Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit diversen Viren, Trojanern in eMails ! (https://www.trojaner-board.de/56834-problem-diversen-viren-trojanern-emails.html)

Inspectah 27.07.2008 17:56
Problem mit diversen Viren, Trojanern in eMails !
 
Hallo Leute,

ich habe heute mal einen kompletten Scan mit Avira gemacht und prompt wurden 37 Viren gefunden ! Vorwiegend in eMails die ich im Thunderbird garnicht mehr finde, also schon längst gelöscht haben muss ?!

Haben hier mal ein Log von Avira und eins von HijackThis...

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 27. Juli 2008  16:59

Es wird nach 1510258 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    xxx
Computername:    xXx

Versionsinformationen:
BUILD.DAT    : 8.1.0.326      16933 Bytes  11.07.2008 12:52:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  18.07.2008 08:12:02
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 08:12:02
LUKE.DLL      : 8.1.4.5      164097 Bytes  18.07.2008 08:12:03
LUKERES.DLL  : 8.1.4.0        12545 Bytes  18.07.2008 08:12:03
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 23:30:43
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 22:28:22
ANTIVIR2.VDF  : 7.0.5.174    2027008 Bytes  25.07.2008 19:53:16
ANTIVIR3.VDF  : 7.0.5.175      2048 Bytes  25.07.2008 19:53:17
Engineversion : 8.1.1.12 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  17.04.2008 16:08:09
AESCRIPT.DLL  : 8.1.0.59      307579 Bytes  19.07.2008 08:40:17
AESCN.DLL    : 8.1.0.23      119156 Bytes  16.07.2008 08:09:29
AERDL.DLL    : 8.1.0.20      418165 Bytes  25.04.2008 16:08:30
AEPACK.DLL    : 8.1.2.1      364917 Bytes  16.07.2008 08:09:29
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  19.07.2008 08:40:16
AEHEUR.DLL    : 8.1.0.44    1343863 Bytes  24.07.2008 15:17:06
AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.05.2008 19:59:11
AEGEN.DLL    : 8.1.0.31      311669 Bytes  24.07.2008 15:17:04
AEEMU.DLL    : 8.1.0.6      430451 Bytes  07.05.2008 18:15:32
AECORE.DLL    : 8.1.1.7      172406 Bytes  24.07.2008 15:17:03
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 08:09:23
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  18.07.2008 08:12:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 08:12:02
AVREP.DLL    : 8.0.0.2        98561 Bytes  25.07.2008 15:17:05
AVREG.DLL    : 8.0.0.1        33537 Bytes  18.07.2008 08:12:02
AVARKT.DLL    : 1.0.0.23      307457 Bytes  17.04.2008 16:08:08
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 08:12:02
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  17.04.2008 16:08:09
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  18.07.2008 08:12:03
NETNT.DLL    : 8.0.0.1        7937 Bytes  17.04.2008 16:08:09
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  18.07.2008 08:12:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  18.07.2008 08:12:01

