und ggf. blockt. Dort fallen mir seit heute Vormittag unzählige (das Fenster rattert wie Tetris auf Level 200) Verbindungen zu SMTP-Servern auf Port 25 auf. Teilweise gibt es auch Rückmeldungen von den Servern. Dabei gibt es Verbindungen zum Googlemail-Server als auch zu unzähligen Servern diverser internationaler Universitäten. Der jeweilige Port steigt dabei übrigens bei jeder Verbindung um 1. Mittlerweile ist es bei 30566 angekommen. Im Taskmanager laufen keine suspekten Programme. Ich kann alles zuordnen. HijackThis zeigt (meiner Meinung nach) keinerlei Auffälligkeiten. Dennoch hier einmal das Log: --- Logfile of HijackThis v1.99.1 Scan saved at 16:01:19, on 11.05.2010 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\TVgenial\TVgenial.exe C:\Programme\Rainlendar\Rainlendar.exe C:\WINDOWS\System32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UTSCSI.EXE C:\Programme\Winamp\winamp.exe C:\Programme\QIP\qip.exe C:\Programme\PeerGuardian2\pg2.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\k9v1\K9.exe C:\Programme\Outlook Express\msimn.exe D:\Downloads\Programme\HiJackThis\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Startup: Verknüpfung mit K9.lnk = C:\Programme\k9v1\K9.exe O4 - Global Startup: PeerGuardian.lnk = C:\Programme\PeerGuardian2\pg2.exe O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253106379484 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D018CAFF-DABE-4ACD-9A09-446744D698B5}: NameServer = 192.168.6.1,85.214.73.63 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\System32\UTSCSI.EXE --- Spybot Search&Destroy hat ein "Win32.Agent.pz" entdeckt, allerdings nur einen einzigen Registry-Eintrag gelöscht. Das Problem besteht auch weiterhin. Andere Anti-Virus oder Anti-Malware-Tools finden überhaupt nichts. Gibt es Ideen oder Tipps, was ich machen könnte? =/ Ich bin grade relativ ratlos und etwas genervt Danke |
11.05.2010, 15:14 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos! Hallo und
__________________Zitat:
Wieso hat das XP noch keine Updates gesehen? Nichtmal SP1!
__________________ |
11.05.2010, 15:18 | #3 | |
| Scheinbarer Spambot - bin ratlos!Zitat:
Hätte auch noch eine Lizenz für Win7 hier, das will ich dem 1GB-RAM-Rechner aber ungern antun. Zudem das Ding hier eigentlich nur noch steht und einfach nur funktionieren soll. |
11.05.2010, 15:18 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos! bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2010, 15:32 | #5 |
| Scheinbarer Spambot - bin ratlos! Malwarebytes hab ich heute schon 2x scannen lassen, beide Male ohne Ergebnis. Hier das Log vom letzten Scan: --- Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3289 Windows 5.1.2600 Internet Explorer 6.0.2600.0000 11.05.2010 15:51:44 mbam-log-2010-05-11 (15-51-44).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 106534 Laufzeit: 6 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) --- OTL kannte ich nicht. Ich lass es mal laufen. Ääähm. Die OTL.txt Logfile ist wirklich SEHR lang. Soll ich die komplett einfügen?! Oder meintest Du, dass ich "Use SafeList" nur bei "Extra Registry" aktivieren soll? Es war standardmässig schon bei allen Optionen aktiviert. Dementsprechend wurden da scheinbar auch eine ganze Menge Dateien gescannt. |
11.05.2010, 15:34 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos!Zitat:
Malwarebytes muss in Version 1.46 und die Datenbank in Version 4090 sein! Außerdem wollte ich einen Vollscan haben (zur Erinnerung)
__________________ --> Scheinbarer Spambot - bin ratlos! |
11.05.2010, 16:12 | #7 |
