Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ausgehende Mails werden manipuliert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 27.02.2007, 17:00   #1
odenwaldfuchs
 
Ausgehende Mails werden manipuliert - Standard

Ausgehende Mails werden manipuliert



An alle ausgehenden Mails wird folgendes angehängt (2x)

Heir ist dein Rechnung:
http://EMMAHOLLIDAY.CO.UK/basement/Rechnung.rar

Habe einen Hinweis gefunden, dass dies evtl. durch den Virus "Backdoor.HackDefender" erfolgt.

Kann man den mit HijackThis aufspüren? Im Logfile kann ich eigentlich nichts Verdächtiges finden.

Logfile of HijackThis v1.99.1
Scan saved at 12:23:03, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ActiveFax\Client\ActFaxClient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\WINDOWS\system32\POL32Evt.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Lexware\lxoffice\bin\Lxoffice.exe
C:\Programme\Lexware\lxoffice\bin\W32MKDE.EXE
C:\Programme\Lexware\lxoffice\bin\PCFK32.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Treiber\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ActiveFax Client] C:\Programme\ActiveFax\Client\ActFaxClient.exe -Autostart
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171875643921
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = firma.local
O17 - HKLM\Software\..\Telephony: DomainName = firma.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = firma.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = firma.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

Alt 27.02.2007, 17:12   #2
raman
 
Ausgehende Mails werden manipuliert - Standard

Ausgehende Mails werden manipuliert



Im Grunde reicht das hier schon, um den Rechner platt zu machen und alle Passworte zu aendern, die auf dem Rechner benutzt wurden

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing


Das sagt mir, lass es den IT Verantwortlichen eurer Firma machen:

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = firma.local

Nachtrag: Ihr solltet unter Umstaenden noch die Diversen Malwaredateien sammeln und an Symantec schicken. Obwohl das ewig dauert, bis sie reagieren. Vielleicht ist das bei Firmenkunden ja anders.....
__________________

__________________

Alt 27.02.2007, 20:48   #3
odenwaldfuchs
 
Ausgehende Mails werden manipuliert - Standard

Ausgehende Mails werden manipuliert



O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

Dazu hatte ich schon in der automatischen Auswertung "Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org." gefunden. Nur steht dort über diese Software "LSP-Fix is not a malware removal utility". Es ist damit zwar eine Sicherheitslücke gestopft, aber das eigentliche Problem (Manipulation der Mails) noch nicht behoben.

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = firma.local
> Das sagt mir, lass es den IT Verantwortlichen eurer Firma machen:
Das mit der "Firma" war ich. Hatte den Namen ersetzt. Ich kann zwar dem "Chef" klarmachen, dass er jetzt nicht nur Putzfrau in Personalunion ist, sondern auch noch IT Verantwortlicher. Ob das viel nützt wage ich aber zu bezweifeln
__________________

Alt 27.02.2007, 21:48   #4
raman
 
Ausgehende Mails werden manipuliert - Standard

Ausgehende Mails werden manipuliert



Nagut, wenn du das durchziehen willst, koennen wir eine Reinigung versuchen. Nur Passwortwechsel ist angesagt, nach dem Reinigungsversuch.


Um das "Mailproblem" zu loesen, poste den Inhalt von Datfindbat(letzten 30 Tage) Datfindbat

Achso, der Downloadlink funktioniert nicht mehr und ist eigentlich schon recht alt(27.01.07)
__________________
MfG Ralf

Geändert von raman (27.02.2007 um 22:08 Uhr)

Alt 28.02.2007, 18:45   #5
odenwaldfuchs
 
Ausgehende Mails werden manipuliert - Standard

Ausgehende Mails werden manipuliert



LSPFix hat das Problem
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
beseitigt. Bei einem erneuten HijackThis Lauf kam kein 010 Eintrag mehr.