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 27. Juli 2008  16:59

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '50709' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIACE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '63' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Festplattenträger>
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-1.net\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
      --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim
        [1] Archivtyp: MIME
        --> file0.html
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\xXx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-3.net\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.T
      --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim
        [1] Archivtyp: MIME
        --> file0.mim
          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.T
        --> file0.mim
          [2] Archivtyp: MIME
          --> e-mail1.pif
            [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.#1
      --> Mailbox_[Message-ID: <E8E15759.4603097@nimfomanka.com.pl>][From: Martin Badorrek <sales@earthcam.com>][Subject: Die Revolution im Netz des lebhaften Video. Seh]576.mim
        [1] Archivtyp: MIME
        --> ecplayer.exe
          [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.AZX
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx.net\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[Message-ID: <01c74ad1$1e5166e0$6c822ecf@Guillermo'sFerraro>][From: "Zigaretten GmbH" <Guillermo'sFerraro@2agewine.][Subject: Zigaretten Ausverkauf!]1128.mim
        [1] Archivtyp: MIME
        --> Preisliste.zip
          [FUND]      Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
        --> Preisliste.zip
          [2] Archivtyp: ZIP
          --> Preisliste.pdf.exe
            [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.M
      --> Mailbox_[From: "bestellung315@amazon.de" <bestellbestaetigung3][Message-ID: <70596326.20070223130355@amazon.de>][Subject: Ihre Bestellung 4540956 bei Amazon.de]1280.mim
        [1] Archivtyp: MIME
        --> 13915.zip
          [2] Archivtyp: ZIP
          --> 13915.exe
            [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.W
      --> Mailbox_[From: "Julia  otto " <gtexacuau@boydcorp.com>][Subject: *** GMX Spamverdacht *** Abrechnungsvertrag][Message-ID: <01c8d574$e7af3100$27c10255@gtexacuau>]8938.mim
        [1] Archivtyp: MIME
        --> Rechnung.rar
          [2] Archivtyp: RAR
          --> Rechnung.exe
            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.cod
      --> Mailbox_[Message-ID: <01c8e584$93500d80$82ea3bcf@gjbngboblxyx>][From: "UPS Packet Service" <gjbngboblxyx@blueeleven.c][Subject: *** GMX Spamverdacht *** Ihr UPS Paket N2537784]9348.mim
        [1] Archivtyp: MIME
        --> UPS_Lieferschein_8102.zip
          [2] Archivtyp: RAR
          --> UPS_Lieferschein_8102\UPS_Lieferschein.exe
            [FUND]      Ist das Trojanische Pferd TR/Dldr.Tiny.brm
      --> Mailbox_[From: "United Parcel Service" <vmbqad@bluefruitdesign][Message-ID: <245634009.34250470602777@bluefruitdesign.com>][Subject: *** GMX Spamverdacht *** UPS Tracking Number 05]9492.mim
        [1] Archivtyp: MIME
        --> UPS_INVOICE_978172.zip
          [2] Archivtyp: ZIP
          --> UPS_INVOICE_978172.exe
            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.dip
      --> Mailbox_[Message-ID: <01c8ed13$a47ee400$9a9f944b@bqmj>][From: "United Parcel Service" <bqmj@blueroomboys.com>][Subject: *** GMX Spamverdacht *** UPS Tracking Number 98]9514.mim
        [1] Archivtyp: MIME
        --> invoice_8712.zip
          [2] Archivtyp: ZIP
          --> INVOICE_8712.exe
            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.dkf.1
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx.net\Sent
    [0] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[Message-ID: <47936702.1000800@gmx.de>][From: XXX>][Subject: RSD]232.mim
        [1] Archivtyp: MIME
        --> RSD.rar
          [2] Archivtyp: RAR
          --> RSD\AntiCaptcha.exe
            [FUND]      Enthält Erkennungsmuster der Anwendung APPL/AntiCaptcha.1
          --> RSD\Plugins\YCPlugins\airfreshsteelhoster.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.BS
          --> RSD\Plugins\YCPlugins\bestprotect.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIZ
          --> RSD\Plugins\YCPlugins\cashcrystalize.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIO
          --> RSD\Plugins\YCPlugins\ddlmusic.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIX
          --> RSD\Plugins\YCPlugins\ddlwarez.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJJ
          --> RSD\Plugins\YCPlugins\flyload.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHY
          --> RSD\Plugins\YCPlugins\gameblog.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIV
          --> RSD\Plugins\YCPlugins\hoerbuch.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHS
          --> RSD\Plugins\YCPlugins\linkbank.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIG
          --> RSD\Plugins\YCPlugins\linkkuzeyforum.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIM
          --> RSD\Plugins\YCPlugins\linkprotector.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHN
          --> RSD\Plugins\YCPlugins\lix.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHU
          --> RSD\Plugins\YCPlugins\mirrorit.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHR
          --> RSD\Plugins\YCPlugins\myref.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIJ
          --> RSD\Plugins\YCPlugins\protectit.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.BR
          --> RSD\Plugins\YCPlugins\rapidbolt.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJI
          --> RSD\Plugins\YCPlugins\rapidfolder.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIF
          --> RSD\Plugins\YCPlugins\rsprotect.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIY
          --> RSD\Plugins\YCPlugins\safecrystalize.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHZ
          --> RSD\Plugins\YCPlugins\safefilecash.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BID
          --> RSD\Plugins\YCPlugins\safelink.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIS
          --> RSD\Plugins\YCPlugins\sceneload.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJG
          --> RSD\Plugins\YCPlugins\shareprotect.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJE
          --> RSD\Plugins\YCPlugins\speedsafe.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJK
          --> RSD\Plugins\YCPlugins\ssllinkz.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIR
          --> RSD\Plugins\YCPlugins\stacheldraht.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIP
          --> RSD\Plugins\YCPlugins\takemyfile.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIU
          --> RSD\Plugins\YCPlugins\tresor.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHP
          --> RSD\Plugins\YCPlugins\uppicoasis.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIT
          --> RSD\Plugins\YCPlugins\wonsite.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIE
          --> RSD\Plugins\YCPlugins\xeem.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIW
          --> RSD\Plugins\YCPlugins\xirror.dll
            [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BII
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Lokaler Festplattenträger>
Beginne mit der Suche in 'G:\' <Extern>


Ende des Suchlaufs: Sonntag, 27. Juli 2008  18:00
Benötigte Zeit:  1:01:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  8189 Verzeichnisse wurden überprüft
 363749 Dateien wurden geprüft
    37 Viren bzw. unerwünschte Programme wurden gefunden
      9 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 363700 Dateien ohne Befall
  14913 Archive wurden durchsucht
      7 Warnungen
      0 Hinweise
  50709 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Ich hoffe ihr könnt mir bei der Beseitigung helfen, kenne mich nicht wirklich damit aus !

