Zurück   Trojaner-Board > Malware entfernen > Überwachung, Datenschutz und Spam

Überwachung, Datenschutz und Spam: Mein Rechner sendet SPAM?

Windows 7 Fragen zu Verschlüsselung, Spam, Datenschutz & co. sind hier erwünscht. Hier geht es um Abwehr von Keyloggern oder aderen Spionagesoftware wie Spyware und Adware. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 19.03.2008, 15:06   #1
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Hallo,
heute ist etwas merkwürdiges passiert. Ich wollte ins Internet, aber mein ISP (NetCologne) hat mir den Zugang verweigert. Begründung kam auf einer Seite, die sich im Firefox immer dann öffnete, wenn ich eine Adresse eingab: Mein Computer sei infiziert und es würden SPAM-Mails von meiner IP aus versendet werden. Das Ganze kam mir sehr komisch vor, zwar hatte ich vor einigen Tagen einen Virus auf meinem System, aber dieses schien mir nun wieder clean zu sein (Hilfe habe ich auch hier im Board bekommen, siehe dazu http://www.trojaner-board.de/50245-infiziert.html). Und jetzt die Behauptung, meine IP versende Spam??
Habe direkt mal meinen Virescanner drüber laufen lassen (Sophos), der hat aber nichts gefunden.

Hat jemand ne Ahnung ob bloß mein ISP spinnt, die Meldung ca. 2 Wochen zu spät kam oder ich mir wirklich Sorgen machen muss?

Thx vorab

Alt 19.03.2008, 15:37   #2
Shadow
/// Mr. Schatten
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



1.) Kam die Meldung wirklich von deinem Zugangsprovider?
2.) Wenn ja, dann ist es mehr als allerhöchste Zeit sich Sorgen zu machen (eigentlich hättest du schon früher dafür sorgen müssen, dass so etwas nicht passiert)
3.) Wenn die Meldung nicht von deinem Zugangsprovider kommt, dann solltest du dir (auch) große Sorgen machen.
4.) Möglich wäre - aber extrem unwahrscheinlich - , dass dein Zugangsprovider eine sehr lange (Reaktions)Leitung hat und deinen Zugang über eine Woche zu spät sperrt.

Wie lautet die Adresse der Meldung?
__________________

__________________

Alt 20.03.2008, 16:59   #3
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Ja, die Meldung kam wirklich von meinem ISP. Ich habe mich über die Telefon Hotline mit denen in Verbindung gesetzt und es ist wohl so, dass von meinem Anschluss aus extrem viele eMail-Abgänge registriert werden (und diese eMails werden nicht von mir versand!). Ist also auch aktuell und nicht verzögert.
Ich habe mein System dauerhaft mit Sophos überwacht, aber dieser findet nichts. Seit heute habe ich eine 15-Tage-Version von ZoneAlarm Suite drauf. Diese findet bei einer Komplettüberprüfung nach Viren und nach Spyware meine Inbox meines Thunderbird als infiziert. Dort sind halt meine eingekommenen eMails gespeichert, allerdings nur von bekannten Absendern.

Was meinst du mit der Adresse der Meldung?
Ne Idee wie ich vorgehen kann?

Vielen Dank.
__________________

Alt 20.03.2008, 18:01   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mein Rechner sendet SPAM? - Icon32

Mein Rechner sendet SPAM?



Es wäre ja auch möglich, daß noch weitaus schlimmere Sachen auf Deinem PC werkeln, die bisher nur nich entdeckt wurden oder daß Du Dir in der Zwischenzeit was neues eingefangen hast. Sicherheitssoftware wie Sophos oder ZoneAlarm ist da wenig ausschlaggebend, denn womöglich war Deine Kiste kompromittiert während der Installation....und abgesehen davon erkennen Virenscanner eh nicht alle Schädlinge.

Hat der Provider Dir gesagt, in welchem Zeitraum Dein PC gespamt hat? Womöglich jetzt noch?