| Scheinbarer Spambot - bin ratlos! Aye! Sorry Hab jetzt mal einen Komplettscan mit Malwarebytes in der aktuellsten Version durchgeführt. Hat 4 Objekte gefunden die anscheinend zu einem Rootkit gehören, das passt ja. Konnte nur nicht alles löschen. Ich werd noch berichten, wie es nach dem Reboot aussieht. Danke! --- Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4090 Windows 5.1.2600 Internet Explorer 6.0.2600.0000 11.05.2010 17:10:15 mbam-log-2010-05-11 (17-10-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 165124 Laufzeit: 26 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\kronelgi.sys (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully. --- |
11.05.2010, 16:17 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos! Ehrlich gesagt würde ich so einen Rechner mit diesem niedrigem Patchstand (kein Servicepack!!) nicht mehr bereinigen. Aber wenn Du es unbedingt willst, auf Deine Verantwortung: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2010, 16:31 | #9 |
| Scheinbarer Spambot - bin ratlos! Also Malwarebytes hat es nicht geschafft die im oberen Log erwähnte Datei "kronelgi" nach dem Reboot zu löschen. Auch mit Killbox hatte ich keinen Erfolg. Combofix hab ich vor einigen Tagen bei einer Infektion schon ausgeführt - erst danach ist das Problem mit dem Rootkit/Spambot aufgetreten =/ Ich kann es aber auch noch einmal ausprobieren. Vernünftig ist es sicherlich nicht, das olle System noch zu "retten". Aber ich bin zur Zeit ehrlich gesagt nicht sonderlich motiviert, meine kompletten Dateien von C: zu sichern (jaa, ich bin schrecklich: keine aktuellen Updates, kein Backup... ) und mich hinzusetzen um Windows (und alles was das so mit sich zieht) neu aufzusetzen. |
11.05.2010, 16:55 | #10 |
| Scheinbarer Spambot - bin ratlos! Also auch Combofix hat nichts gebracht =/ Hat das Rootkit anscheinend nichtmal entdeckt. Trotzdem hier das Log: --- ComboFix 10-05-10.04 - F............ 11.05.2010 17:39:23.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.592 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\F............\Desktop\cofi.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-04-11 bis 2010-05-11 )))))))))))))))))))))))))))))) . 2010-05-11 13:45 . 2010-05-11 13:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2010-05-11 13:27 . 2010-05-11 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader 2010-05-09 18:13 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll 2010-05-09 18:13 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll 2010-05-09 18:13 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll 2010-05-09 18:13 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll 2010-05-09 16:19 . 2010-05-11 07:09 -------- d-----w- c:\programme\a-squared Anti-Malware 2010-05-06 10:13 . 2010-05-06 10:12 159744 ----a-w- c:\windows\Etipua.exe 2010-05-06 10:13 . 2010-05-11 15:42 823808 ----a-w- c:\windows\system32\drivers\kronelgi.sys 2010-05-06 10:02 . 2010-05-06 10:02 -------- d-----w- c:\programme\VOB 2010-05-06 10:02 . 2002-09-26 15:34 153088 ----a-w- c:\windows\system32\IWUninstall.exe 2010-05-06 10:02 . 2002-08-28 09:09 611840 ----a-w- c:\windows\system32\vobhw.dll 2010-05-06 10:02 . 2002-04-17 18:27 11264 ----a-w- c:\windows\system32\drivers\asapi.sys 2010-05-06 10:02 . 2000-04-27 10:31 19456 ----a-w- c:\windows\system32\asapi.dll 2010-04-20 09:10 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll 2010-04-20 09:07 . 2001-08-17 12:03 50688 ----a-w- c:\windows\system32\drivers\usbhub.sys 2010-04-20 09:07 . 2001-08-17 12:03 4736 ----a-w- c:\windows\system32\drivers\usbd.sys 2010-04-20 09:06 . 2010-04-20 09:06 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys 2010-04-20 09:06 . 2010-04-20 09:06 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll 2010-04-20 09:06 . 2010-04-20 09:06 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys 2010-04-20 09:06 . 2010-04-20 09:06 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys 2010-04-20 09:04 . 2010-04-20 12:30 -------- d-----w- c:\programme\Sony Ericsson . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-11 15:33 . 2006-08-23 09:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-05-11 15:24 . 2006-11-09 11:21 -------- d-----w- c:\programme\PeerGuardian2 2010-05-11 15:13 . 2009-07-02 09:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-05-11 08:41 . 2010-01-20 16:53 -------- d-----w- c:\programme\a-squared Free 2010-05-10 16:35 . 2009-01-28 09:10 -------- d-----w- c:\programme\Zattoo 2010-05-10 16:35 . 2006-04-20 21:06 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-05-10 16:35 . 2007-10-05 16:34 -------- d-----w- c:\programme\Gabest 2010-05-10 16:33 . 2009-05-08 12:27 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Move Networks 2010-05-10 16:33 . 2008-08-16 12:30 -------- d-----w- c:\programme\IrfanView 2010-05-10 16:33 . 2009-08-28 12:56 -------- d-----w- c:\programme\Free FLV Converter 2010-05-10 16:32 . 2009-04-01 18:06 -------- d-----w- c:\programme\Digitale Bibliothek (Symbole) 2010-05-10 09:28 . 2010-02-10 22:16 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Skype 2010-05-09 18:45 . 2001-08-18 10:00 70580 ----a-w- c:\windows\system32\perfc007.dat 2010-05-09 18:45 . 2001-08-18 10:00 405118 ----a-w- c:\windows\system32\perfh007.dat 2010-05-09 18:28 . 2006-05-03 12:04 3888 ----a-w- c:\windows\system32\drivers\NTHANDLE.SYS 2010-05-06 09:58 . 2006-11-09 11:08 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Azureus 2010-04-29 10:19 . 2009-07-02 09:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 10:19 . 2009-07-02 09:20 19288 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-20 12:32 . 2007-07-11 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf 2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf 2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf 2010-03-06 12:01 . 2006-10-02 14:45 38760 ----a-w- c:\dokumente und einstellungen\F............\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((( SnapShot@2010-05-09_18.44.52 ))))))))))))))))))))))))))))))))))))))))) . - 2001-08-18 10:00 . 2010-03-28 09:02 58596 c:\windows\system32\perfc009.dat + 2001-08-18 10:00 . 2010-05-09 18:45 58596 c:\windows\system32\perfc009.dat + 2006-04-20 20:52 . 2010-05-11 15:37 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2006-04-20 20:52 . 2010-05-09 18:44 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2010-05-09 18:45 . 2010-05-11 15:37 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2006-04-20 20:52 . 2010-05-11 15:37 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat - 2006-04-20 20:52 . 2010-05-09 18:44 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat + 2001-08-18 10:00 . 2010-05-09 18:45 392296 c:\windows\system32\perfh009.dat - 2001-08-18 10:00 . 2010-03-28 09:02 392296 c:\windows\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TVgenial"="c:\programme\TVgenial\TVgenial.exe" [2006-04-24 875520] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MBM 5"="c:\programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944] "NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312] c:\dokumente und einstellungen\F............\Startmen\Programme\Autostart\ Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2005-10-23 118784] Verknpfung mit K9.lnk - c:\programme\k9v1\K9.exe [2006-8-2 82944] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ PeerGuardian.lnk - c:\programme\PeerGuardian2\pg2.exe [2006-11-9 1421824] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lannui.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^F............