SpyBot findet nichts, ich benutze täglich den CC Cleaner und habe Avira mit den hier angegebenen Einstellungen konfiguriert !

Vielen Dank für eure Bemühungen !

Inspectah 27.07.2008 17:57
und hier das Log von HijackThis !

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:56, on 27.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxps://login.live.com/ppsecure/sha1auth.srf?lc=1031
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-343818398-1606980848-1801674531-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'xxx')
O4 - HKUS\S-1-5-21-343818398-1606980848-1801674531-1004\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime (User 'xxx')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-343818398-1606980848-1801674531-1004 Startup: TransBar.lnk = C:\Programme\Vista Inspirat 2\TransBar\TransBar.exe (User 'xxx')
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: TransBar.lnk = C:\Programme\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212833152125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 9333 bytes

Inspectah 28.07.2008 16:20
Hat keiner einen Tipp zur Beseitigung, will ungern das ganze Thunderbird und die Konten löschen um es dann wieder komplett neu einzurichten, weil eine Sicherungskopie von den Konten würde ja auch nichts bringen oder !?

Wäre sehr dankbar für ein paar Tipps !

KarlKarl 28.07.2008 18:18
Hi,

in dem Log stehen ja genügend Headerinformationen zu den infizierten Mails, dass es möglich ist, sie zu finden und zu löschen. Danach in Thunderbird den Papierkorb leeren, schließlich alle Ordner komprimieren und dann sollte es erledigt sein.

Solange Du die Anhänge nicht aufmachst, kannst Du die Mails auch ignorieren.

Gruß, Karl

Inspectah 29.07.2008 17:49
Ja ich habe auch alle Konten durchsucht aber keine der aufgelisteten Mails gefunden unter dem angegebenen Pfad findet man ja nur die Überordner!

Der Papierkorb wird beim schliesen automatisch gelöscht, deshalb kann dort auch nichts sein. Aber irgendwo müssen die ja hinterlegt sein sonst würde Avira sich ja nicht beschweren ! :(

Ist das Hijack Logfile eigentlich Okay soweit ?!

Hoffe ihr könnt helfen !

Greetz...

KarlKarl 29.07.2008 18:18
Fehlt dann noch das Komprimieren der Ordner. Vorher sind gelöschte Mails nur als gelöscht markiert, aber noch vorhanden, auch wenn sie nicht mehr angezeigt werden. Erst durch das komprimieren werden diese Bereiche aus den Mailboxdateien entfernt.

Die Javaversion auf deinem Rechner ist veraltet. Die muss aktualisiert werden. Dazu in Systemsteuerung -> Software alle alten Versionen deinstallieren, von http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java Update[/URL] die aktuelle "Java Runtime Environment (JRE) 6u7" runterladen und installieren.

Entsprechend für den Adobe-Reader, nur dass ich da gerade den Link nicht parat habe.

Und schließlich noch dieser Artikel.

Inspectah 30.07.2008 19:35
Super danke erstmal ! Die meisten konnte ich dadurch bereinigen :)

Habe auch Java gelöscht und Skype da ich es eh nicht mehr genutzt habe ^^

Hab nochmal nen komplett Scan gemacht und Avira meldet noch 4 Malware Funde in den gelöschten eMails... das sie nicht mittelbar gefährlich ist okay aber will sie doch lieber los haben !

Laut Log in der Inbox, dort ist aber nichts dergleichen ! Wieso wurden diese Mails nicht gelöscht beim komprimieren ?

Gruß
Inspectah


Code:
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-1.net\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
      --> Mailbox_[Subject: Nicht autorisierter Zugang zu deinem PayPal Kon][Message-ID: <1189021944.18430.qmail@poste.it>][From: "paypal.com" <service@services.paypal.com>]1944.mim
        [1] Archivtyp: MIME
        --> file0.html
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\84k2f359.default\Mail\pop.gmx-3.net\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.T
      --> Mailbox_[From: MAILER-DAEMON@www02.mplsn.net][Subject: failure notice][Message-ID: <20070114182131.6745gmx1@mx049.gmx.net>]406.mim
        [1] Archivtyp: MIME
        --> file0.mim
          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.T
        --> file0.mim
          [2] Archivtyp: MIME
          --> e-mail1.pif
            [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.#1
      --> Mailbox_[Message-ID: <E8E15759.4603097@nimfomanka.com.pl>][From: Martin Badorrek <sales@earthcam.com>][Subject: Die Revolution im Netz des lebhaften Video. Seh]576.mim
        [1] Archivtyp: MIME
        --> ecplayer.exe
          [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.AZX
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131