Hier das Ergebnis von datFind.bat:
Verzeichnis von c:\

28.02.2007 14:39 0 dirdat.txt
26.02.2007 11:17 536.399.872 hiberfil.sys
26.02.2007 11:17 804.495.360 pagefile.sys
05.02.2007 14:28 172 LxDasi.Log

Verzeichnis von C:\WINDOWS\system32

25.02.2007 08:08 13.646 wpa.dbl
19.02.2007 15:54 9.857 jupdate-1.5.0_11-b03.log
19.02.2007 14:47 404.276 perfh009.dat
19.02.2007 14:47 63.304 perfc009.dat
19.02.2007 14:47 419.318 perfh007.dat
19.02.2007 14:47 76.134 perfc007.dat
19.02.2007 14:47 975.584 PerfStringBackup.INI
19.02.2007 14:42 120.544 FNTCACHE.DAT
19.02.2007 13:34 122.142 TZLog.log
07.02.2007 14:01 12.293.536 MRT.exe
29.01.2007 09:58 60.416 tzchange.exe
27.01.2007 15:16 75 smtsmx.dll
27.01.2007 15:16 49 smtsmxpfx.dll
26.01.2007 16:36 7.295 form.txt
26.01.2007 16:35 47.104 rsvp32_2.dll
26.01.2007 16:35 8.704 sporder.dll
23.01.2007 20:30 546.304 hhctrl.ocx
15.01.2007 19:48 1.904 mapisvc.inf
12.01.2007 14:01 3.799 jupdate-1.5.0_04-b05.log
12.01.2007 09:27 822.784 wininet.dll
12.01.2007 09:27 1.149.952 urlmon.dll
12.01.2007 09:27 51.712 msfeedsbs.dll
12.01.2007 09:27 670.720 mstime.dll
12.01.2007 09:27 3.580.416 mshtml.dll
12.01.2007 09:27 27.136 jsproxy.dll
12.01.2007 09:27 458.752 msfeeds.dll
12.01.2007 09:27 232.960 webcheck.dll
12.01.2007 09:27 132.608 extmgr.dll
12.01.2007 09:27 6.054.400 ieframe.dll
12.01.2007 09:27 477.696 mshtmled.dll
10.01.2007 17:42 1.040.384 ieframe.dll.mui
08.01.2007 19:04 105.984 url.dll
08.01.2007 19:04 102.400 occache.dll
08.01.2007 19:03 193.024 msrating.dll
08.01.2007 19:02 1.823.744 inetcpl.cpl
08.01.2007 19:02 266.752 iertutil.dll
08.01.2007 19:02 44.544 iernonce.dll
08.01.2007 19:02 383.488 ieapfltr.dll
08.01.2007 19:02 161.792 ieakui.dll
08.01.2007 19:02 230.400 ieaksie.dll
08.01.2007 19:02 153.088 ieakeng.dll
08.01.2007 19:02 384.000 iedkcs32.dll
08.01.2007 19:01 17.408 corpol.dll
08.01.2007 19:00 124.928 advpack.dll
08.01.2007 18:08 56.832 ie4uinit.exe
08.01.2007 18:08 13.824 ieudinit.exe
04.01.2007 15:02 474.624 shlwapi.dll
04.01.2007 15:02 1.498.112 shdocvw.dll
04.01.2007 15:01 1.056.256 danim.dll
04.01.2007 15:01 152.064 cdfview.dll
04.01.2007 15:01 1.022.976 browseui.dll
04.01.2007 12:52 270.336 xpsp3res.dll