Ich schlage mal das hier vor: Du führst folgende Tools aus und postest davon die Logfiles:

* Blacklight
* Silentrunners
* combofix

Die Logs bitte mit [code] Tags umschlossen posten! Stell hier auch ein HijackThis logfile herein, nimm dazu diese umbenannte hijackthis.exe!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.03.2008, 20:56   #5
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Hey,
was bedeutet kompromittiert in diesem Zusammenhang und während welcher Installation?
Mein Internetzugang wurde gestern und heute gesperrt, laut ISP wurde also gestern und heute Spam Versand von meinem Rechner aus festgestellt. Ich habe den Account heute am frühen Abend wieder freischalten lassen und nach ca. einer Stunde mal die Hotline angerufen. Dort meinte ein Mitarbeiter dann, dass bislang noch kein weiter Spam wahrgenommen wurde. Allerdings arbeitet deren System nicht in Echtzeit, sondern mit etwas Verzögerung. Wie groß diese Verzögerung ist, konnte man mir aber nicht sagen.

Hier mal die Log von Combofix:
Code:
ATTFilter
ComboFix 08-03-18.1 - Olli 2008-03-20 20:36:10.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.407 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM774b9808.xml
C:\WINDOWS\inf\yutsubk.cat
C:\WINDOWS\pskt.ini

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_yutsubk


(((((((((((((((((((((((   Dateien erstellt von 2008-02-20 bis 2008-03-20  ))))))))))))))))))))))))))))))
.

2008-03-20 17:08 . 2008-03-20 17:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-03-20 12:33 . 2008-03-20 12:33	<DIR>	d--------	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\MailFrontier
2008-03-20 12:19 . 2008-03-20 12:19	4,212	---h-----	C:\WINDOWS\system32\zllictbl.dat
2008-03-16 18:26 . 2008-03-16 18:27	<DIR>	d--------	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\.sdenbworkspace
2008-03-16 18:22 . 2008-03-16 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\.vplls
2008-03-08 17:17 . 2008-03-08 17:38	<DIR>	d--------	C:\VundoFix Backups
2008-03-08 16:49 . 2008-03-09 15:07	1,308,101	---hs----	C:\WINDOWS\system32\frtrkbeg.ini
2008-03-04 18:28 . 2004-05-18 13:44	40,960	--a------	C:\WINDOWS\system32\exitwx.exe
2008-02-28 08:48 . 2007-06-28 18:52	765,952	--a------	C:\WINDOWS\system32\xvidcore.dll
2008-02-28 08:48 . 2007-06-28 18:54	180,224	--a------	C:\WINDOWS\system32\xvidvfw.dll
2008-02-28 08:48 . 2007-06-28 18:55	77,824	--a------	C:\WINDOWS\system32\xvid.ax