^Startmenü^Programme^Autostart^Eurobarre.lnk] backup=c:\windows\pss\Eurobarre.lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"= R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [30.08.2006 18:03 5248] R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.05.2010 12:02 11264] R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [18.04.2007 16:52 110304] R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [20.01.2010 21:09 46080] R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [20.01.2010 21:09 56960] R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [20.04.2010 11:06 27632] S0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [30.08.2006 18:03 159616] S1 lannui;LAN MSFW adapter;\??\c:\windows\System32\lannui.sys --> c:\windows\System32\lannui.sys [?] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.09.2009 16:57 133104] S2 lanmui;LAN FW adapter;\??\c:\windows\System32\lannui.sys --> c:\windows\System32\lannui.sys [?] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.04.2010 11:06 13224] S3 mdxgthkn;mdxgthkn;\??\c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys --> c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys [?] S3 PZOVALNZSETJHWQN;PZOVALNZSETJHWQN;c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe --> c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe [?] S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02.11.2007 11:47 83496] S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [02.11.2007 10:47 15016] S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [02.11.2007 10:47 109992] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - kronelgi . Inhalt des "geplante Tasks" Ordners 2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57] 2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 4.00\AMVConverter\grab.html IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.00\MediaManager\grab.html TCP: {D018CAFF-DABE-4ACD-9A09-446744D698B5} = 192.168.6.1,85.214.73.63 DPF: Microsoft XML Parser for Java FF - ProfilePath - c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.startup.homepage - hxxp://www.asw.fh-dortmund.de/main/schwarzesbrett.htm FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll FF - plugin: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-05-11 17:42 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kronelgi] . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1140) c:\windows\system32\ODBC32.dll c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(1196) c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\system32\Dssenh.dll . Zeit der Fertigstellung: 2010-05-11 17:44:16 ComboFix-quarantined-files.txt 2010-05-11 15:44 ComboFix2.txt 2010-05-09 18:48 Vor Suchlauf: 298.561.536 Bytes frei Nach Suchlauf: 271.216.640 Bytes frei - - End Of File - - F535CE141956098A29152DD5FF0F7EEF |
11.05.2010, 17:40 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos! Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter http://www.trojaner-board.de/85991-scheinbarer-spambot-bin-ratlos.html Collect:: c:\windows\Etipua.exe c:\windows\system32\drivers\kronelgi.sys c:\windows\system32\drivers\lannui.sys c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lannui.sys] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kronelgi] Driver:: PZOVALNZSETJHWQN lannui lanmui mdxgthkn 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2010, 17:59 | #12 |
| Scheinbarer Spambot - bin ratlos! Hi, Danke Habs in der Zwischenzeit etwas anders gelöst. Über NTFS4DOS hab ich die kronelgi gelöscht, die restlichen Registry-Einträge hab ich grade "von Hand" gelöscht. Nichts mehr los auf Port 25, wunderbar Danke an alle! PS: Ja, ich werd definitiv in nächster Zeit auf ein sauberes, aktuelleres System umsteigen Mal sehen ob ich dem Rechner mit 1GB RAM wirklich Win7 antue oder ob es XP SP3 oder Win 2003 wird |
11.05.2010, 18:01 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos! Bitte lass noch das Script durchlaufen weil Du damit auch der Weiterentwicklung von CF hilfst...