Verzeichnis von C:\WINDOWS

28.02.2007 12:15 144 PCFK32.INI
28.02.2007 12:13 688 win.ini
28.02.2007 03:02 1.712.663 WindowsUpdate.log
27.02.2007 15:24 1.089 wiadebug.log
26.02.2007 11:18 0 0.log
26.02.2007 11:17 50 wiaservc.log
26.02.2007 11:17 2.048 bootstat.dat
26.02.2007 10:54 32.630 SchedLgU.Txt
25.02.2007 08:17 583.263 iis6.log
25.02.2007 08:17 107.389 ntdtcsetup.log
25.02.2007 08:17 180.167 comsetup.log
25.02.2007 08:17 235.867 tsoc.log
25.02.2007 08:17 26.174 tabletoc.log
25.02.2007 08:17 1.374 imsins.log
25.02.2007 08:17 27.903 ocmsn.log
25.02.2007 08:17 12.829 KB928090-IE7.log
25.02.2007 08:17 35.498 MedCtrOC.log
25.02.2007 08:17 89.430 netfxocm.log
25.02.2007 08:17 248.012 ocgen.log
25.02.2007 08:17 25.591 msgsocm.log
25.02.2007 08:17 506.148 FaxSetup.log
25.02.2007 08:17 161.712 msmqinst.log
25.02.2007 08:16 62.882 updspapi.log
25.02.2007 08:15 57.380 KB929969.log
19.02.2007 16:33 6.785 spupdsvc.log
19.02.2007 16:25 25.313 ie7_main.log
19.02.2007 16:25 1.374 imsins.BAK
19.02.2007 16:25 64.975 ie7.log
19.02.2007 16:12 11.096 IDNMitigationAPIs.log
19.02.2007 16:12 453.633 setupapi.log
19.02.2007 16:11 10.828 NLSDownlevelMapping.log
19.02.2007 16:11 12.688 KB915865.log
19.02.2007 16:09 5.660 KB914440.log
19.02.2007 16:09 74.820 KB928090.log
19.02.2007 16:07 10.910 KB904942.log
19.02.2007 14:40 2.908 COM+.log
19.02.2007 13:35 70.661 KB931836.log
19.02.2007 13:33 55.048 KB926436.log
19.02.2007 13:32 55.563 KB918118.log
19.02.2007 13:32 57.991 KB927779.log
19.02.2007 13:31 51.070 KB924667.log
19.02.2007 13:31 54.708 KB927802.log
19.02.2007 13:30 48.733 KB928843.log
19.02.2007 13:30 55.049 KB928255.log
19.02.2007 12:56 35.819 KB923689.log
19.02.2007 12:55 34.615 KB925398.log
19.02.2007 12:55 53.784 KB923694.log
19.02.2007 12:54 51.528 KB926255.log
19.02.2007 12:53 53.617 KB923980.log
19.02.2007 12:52 54.854 KB924270.log
19.02.2007 12:52 52.107 KB920213.log
19.02.2007 12:44 52.265 KB922819.log
19.02.2007 12:44 42.098 KB924191.log
19.02.2007 12:43 46.077 KB923191.log
19.02.2007 12:42 46.797 KB924496.log
19.02.2007 12:42 40.907 KB923414.log
19.02.2007 12:41 48.198 KB920872.log
19.02.2007 12:41 48.698 KB920685.log
19.02.2007 12:40 45.787 KB919007.log
19.02.2007 12:40 47.049 KB916595.log
19.02.2007 12:39 31.689 KB922582.log
19.02.2007 12:38 42.770 KB920683.log
19.02.2007 12:38 42.493 KB920670.log
19.02.2007 12:37 43.253 KB917422.log
19.02.2007 12:37 44.595 KB914388.log
19.02.2007 12:30 43.007 KB911280.log
19.02.2007 12:29 43.137 KB917953.log
19.02.2007 12:29 39.576 KB913580.log
19.02.2007 12:28 42.051 KB918439.log
19.02.2007 12:27 43.712 KB917344.log
19.02.2007 12:27 40.752 KB914389.log
19.02.2007 12:27 22.678 KB917734.log
19.02.2007 12:27 28.285 wmsetup.log
19.02.2007 12:26 36.218 KB908531.log
19.02.2007 12:25 35.944 KB900485.log
19.02.2007 12:25 43.105 KB911562.log
19.02.2007 12:24 21.681 KB911564.log
19.02.2007 12:23 35.907 KB911927.log
19.02.2007 12:23 33.999 KB912919.log
19.02.2007 12:22 39.481 KB908519.log
19.02.2007 12:22 39.802 KB904706.log
19.02.2007 12:21 26.967 KB910437.log
19.02.2007 12:21 35.242 KB896424.log
19.02.2007 12:20 41.522 KB900725.log
19.02.2007 12:20 38.827 KB905749.log
19.02.2007 12:19 38.084 KB905414.log
19.02.2007 12:19 32.460 KB901017.log
19.02.2007 12:18 42.182 KB902400.log
19.02.2007 11:19 30.057 KB894391.log
19.02.2007 11:19 28.062 KB896423.log
19.02.2007 11:18 24.606 KB899587.log
19.02.2007 11:18 23.204 KB899591.log
19.02.2007 11:17 22.516 KB893756.log
19.02.2007 11:17 20.954 KB896358.log
19.02.2007 11:16 28.630 KB890859.log
19.02.2007 11:15 19.865 KB901214.log
19.02.2007 11:15 16.888 KB896428.log
19.02.2007 11:15 20.725 KB885835.log
19.02.2007 11:14 16.480 KB891781.log
19.02.2007 11:14 16.048 KB887472.log
19.02.2007 11:13 16.411 KB888302.log
19.02.2007 11:13 17.338 KB885836.log
19.02.2007 11:12 11.292 KB886185.log
19.02.2007 11:12 16.649 KB873339.log
19.02.2007 11:12 8.758 KB885884.log
19.02.2007 10:26 4.404 WGA.log
19.02.2007 10:25 7.353 KB898461.log
19.02.2007 10:25 6.082 KB893803v2.log
09.02.2007 10:36 644 GSAUF.INI
09.02.2007 10:35 91 FENSTER.INI
05.02.2007 14:28 258 LXfoIn54.INI
26.01.2007 16:35 69.120 icq.exe
17.01.2007 11:25 43 FAFirmAssi.INI
17.01.2007 08:20 43 FAStdCompany.INI
15.01.2007 21:45 81 loge.dat
15.01.2007 21:45 31 LxTrans.INI
15.01.2007 19:45 19.443 dasetup.log
15.01.2007 19:44 667 KB829558.log
15.01.2007 19:38 4.359 ODBCINST.INI
15.01.2007 18:45 890 MKDEMSG.LOG
12.01.2007 14:06 0 MKDEWE.TRN
11.01.2007 23:07 462 wmsetup10.log