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 19:40	---------	d-----w	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Free Download Manager
2008-03-06 13:38	---------	d-----w	C:\Programme\Save
2008-03-04 17:31	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-04 17:25	---------	d--h--w	C:\Programme\Zero G Registry
2008-03-04 17:23	---------	d-----w	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\ICQLite
2008-02-14 10:18	---------	d-----w	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\RipIt4Me
2008-02-14 10:18	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DVD Shrink
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D5E929E5-6B86-401F-A478-95205721B202}]
2008-03-04 15:01	41984	--a------	C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Microsoft\PrintHood\msndpcatl.gl1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@={30351346-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@={30351347-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@={30351348-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@={3035134B-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@={3035134C-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@={3035134D-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@={3035134E-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2007-02-04 09:11	536576	--a------	E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 20:05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 11:12 102492]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 11:11 692316]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 12:01 151552]
"AVStation premium"="C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" [2005-07-15 18:42 200704]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2005-08-18 09:33 1933312]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 12:48 1388544]
"EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.exe" [2005-04-25 05:00 98304]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Zone Labs Client"="E:\Eigene Programme\Sonstiges\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]
"PcSync"="E:\Eigene Programme\Sonstiges\Nokia PC Suite 6.82\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Ashampoo Magic Defrag.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Ashampoo Magic Defrag.lnk
backup=C:\WINDOWS\pss\Ashampoo Magic Defrag.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Dataviz Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Dataviz Messenger.lnk
backup=C:\WINDOWS\pss\Dataviz Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^GyroTwister.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\GyroTwister.lnk
backup=C:\WINDOWS\pss\GyroTwister.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^RWTH Aachen Cisco VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\RWTH Aachen Cisco VPN Client.lnk
backup=C:\WINDOWS\pss\RWTH Aachen Cisco VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Olli.RUNNNINGMOOSE^Startmenü^Programme^Autostart^GPGRelay.lnk]
path=C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Startmenü\Programme\Autostart\GPGRelay.lnk
backup=C:\WINDOWS\pss\GPGRelay.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Olli.RUNNNINGMOOSE^Startmenü^Programme^Autostart^HotSync Manager.lnk]
path=C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Startmenü\Programme\Autostart\HotSync Manager.lnk
backup=C:\WINDOWS\pss\HotSync Manager.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Olli.RUNNNINGMOOSE^Startmenü^Programme^Autostart^Windows Privacy Tray.lnk]
path=C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Startmenü\Programme\Autostart\Windows Privacy Tray.lnk
backup=C:\WINDOWS\pss\Windows Privacy Tray.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7478ab94]
C:\WINDOWS\system32\xcdpwdsn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
E:\EIGENE~1\SONSTI~1\Avast\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 18:04 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM774b9808]
C:\WINDOWS\system32\jfacpxhh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
E:\Eigene Programme\Sonstiges\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-08 23:00 128920 E:\Eigene Programme\Sonstiges\Daemon Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dictionary4Free]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2004-03-09 16:15 40960 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2004-03-09 15:54 57393 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-08 13:27 222208 E:\Eigene Programme\Sonstiges\Nokia PC Suite 6.82\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-15 14:46 77824 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-03-17 00:06 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--------- 2004-05-25 09:16 49152 E:\Eigene Programme\Sonstiges\Brother\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2004-08-06 07:27 860160 C:\Programme\Analog Devices\SoundMAX\Smax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 10:22 155648 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-10-15 14:51 151597 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RSVP"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"BITS"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Eigene Programme\\Sonstiges\\Miranda\\miranda32.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"E:\\Eigene Programme\\Sonstiges\\BitLord\\Bit Lord 1.1\\BitLord.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Eigene Programme\\Sonstiges\\J2SE\\J2SDK\\jre\\bin\\java.exe"=
"E:\\Eigene Programme\\Sonstiges\\Maple 9\\jre\\BIN\\JAVA.EXE"=
"E:\\Eigene Programme\\Sonstiges\\Maple 9\\bin.win\\mserver.exe"=
"E:\\Games\\Age of Empires II\\empires2.exe"=
"E:\\Games\\TmNations\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"E:\\Games\\Age of Empires II\\age2_x1.exe"=
"E:\\Server\\apache2\\bin\\Apache.exe"=
"E:\\Eigene Programme\\Sonstiges\\VLC\\vlc.exe"=
"C:\\WINDOWS\\system32\\burst.dll"=
"E:\\Eigene Programme\\Palm\\HOTSYNC.EXE"=
"E:\\Eigene Programme\\Sonstiges\\J2SE\\J2SDK\\bin\\javaw.exe"=
"E:\\Games\\AvP\\Aliens versus Predator\\AvP.exe"=
"E:\\Games\\Counter Strike\\hl.exe"=
"E:\\Eigene Programme\\Sonstiges\\Skype\\Phone\\Skype.exe"=