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2010, 18:28 | #14 |
| Scheinbarer Spambot - bin ratlos! Hab ich getan Ist das normal, dass sich die Scriptdatei danach löscht? Interessehalber: Inwiefern helfe ich damit der Weiterentwicklung? Log: --- ComboFix 10-05-10.05 - Fxxxxxx 11.05.2010 19:13:52.3.1 - x86 Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.572 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Fxxxxxx\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Fxxxxxx\Desktop\CFScript.txt . Die folgenden Dateien wurden während des Laufs deaktiviert: c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_LANMUI -------\Legacy_LANNUI -------\Legacy_MDXGTHKN -------\Legacy_PZOVALNZSETJHWQN -------\Service_lanmui -------\Service_lannui -------\Service_mdxgthkn -------\Service_PZOVALNZSETJHWQN ((((((((((((((((((((((( Dateien erstellt von 2010-04-11 bis 2010-05-11 )))))))))))))))))))))))))))))) . 2010-05-11 16:05 . 2010-05-11 16:05 -------- d-----w- c:\programme\Avira 2010-05-11 13:45 . 2010-05-11 13:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2010-05-11 13:27 . 2010-05-11 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader 2010-05-09 18:13 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll 2010-05-09 18:13 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll 2010-05-09 18:13 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll 2010-05-09 18:13 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll 2010-05-09 16:19 . 2010-05-11 07:09 -------- d-----w- c:\programme\a-squared Anti-Malware 2010-05-06 10:02 . 2010-05-06 10:02 -------- d-----w- c:\programme\VOB 2010-05-06 10:02 . 2002-09-26 15:34 153088 ----a-w- c:\windows\system32\IWUninstall.exe 2010-05-06 10:02 . 2002-08-28 09:09 611840 ----a-w- c:\windows\system32\vobhw.dll 2010-05-06 10:02 . 2002-04-17 18:27 11264 ----a-w- c:\windows\system32\drivers\asapi.sys 2010-05-06 10:02 . 2000-04-27 10:31 19456 ----a-w- c:\windows\system32\asapi.dll 2010-04-20 09:10 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll 2010-04-20 09:07 . 2001-08-17 12:03 50688 ----a-w- c:\windows\system32\drivers\usbhub.sys 2010-04-20 09:07 . 2001-08-17 12:03 4736 ----a-w- c:\windows\system32\drivers\usbd.sys 2010-04-20 09:06 . 2010-04-20 09:06 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys 2010-04-20 09:06 . 2010-04-20 09:06 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll 2010-04-20 09:06 . 2010-04-20 09:06 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys 2010-04-20 09:06 . 2010-04-20 09:06 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys 2010-04-20 09:04 . 2010-04-20 12:30 -------- d-----w- c:\programme\Sony Ericsson . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-11 16:49 . 2006-11-09 11:21 -------- d-----w- c:\programme\PeerGuardian2 2010-05-11 15:54 . 2006-05-03 12:04 3888 ----a-w- c:\windows\system32\drivers\NTHANDLE.SYS 2010-05-11 15:33 . 2006-08-23 09:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-05-11 15:13 . 2009-07-02 09:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-05-11 08:41 . 2010-01-20 16:53 -------- d-----w- c:\programme\a-squared Free 2010-05-10 16:35 . 2009-01-28 09:10 -------- d-----w- c:\programme\Zattoo 2010-05-10 16:35 . 2006-04-20 21:06 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-05-10 16:35 . 2007-10-05 16:34 -------- d-----w- c:\programme\Gabest 2010-05-10 16:33 . 2009-05-08 12:27 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Move Networks 2010-05-10 16:33 . 2008-08-16 12:30 -------- d-----w- c:\programme\IrfanView 2010-05-10 16:33 . 2009-08-28 12:56 -------- d-----w- c:\programme\Free FLV Converter 2010-05-10 16:32 . 2009-04-01 18:06 -------- d-----w- c:\programme\Digitale Bibliothek (Symbole) 2010-05-10 09:28 . 2010-02-10 22:16 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Skype 2010-05-09 18:45 . 2001-08-18 10:00 70580 ----a-w- c:\windows\system32\perfc007.dat 2010-05-09 18:45 . 2001-08-18 10:00 405118 ----a-w- c:\windows\system32\perfh007.dat 2010-05-06 09:58 . 2006-11-09 11:08 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Azureus 2010-04-29 10:19 . 2009-07-02 09:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 10:19 . 2009-07-02 09:20 19288 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-20 12:32 . 2007-07-11 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf 2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf 2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf 2010-03-06 12:01 . 2006-10-02 14:45 38760 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((( SnapShot@2010-05-09_18.44.52 ))))))))))))))))))))))))))))))))))))))))) . - 2001-08-18 10:00 . 2010-03-28 09:02 58596 c:\windows\system32\perfc009.dat + 2001-08-18 10:00 . 2010-05-09 18:45 58596 c:\windows\system32\perfc009.dat + 2006-04-20 20:52 . 2010-05-11 17:19 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2006-04-20 20:52 . 