Trojaner / Malware ? Mail Account hat Spam Mails verschickt

cosinus · 08.06.2012, 20:49

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Firefox::
FF - ProfilePath - c:\dokumente und einstellungen\test\Anwendungsdaten\Mozilla\Firefox\Profiles\605jkkz1.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - http://www.web.de/
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110819&tl=gbn193052&tt=050412_30b
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 4c9fa22b000000000000000e356ecbd5
FF - user.js: extensions.BabylonToolbar_i.hardId - 4c9fa22b000000000000000e356ecbd5
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15435
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1720:50
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

28missi · 09.06.2012, 19:08

Hallo Arne

hier das neue Logfile von Combofix:

Code:

ATTFilter

ComboFix 12-06-09.01 - test 09.06.2012  19:41:26.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1270.907 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\test\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\test\Desktop\CFScript.txt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-09 bis 2012-06-09  ))))))))))))))))))))))))))))))
.
.
2012-06-06 19:01 . 2012-06-06 19:01	--------	d-----w-	C:\_OTL
2012-06-04 17:23 . 2012-06-04 17:23	--------	d-----w-	c:\programme\ESET
2012-06-04 14:17 . 2012-06-04 14:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-21 18:34 . 2012-05-21 18:34	--------	d-----w-	c:\dokumente und einstellungen\test\Downloads
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-06 13:42 . 2012-04-05 07:34	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-06 13:42 . 2011-05-24 12:15	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:51 . 2008-04-14 07:30	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2008-04-14 12:00	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2008-04-14 12:00	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-01-23 09:49 . 2012-01-23 09:35	39401336	----a-w-	c:\programme\QuickTimeInstaller.exe
2011-12-07 12:58 . 2011-12-07 12:58	541544	----a-w-	c:\programme\7z920.exe
2010-04-11 20:36 . 2010-04-11 19:43	152882016	----a-w-	c:\programme\OOo_3.2.0_Win32Intel_install_de.exe
2010-02-05 08:27 . 2010-02-05 08:27	918816	----a-w-	c:\programme\jxpiinstall(2).exe
2010-02-05 08:25 . 2010-02-05 08:25	918816	----a-w-	c:\programme\jxpiinstall.exe
2009-04-27 13:50 . 2009-04-27 13:47	7456256	----a-w-	c:\programme\irfanview_plugins_422_setup.exe
2009-04-27 13:45 . 2009-04-25 12:35	1345024	----a-w-	c:\programme\iview423_setup.exe
2009-04-25 12:34 . 2009-04-25 12:27	17194560	----a-w-	c:\programme\cibpdfbrewer.exe
2012-04-21 01:18 . 2011-10-25 12:19	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot_2012-06-08_05.04.07   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-09 16:43 . 2012-06-09 16:43	16384              c:\windows\Temp\Perflib_Perfdata_d8.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-05-12 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-05-13 118784]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2002-11-25 172032]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2003-05-12 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2003-09-04 40960]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-08-22 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2003-06-25 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2003-09-08 65536]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-02-18 202256]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1997-10-18 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1997-10-18 51984]
VR-NetWorld Auftragsprüfung.lnk - c:\programme\VR-NetWorld\vrtoolcheckorder.exe [2011-10-26 1137152]
WISO Mein Steuer-Sparbuch heute.lnk - c:\programme\WISO\Steuersoftware 2012\mshaktuell.exe [2012-1-3 1380464]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]
R1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [29.10.2011 12:58 14949]
R2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [29.10.2011 12:58 511920]
R2 Update-Service;Update-Service;c:\windows\System32\svchost.exe -k Update-Service [14.04.2008 14:00 14336]
R3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\drivers\wbms.sys [17.04.2009 17:56 30464]
R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\drivers\wbsd.sys [17.04.2009 17:56 26240]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [05.04.2012 09:34 257696]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [19.09.2005 03:07 35275]
S3 cjusb;REINER SCT cyberJack USB Driver;c:\windows\system32\drivers\cjusb.sys [29.10.2011 12:58 28144]
S3 libusb0;LibUsb-Win32 - Kernel Driver 09/17/2010, 1.2.1.0;c:\windows\system32\drivers\libusb0.sys [06.11.2010 14:11 35008]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [01.05.2012 15:30 129976]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]
S3 usb2vcom;USB Data Cable;c:\windows\system32\drivers\usb2vcom.sys [28.09.2009 13:31 29152]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Update-Service-Installer-Service	REG_MULTI_SZ   	Update-Service-Installer-Service
Update-Service	REG_MULTI_SZ   	Update-Service
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-09 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-05 13:42]
.
2010-05-22 c:\windows\Tasks\Install.job
- c:\windows\system32\Adobe\Shockwave 11\nssstub.exe [2010-05-22 21:14]
.
2012-06-09 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1275210071-1993962763-1957994488-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-09 17:38]
.
2012-06-09 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1275210071-1993962763-1957994488-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-09 17:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uInternet Settings,ProxyOverride = <local>
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\test\Anwendungsdaten\Mozilla\Firefox\Profiles\605jkkz1.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110819&tl=gbn193052&tt=050412_30b
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 4c9fa22b000000000000000e356ecbd5
FF - user.js: extensions.BabylonToolbar_i.hardId - 4c9fa22b000000000000000e356ecbd5
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15435
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1720:50
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-09 19:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(424)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-06-09  19:48:55
ComboFix-quarantined-files.txt  2012-06-09 17:48
ComboFix2.txt  2012-06-08 05:07
ComboFix3.txt  2012-01-02 18:32
.
Vor Suchlauf: 13 Verzeichnis(se), 27.039.166.464 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 27.030.593.536 Bytes frei
.
- - End Of File - - 82AD132CF8D5DC50B9B7A9E5740652F0

Viele Grüße - Ulrike

Trojaner / Malware ? Mail Account hat Spam Mails verschickt

Plagegeister aller Art und deren Bekämpfung: Trojaner / Malware ? Mail Account hat Spam Mails verschickt

Trojaner / Malware ? Mail Account hat Spam Mails verschickt

Trojaner / Malware ? Mail Account hat Spam Mails verschickt

Ähnliche Themen: Trojaner / Malware ? Mail Account hat Spam Mails verschickt