Verzeichnis von C:\DOKUME~1\PC-1.PC1\LOKALE~1\Temp

28.02.2007 14:38 19.062 WcesView.log
28.02.2007 14:20 512 ~DF6BAB.tmp
28.02.2007 14:20 470.016 ~WRC0004.tmp
28.02.2007 13:58 25.254 ~WRS0003.tmp
28.02.2007 12:15 0 JET1AC.tmp
28.02.2007 12:15 0 JET3EF1.tmp
28.02.2007 12:15 0 JET1AB.tmp
28.02.2007 12:15 0 JET10DC.tmp
28.02.2007 11:04 16.384 ~WRF0002.tmp
28.02.2007 10:54 512 ~DF7B69.tmp
26.02.2007 11:26 21.524 jusched.log
26.02.2007 11:21 408 WCESCOMM.LOG
26.02.2007 00:59 71.585 wcesmgr.log
25.02.2007 16:11 5.360 outstore.log
19.02.2007 16:03 7.216 netfxupdate.log
19.02.2007 16:02 21.923 netfxsl.log
19.02.2007 15:54 9.134 java_install_reg.log
19.02.2007 15:51 1.156 jinstall.cfg
19.02.2007 12:50 5.012 ASPNETSetup_00002.log
19.02.2007 12:35 5.012 ASPNETSetup_00001.log
19.02.2007 12:17 3.734 msiutil(1).log
19.02.2007 11:08 5.786 ASPNETSetup.log
16.02.2007 08:23 16.384 ~WRF0001.tmp
16.02.2007 08:18 512 ~DF249D.tmp
07.02.2007 11:29 0 gtbB90.tmp
31.01.2007 15:59 468 dw.log
19.01.2007 17:35 12.936 control.xml
16.01.2007 18:06 7.854 VGX1C.tmp
16.01.2007 18:06 5.096 VGX1B.tmp
16.01.2007 18:06 7.994 VGX1A.tmp
15.01.2007 19:48 5.921 dakota.ag_20070115_inst.log
15.01.2007 19:44 21 _is9.ini
15.01.2007 18:51 5.144 ASPNETSetup_00000.log
15.01.2007 11:15 7.854 VGX8F.tmp
15.01.2007 11:15 7.994 VGX8D.tmp
15.01.2007 11:15 5.096 VGX8E.tmp
15.01.2007 06:36 16.384 ~WRF0000.tmp
15.01.2007 06:36 26.318 msoAFEBE.wmf
15.01.2007 06:36 25.986 msoD1EF9.wmf
12.01.2007 14:09 1.245.184 d7f8.rra
12.01.2007 14:08 16.723 dakota.ag_20070112_inst.log
12.01.2007 13:59 23.592 java_install.log


Alt 28.02.2007, 19:01   #6
raman
 
Ausgehende Mails werden manipuliert - Standard

Ausgehende Mails werden manipuliert



Dich hats um den 26.01 schon erwischt. Schau einmal hier:
Trend Micro - Sicherheitsinformationen: TROJ_AGENT.KTK

und schau dir diese Datei einmal mit einem Editor(notepad o.ae.) an
c:\windows\system32\form.txt

Die Frage ist, ob du dann immer noch reinigen willst!