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 20:38]
R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-11-14 22:36]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-11-14 22:36]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 08:19]
R2 SNM WLAN Service;SNM WLAN Service;"C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe" [2005-05-28 07:35]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 20:35]
R3 wowfilter;WOW XT Filter Driver;C:\WINDOWS\system32\drivers\wowfilter.sys [2005-06-08 15:58]
S3 ADDMEM;ADDMEM;C:\DOKUME~1\OLLI~1.RUN\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS []
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2003-12-19 21:15]
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 22:09]
S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 14:26]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26c1080b-6f56-11da-b981-0013770264ff}]
\Shell\AutoRun\command - G:\RunGame.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 20:45:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yutsubk]
"ImagePath"="\??\C:\WINDOWS\inf\yutsubk.cat"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"E:\Server\mysql\bin\mysqld-nt\" --defaults-file=\"E:\Server\mysql\my.ini\" MySQL"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yutsubk]
"ImagePath"="\??\C:\WINDOWS\inf\yutsubk.cat"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> E:\Eigene Programme\Sonstiges\SVN Tortoise\iconv\_tbl_simple.so
-> E:\Eigene Programme\Sonstiges\SVN Tortoise\iconv\windows-1252.so
-> E:\Eigene Programme\Sonstiges\SVN Tortoise\iconv\utf-8.so
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\Ati2evxx.exe
E:\Server\Apache2\bin\Apache.exe
C:\WINDOWS\system32\Brmfrmps.exe
E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\Server\mysql\bin\mysqld-nt.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\Server\Apache2\bin\Apache.exe
C:\WINDOWS\system32\wdfmgr.exe
E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\TSVNCache.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe
E:\Server\apache2\bin\ApacheMonitor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-20 20:50:16 - machine was rebooted
ComboFix-quarantined-files.txt  2008-03-20 19:50:11
.
2008-03-12 17:07:25	--- E O F ---
         


Alt 20.03.2008, 21:00   #6
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Weiterhin hier die Log von SilenRunners:
Code:
ATTFilter
"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"MagicKeyboard" = "C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [empty string]
"AVStation premium" = ""C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"" [empty string]
"BatteryManager" = "C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [empty string]
"SoundMAXPnP" = "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]
"EPSON Stylus Photo R240 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB002" /M "Stylus Photo R240"" ["SEIKO EPSON CORPORATION"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Zone Labs Client" = ""E:\Eigene Programme\Sonstiges\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                   \InProcServer32\(Default) = "e:\eigene programme\sonstiges\adobe acrobat\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]
{16664845-0E00-11D2-8059-000000000000}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "ClickCatcher MSIE handler"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll" ["ReGet Software"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "FDMIECookiesBHO Class"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\Free Download Manager\iefdmcks.dll" [null data]
{D5E929E5-6B86-401F-A478-95205721B202}\(Default) = "Google.Awards"
  -> {HKLM...CLSID} = "Google.Awards"
                   \InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Microsoft\PrintHood\msndpcatl.gl1" [null data]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "EpsonToolBandKicker Class"
                   \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{E3575A69-CBCB-42D4-89F1-49CF96A26654}" = "Samsung Screen Manager"
  -> {HKLM...CLSID} = "ExtConMenu Class"
                   \InProcServer32\(Default) = "C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll" [empty string]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "E:\Office 2003\OFFICE11\msohev.dll" [MS]
"{E0D79300-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
"{E0D79301-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
"{E0D79302-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Palm\RealOne\rpshellext.dll" ["RealNetworks"]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
  -> {HKLM...CLSID} = "Nokia Phone Browser"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\Nokia PC Suite 6.82\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{30351348-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351347-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134A-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134C-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351346-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351349-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134B-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134D-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134E-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" = "Sophos Anti-Virus Shell Extension"
  -> {HKLM...CLSID} = "ContextMenuHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\pmkjj.dll"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{30351349-7B7D-4FCC-81B4-1E394CA267EB}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
CopyLocationShl\(Default) = "{E3575A69-CBCB-42D4-89F1-49CF96A26654}"
  -> {HKLM...CLSID} = "ExtConMenu Class"
                   \InProcServer32\(Default) = "C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll" [empty string]
EPPShellEx\(Default) = "{509FE1AF-ADD5-49EC-BC55-7CF81FD16E78}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll" ["SEIKO EPSON CORPORATION"]
GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}"
  -> {HKLM...CLSID} = "GNU Privacy Guard  Explorer Extension"
                   \InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\GPGee\GPGEE-~1.1\GPGee\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
  -> {HKLM...CLSID} = "ContextMenuHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}"
  -> {HKLM...CLSID} = "GNU Privacy Guard  Explorer Extension"
                   \InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\GPGee\GPGEE-~1.1\GPGee\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
  -> {HKLM...CLSID} = "ContextMenuHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
CopyLocationShl\(Default) = "{E3575A69-CBCB-42D4-89F1-49CF96A26654}"
  -> {HKLM...CLSID} = "ExtConMenu Class"
                   \InProcServer32\(Default) = "C:\Programme\Samsung\Samsung Smart Screen\Extcon.dll" [empty string]
SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"
  -> {HKLM...CLSID} = "ContextMenuHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
  -> {HKLM...CLSID} = "TortoiseSVN"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
  -> {HKLM...CLSID} = "WinZip"
                   \InProcServer32\(Default) = "e:\EIGENE~1\SONSTI~1\WinZip\wzshlext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\webshots.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\webshots.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\radarss.scr" ["Xander Zerge"]