2010-05-09 18:44 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2010-05-09 18:45 . 2010-05-11 17:19 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2006-04-20 20:52 . 2010-05-11 17:19 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat - 2006-04-20 20:52 . 2010-05-09 18:44 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat + 2001-08-18 10:00 . 2010-05-09 18:45 392296 c:\windows\system32\perfh009.dat - 2001-08-18 10:00 . 2010-03-28 09:02 392296 c:\windows\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TVgenial"="c:\programme\TVgenial\TVgenial.exe" [2006-04-24 875520] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MBM 5"="c:\programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944] "NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312] c:\dokumente und einstellungen\Fxxxxxx\Startmen\Programme\Autostart\ Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2005-10-23 118784] Verknpfung mit K9.lnk - c:\programme\k9v1\K9.exe [2006-8-2 82944] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ PeerGuardian.lnk - c:\programme\PeerGuardian2\pg2.exe [2006-11-9 1421824] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fxxxxxx^Startmenü^Programme^Autostart^Eurobarre.lnk] backup=c:\windows\pss\Eurobarre.lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"= R0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [30.08.2006 18:03 159616] R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [30.08.2006 18:03 5248] R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.05.2010 12:02 11264] R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [18.04.2007 16:52 110304] R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [20.01.2010 21:09 46080] R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [20.01.2010 21:09 56960] R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [20.04.2010 11:06 27632] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.09.2009 16:57 133104] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.04.2010 11:06 13224] S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02.11.2007 11:47 83496] S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [02.11.2007 10:47 15016] S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [02.11.2007 10:47 109992] . Inhalt des "geplante Tasks" Ordners 2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57] 2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 4.00\AMVConverter\grab.html IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.00\MediaManager\grab.html TCP: {D018CAFF-DABE-4ACD-9A09-446744D698B5} = 192.168.6.1,85.214.73.63 DPF: Microsoft XML Parser for Java FF - ProfilePath - c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.startup.homepage - hxxp://www.asw.fh-dortmund.de/main/schwarzesbrett.htm FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll FF - plugin: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-05-11 19:20 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85EECD68]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7880fd7 \Driver\ACPI -> ACPI.sys @ 0xf77c072e \Driver\atapi -> atapi.sys @ 0xf776704a IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8054af41 ParseProcedure -> ntoskrnl.exe @ 0x80574176 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8054af41 ParseProcedure -> ntoskrnl.exe @ 0x80574176 NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7677ef4 PacketIndicateHandler -> NDIS.sys @ 0xf7684140 SendHandler -> NDIS.sys @ 0xf7666bfe user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1164) c:\windows\system32\ODBC32.dll c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(1220) c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\system32\Dssenh.dll - - - - - - - > 'explorer.exe'(5284) c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll c:\windows\system32\WS2_32.dll c:\windows\system32\WS2HELP.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe c:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe c:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\windows\System32\PnkBstrA.exe c:\windows\System32\wdfmgr.exe c:\windows\System32\UTSCSI.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-05-11 19:23:20 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-05-11 17:23 ComboFix2.txt 2010-05-11 15:44 ComboFix3.txt 2010-05-09 18:48 Vor Suchlauf: 262.373.376 Bytes frei Nach Suchlauf: 235.810.816 Bytes frei - - End Of File - - 80F0A0151FD6D5C67E1D709226F190FD --- |
11.05.2010, 18:39 | #15 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Scheinbarer Spambot - bin ratlos!Zitat:
Zitat:
Probier jetzt mal bitte Durchgänge mit GMER und OSAM
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Scheinbarer Spambot - bin ratlos! |
ad-aware, dateien, explorer, firefox, forum, gupdate, hotkey, internet, internet explorer, log, microsoft, monitor, mozilla, mp3, neu, nvidia, outlook express, port, ratlos, software, spambot, system, system32, taskmanager, tetris, win32.agent.pz, windows, windows xp |