Ein Report von Blacklight waere auch noch hilfreich:
Anleitung: Anleitung Rootkit - Scanner (Blacklight,Rootkitrevealer,Sophos Anti Rootkit,Gmer) | Forum windowspower.de


Nachtrag: Vorher bitte noch mit der Datentraegerbereinigung die temps reinigen(ausser "alle Dateien komprimieren"): Automatisieren des Dienstprogramms "Datenträgerbereinigung" in Windows XP

Diese Dateien muessen aus dem system32 Ordner geloescht werden:
27.01.2007 15:16 75 smtsmx.dll
27.01.2007 15:16 49 smtsmxpfx.dll
26.01.2007 16:36 7.295 form.txt
26.01.2007 16:35 47.104 rsvp32_2.dll
26.01.2007 16:35 8.704 sporder.dll

Die rsvp32_2.dll aber erst, wenn man mit lspfix den "O10"er Eintrag entfernen konnte:
LSPfix laden und starten http://cexx.org/LSPFix.exe "i know what i am doing" anhaken und die rsvp32_2.dll von Links(keep), mit Hilfe des "doppelpfeils", nach remove verschieben und finish druecken.

Danach mal einen Kontrollscan mit Drweb CureIT machen:
Dr.Web Anti-virus - official website of Doctor Web, Ltd. / Download
__________________
--> Ausgehende Mails werden manipuliert

Antwort

Themen zu Ausgehende Mails werden manipuliert
adobe, antivirus, appinit_dlls, ausgehende mails, bho, canon, computer, dateien, desktop, dll, drivers, excel, explorer, google, hijack, hijackthis, internet, internet explorer, lexware, logfile, microsoft, pdf, programme, rundll, settings manager, software, symantec, system, virus, windows, windows xp



Ähnliche Themen: Ausgehende Mails werden manipuliert


  1. Mails werden automatisch versendet
    Plagegeister aller Art und deren Bekämpfung - 15.10.2015 (9)
  2. Mails werden automatisch versendet
    Log-Analyse und Auswertung - 29.09.2015 (7)
  3. mails werden automatisch versandt ( Mac OSX / Outlook )
    Alles rund um Mac OSX & Linux - 25.09.2015 (5)
  4. WEB.de Mails werden ungewollt verschickt
    Plagegeister aller Art und deren Bekämpfung - 12.09.2015 (8)
  5. Google Chrome Einstellungen werden von einem anderen Programm manipuliert
    Log-Analyse und Auswertung - 29.04.2015 (11)
  6. Spam-Mails werden von meiner web.de Adresse versendet
    Log-Analyse und Auswertung - 19.04.2015 (2)
  7. GData Internet Security meldet infizierte ausgehende Mails
    Plagegeister aller Art und deren Bekämpfung - 28.05.2014 (13)
  8. Unauthorisierte Mails von meinem Account werden verschickt
    Mülltonne - 13.04.2014 (1)
  9. e-mails werden teilweise nur halb versandt
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (1)
  10. ausgehende Mails werden gestoppt
    Alles rund um Windows - 10.08.2012 (1)
  11. Werden die E-Mails ausspioniert?
    Log-Analyse und Auswertung - 26.11.2010 (16)
  12. Symantec meldet geblockte von mir ausgehende Spam-Mails.
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (39)
  13. CPU 100% ? Dauerhafte ausgehende und eingehende E-mails?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (3)
  14. Tausende Mails werden versendet, System lahmgelegt!
    Plagegeister aller Art und deren Bekämpfung - 26.04.2007 (4)
  15. Mails werden selbständig versand
    Log-Analyse und Auswertung - 27.01.2007 (1)
  16. Mails werden in meinem Namen verschickt
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (1)
  17. Scannt Norton AntiVirus 2003 ausgehende mails?
    Antiviren-, Firewall- und andere Schutzprogramme - 26.02.2003 (1)

Zum Thema Ausgehende Mails werden manipuliert - An alle ausgehenden Mails wird folgendes angehängt (2x) Heir ist dein Rechnung: http://EMMAHOLLIDAY.CO.UK/basement/Rechnung.rar Habe einen Hinweis gefunden, dass dies evtl. durch den Virus "Backdoor.HackDefender" erfolgt. Kann man den mit HijackThis - Ausgehende Mails werden manipuliert...
Archiv
Du betrachtest: Ausgehende Mails werden manipuliert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.