nutze mal drweb cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
bitte den scan der zu beginn startet abbrechen, dann konfigurieren, und dnn den scan starten, das log kannst du, falls zu lang, hier hochladen:
File-Upload.net

Zitat:

Zitat von markusg

nutze mal drweb cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
bitte den scan der zu beginn startet abbrechen, dann konfigurieren, und dnn den scan starten, das log kannst du, falls zu lang, hier hochladen:
File-Upload.net

Soll ich es genau so konfigurieren wie da auf Paules Pc Forum?

ja genauso :-)

Zitat:

Zitat von markusg

ja genauso :-)

Es hat nichts gebracht.
Mir fiel auf, daß Fragen zu services.exe und massenhafte smtp Verbindungen hier auf dem Board schon öfter gestellt wurden, und diese dann immer versandet sind/nicht gelöst wurden
Es steht außer Frage daß es sich um einen mailbot handelt.
Da nun Combofix und Dr. Web cureit, sowie Malwarebytes versagten, und auch Du schon die für mich unverständliche Aussage zu den von mir nicht gewollten brachtest "die meisten scheinen ok", sollte man die Sache doch mal anders angehen, mit den richtigen Tools und der richtigen Betrachtungsweise des Problems, nämlich Rootkit & mailbot als Problem....denn momentan sind stest ca. 100 smtp Verbindungen am laufen...

Was meinst Du?

Hier das log
043ed9da.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\043ed9da.qua;BackDoor.IRC.Nite.60;;
043ed9da.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4e3aaca9.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4e3aaca9.qua;Trojan.Packed.20343;;
4e3aaca9.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4e7636be.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4e7636be.qua;Trojan.Packed.20343;;
4e7636be.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4e763fee.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4e763fee.qua;Trojan.Botnetlog.126;;
4e763fee.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
56ac830b.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\56ac830b.qua;Trojan.Botnetlog.126;;
56ac830b.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
585b8973.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\585b8973.qua;BackDoor.IRC.Nite.60;;
585b8973.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
HDCleaner.EXE;C:\Programme\HDCleaner;Wahrscheinlich DLOADER.PWS.Trojan;Nicht desinfizierbar.Verschoben.;
pv.exe;C:\Programme\PacificPoker;Program.PrcView.3725;Nicht desinfizierbar.Verschoben.;
BSLITEINSTALL525.exe\data016;C:\Starts\BSLITEINSTALL525.exe;Adware.SearchAid.40;;
BSLITEINSTALL525.exe;C:\Starts;Container enthält infizierte Objekte;Verschoben.;

ok, bitte trenne die internetverbindung, immer wenn du hier nicht im forum aktiev sein musst. sonst sperrt dir dein provider den zugang. besorge dir natürlich die externe festplatte.
nutze radix:
Radix Antirootkit - Download - CHIP Online
schalte alles an laufenden programmen ab, trenne die internetverbindung, auf der registerkarte 1-klick-wartung, aktiviere alles. starte den scan.
der log wird warscheinlich recht groß, lad ihn hier hoch:
File-Upload.net
und poste den download link.

Ich ließ die Internetverbindung während des scans an, da der Spamversand bzw. services.exe nur dann läuft.

Das hier fiel mir schon mal auf: kvohosz

Es wurden 2 versteckte Registry Einträge gelöscht, 1 ließ sich nicht löschen.


Aber services.exe sendet munter weiter
Vielleicht services.exe direkt löschen?
Oder den Dienst nur ausschalten

Kann ich nicht im Router Menü erst mal irgendwelche (alle?) Ports sperren, sodaß ich nur noch einfach mit dem Browser surfen kann solange, etwa mit Port 80?

Hier das log:
http://www.file-upload.net/download-...pload.txt.html

ANLEITUNG FÜR VORLÄUFIGES ABSTELLEN DER SMTP VERBINDUNGEN

Dazu habe ich mir die Sygate Firewall installiert.
-Nach Installation dem Neustart zustimmen
-Firewall fragt nach dem Hochfahren unter anderem nach Erlaubnis für servixes.exe, ABLEHNEN

Nun sendet service.exe zwar noch alle Minute SYN_SENT an http, aber es sind keine zig SMTP Verbindungen mehr pausenlos offen.

Ich weiß nicht ob da wirklich was rausgeht, da es erst grün ist, dann wieder ohne Farbhintergrund, dann ca. 10 sek. später rot.
SYN_SENT bedeutet wohl Verbindungsversuch. Kann jemand was dazu sagen?

start programme zubehör, editor, kopiere rein:

Stepdel::
Killall::
Rootkit::
C:\WINDOWS\system32\drivers\kvohosz.sys
Driver::
kvohosz

datei speichern unter, name cfscript.txt
speicherort, dort wo combofix.exe gespeichert ist, ziehe cfscript auf combofix, programm startet, log posten.