Startup items in "Olli" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"AutoUpdate Monitor" -> shortcut to: "E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe" ["Sophos Plc"]
"Monitor Apache Servers" -> shortcut to: "E:\Server\apache2\bin\ApacheMonitor.exe" ["Apache Software Foundation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\ZoneLabs\vetredir.dll ["Computer Associates International, Inc."], 01 - 03, 29
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
  -> {HKLM...CLSID} = "EPSON Web-To-Page"
                   \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
  -> {HKLM...CLSID} = "EPSON Web-To-Page"
                   \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{17939A30-18E2-471E-9D3A-56DD725F1215}" = "ReGet Bar"
  -> {HKLM...CLSID} = "ReGet Bar"
                   \InProcServer32\(Default) = "E:\Eigene Programme\Sonstiges\ReGet\iebar.dll" ["ReGet Software"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{16664849-0E00-11D2-8059-000000000000}\(Default) = "MSIE Spy"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll" ["ReGet Software"]

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\OFFICE~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apache2, Apache2, ""E:\Server\Apache2\bin\Apache.exe" -k runservice" ["Apache Software Foundation"]
AshampooDefragService, AshampooDefragService, "E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe" [" "]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Brother Popup Suspend service for Resource manager, brmfrmps, ""C:\WINDOWS\system32\Brmfrmps.exe" -service " ["Brother Industries, Ltd."]
Cisco Systems, Inc. VPN Service, CVPND, ""E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
MySQL, MySQL, ""E:\Server\mysql\bin\mysqld-nt" --defaults-file="E:\Server\mysql\my.ini" MySQL" [null data]
SNM WLAN Service, SNM WLAN Service, ""C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe"" [null data]
Sophos Anti-Virus, SAVService, ""C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe"" ["Sophos Plc"]
Sophos Anti-Virus Statusreporter, SAVAdminService, ""C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe"" ["Sophos Plc"]
Sophos AutoUpdate Service, Sophos AutoUpdate Service, ""E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe"" ["Sophos Plc"]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus Photo R240 Series 2KMonitor5E\Driver = "E_FLMAHE.DLL" ["SEIKO EPSON CORPORATION"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" ["Adobe Systems Incorporated."]


---------- (launch time: 2008-03-20 20:33:05)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 57 seconds, including 13 seconds for message boxes)
         
Blacklight sagt:
Code:
ATTFilter
03/20/08 20:15:26 [Info]: BlackLight Engine 1.0.67 initialized
03/20/08 20:15:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/20/08 20:15:27 [Note]: 7019 4
03/20/08 20:15:27 [Note]: 7005 0
03/20/08 20:15:33 [Note]: 7006 0
03/20/08 20:15:34 [Note]: 7011 1332
03/20/08 20:15:34 [Note]: 7026 0
03/20/08 20:15:34 [Note]: 7026 0
03/20/08 20:15:38 [Note]: FSRAW library version 1.7.1024
03/20/08 20:28:25 [Note]: 2000 1012
03/20/08 20:32:06 [Note]: 7007 0
         

Alt 20.03.2008, 21:01   #7
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



HijackThis meldet:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:03, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Server\Apache2\bin\Apache.exe
C:\WINDOWS\system32\Brmfrmps.exe
E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\Server\mysql\bin\mysqld-nt.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
E:\Server\Apache2\bin\Apache.exe
E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Eigene Programme\Sonstiges\SVN Tortoise\bin\TSVNCache.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe
E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe
E:\Server\apache2\bin\ApacheMonitor.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
E:\NetCologne\signup\wlanmon.exe
E:\Eigene Programme\Sonstiges\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\eigene programme\sonstiges\adobe acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Eigene Programme\Sonstiges\Free Download Manager\iefdmcks.dll
O2 - BHO: Google.Awards - {D5E929E5-6B86-401F-A478-95205721B202} - C:\Dokumente und Einstellungen\Olli.RUNNNINGMOOSE\Anwendungsdaten\Microsoft\PrintHood\msndpcatl.gl1
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - E:\Eigene Programme\Sonstiges\ReGet\iebar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB002" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Eigene Programme\Sonstiges\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Eigene Programme\Sonstiges\SpyBot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALMon.exe
O4 - Global Startup: Monitor Apache Servers.lnk = E:\Server\apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Eigene Programme\Sonstiges\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Eigene Programme\Sonstiges\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://E:\Eigene Programme\Sonstiges\Free Download Manager\dllink.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\EIGENE~1\SONSTI~1\SpyBot\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{274E3367-5203-46CF-80D7-F272677EA86B}: NameServer = 81.173.194.68,194.8.194.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{4476AB14-D812-4E53-B0D0-FE3C13D0E283}: NameServer = 213.168.112.60 194.8.194.60
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Apache2 - Apache Software Foundation - E:\Server\Apache2\bin\Apache.exe
O23 - Service: AshampooDefragService -   - E:\Eigene Programme\Sonstiges\Ashampoo Magic Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Eigene Programme\Sonstiges\Cisco VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MySQL - Unknown owner - E:\Server\mysql\bin\mysqld-nt (file missing)
O23 - Service: NBService - Nero AG - E:\Eigene Programme\Sonstiges\Nero 7 Essentials\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - E:\Eigene Programme\Sonstiges\Sophos Antivirus\AutoUpdate\ALsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10026 bytes
         
Besten Dank für die Hilfe!

Alt 21.03.2008, 10:48   #8
Shadow
/// Mr. Schatten
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Zitat:
Zitat von NorthShore Beitrag anzeigen
Hey,
was bedeutet kompromittiert in diesem Zusammenhang
= dein Rechner ist verseucht. Ehrlich, ich bin ja kein Freund des voreiligen Neu-Aufsetzens, aber wenn mein Rechner wohl schon zu einem Bot-Netz gehört (also ein fremdgesteuerter "Roboter" ist) würde ich ihn gleich neu aufsetzen - ohne lange Kompromisse.
Auch solltest du dringend(!) dein "Sicherheitskonzept" überdenken.
Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung!

Solltest du einen WLAN-Router haben (mit eingeschaltetem WLAN), wäre es auch möglich dass ein "netter Nachbar" deinen Zugang nutzt, dann wäre es sinnvoll dein System und die Ergebnisse doch anzusehen, aber so ...


Du hast wohl immer noch erklärt und geklärt warum auf deinem System ein Webserver läuft
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 21.03.2008, 12:39   #9
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Hm, also bisher dachte ich dass mein "Sicherheitskonzept" nicht soo schlecht wäre, die meisten der aufgeführten Punkte hatte ich auch berücksichtigt. Nun ja...
Ich habe keinen WLAN Router, lediglich einen WLAN Adapter, aber über den hat man ja kein Zugriff auf mein System.
Der Apache läuft weil ich gelegentlich in php Programmiere und die Ergebnisse auch gern mal auf meinem eigenen System teste.

Was ist mit dem Log FIles die ich gepostet habe? Kann man dort etwas erkennen?

Alt 21.03.2008, 13:08   #10
raman
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Ist wohl eine Rustock Variante gewesen: yutsubk.cat - Program Information
Obwohl ich eher auf Sturmwurm getippt haette
__________________
MfG Ralf

Alt 21.03.2008, 13:45   #11
Shadow
/// Mr. Schatten
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Zitat:
Zitat von NorthShore Beitrag anzeigen
Ich habe keinen WLAN Router, lediglich einen WLAN Adapter, aber über den hat man ja kein Zugriff auf mein System.
Meinst du einen WLAN-Adapter an deinem Notebook oder (Aldi?)-PC der aber nicht genutzt wird und deshalb deaktiviert ist oder eine WLAN-Bridge mit der man per WLAN auf dein Netz zugreifen kann?


Zitat:
Zitat von NorthShore Beitrag anzeigen
Der Apache läuft weil ich gelegentlich in php Programmiere und die Ergebnisse auch gern mal auf meinem eigenen System teste.
verständlich und okay. Hattest du dies oben schon geschrieben?
Zitat:
Zitat von NorthShore Beitrag anzeigen
Was ist mit dem Log FIles die ich gepostet habe? Kann man dort etwas erkennen?
Habe nicht geschaut, aber da verlassen wir uns mal auf raman.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 21.03.2008, 13:58   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mein Rechner sendet SPAM? - Icon32

Mein Rechner sendet SPAM?



raman hat recht, hier aus dem combofix logfile ersichtlich:

Code:
ATTFilter
C:\WINDOWS\BM774b9808.xml
C:\WINDOWS\inf\yutsubk.cat
C:\WINDOWS\pskt.ini

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_yutsubk
         
Deswegen plädiere ich auch für ein formatieren und neu aufsetzen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.03.2008, 14:30   #13
Shadow
/// Mr. Schatten
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Danke root (und natürlich raman), bin z.Zt. etwas "submotiviert" und habe keine Lust mehrere Zeilen hintereinander lesen zu müssen

(und genau deshalb ist ein Forum gut)
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 21.03.2008, 14:30   #14
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Zitat:
Meinst du einen WLAN-Adapter an deinem Notebook oder (Aldi?)-PC der aber nicht genutzt wird und deshalb deaktiviert ist oder eine WLAN-Bridge mit der man per WLAN auf dein Netz zugreifen kann?
Ich meineden WLAN Adapter an meinem Notebook. Meistens deaktiviert, weil ich ihn hier zu Hause nicht brauche. Brauche ihn allerdings manchmal wenn ich bei Kumpels in deren Wlan bin, und vergesse dann ihn zu Hause wieder zu deaktivieren.

Ok, also scheint System formatieren das einzig Sinnvolle zu sein?

Oder habe ich eine Chance den Rustock so zu entfernen?

Bzgl. Neuaufsetzen: Ich habe im Grunde 4 Partitionen, auf einer ist Linux, auf den anderen dreien Windows (eine mit dem System, eine mit installierten Programmen, eine mit Daten auf die auch von Linux aus zugegriffen werden kann). Alle formatieren oder reicht die mit dem Windows-System?

In wie weit kann ich vorher noch Daten sichern? Oder ist das RootKit (was Rustock ja glaube ich ist) in allen möglichen Dateien, so dass Sichern und Aufspielen gewisser Daten auf das neue System dann nur den Rustock auch auf das neue System überträgt?

In wie weit kann ich mich mit meinem Rechner im derzeitigen Zustand in ein anderes Home-Netzwerk einklinken, oder infiziere ich dann via Netzwerk andere Rechner?


Schon ma vielen Dank für die Hilfe.

Alt 21.03.2008, 19:18   #15
NorthShore
 
Mein Rechner sendet SPAM? - Standard

Mein Rechner sendet SPAM?



Ist es sicher, dass das der Rustock ist? Bzw. ist es nur der Rustock oder sind da noch mehr Schädlinge auf meinem System?

Vielen Dank für eure Hilfe.

Antwort

Themen zu Mein Rechner sendet SPAM?
adresse, ahnung, board, clean, computer, direkt, firefox, infiziert, interne, internet, meldung, nichts, rechner, seite, sophos, sorge, spam, spam-mails, spinnt, system, virus, wirklich, woche, wochen, zugang



Ähnliche Themen: Mein Rechner sendet SPAM?


  1. Gerätemanager leer/ Email Account sendet Spam, etc.
    Plagegeister aller Art und deren Bekämpfung - 18.03.2015 (27)
  2. Yahoo Mail Account sendet Spam Mails (von .com bei .de Adresse)
    Plagegeister aller Art und deren Bekämpfung - 23.06.2014 (11)
  3. Emailaccount sendet Spam an Adressen aus der Kontaktliste
    Log-Analyse und Auswertung - 16.06.2014 (11)
  4. Mein Rechner verschickt Spam-Emails... Trojaner? Virus?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2013 (11)
  5. mail account sendet spam
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (9)
  6. Mein Rechner sendet Spam laut meinem Provider.
    Log-Analyse und Auswertung - 12.10.2013 (21)
  7. eMail Account sendet unaufgefordert Spam-Mails
    Plagegeister aller Art und deren Bekämpfung - 01.02.2013 (1)
  8. Gmx-Account sendet Spam-Mails
    Plagegeister aller Art und deren Bekämpfung - 29.07.2012 (11)
  9. Mail ACC sendet SPAM Mails
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (2)
  10. Mein GMX Account sendet große Anzahl Spam-E-Mails
    Log-Analyse und Auswertung - 13.03.2012 (5)
  11. Mein Rechner sendet Spam? - Kein Befall gefunden...
    Überwachung, Datenschutz und Spam - 30.11.2010 (8)
  12. Mein Rechner versendet Spam
    Plagegeister aller Art und deren Bekämpfung - 04.11.2010 (1)
  13. Hilfe, mein Rechner verschickt Spam , Trojaner?
    Überwachung, Datenschutz und Spam - 23.10.2010 (24)
  14. Spam sendet aus meinem Account
    Überwachung, Datenschutz und Spam - 20.05.2009 (4)
  15. MSN sendet automatisch SPAM
    Log-Analyse und Auswertung - 15.08.2008 (1)
  16. PC langsam (!) und sendet spam (?)
    Log-Analyse und Auswertung - 17.03.2008 (11)
  17. Mein Rechner als Spam Server... und nach Neuinstall immernoch
    Plagegeister aller Art und deren Bekämpfung - 08.02.2007 (11)

Zum Thema Mein Rechner sendet SPAM? - Hallo, heute ist etwas merkwürdiges passiert. Ich wollte ins Internet, aber mein ISP (NetCologne) hat mir den Zugang verweigert. Begründung kam auf einer Seite, die sich im Firefox immer dann - Mein Rechner sendet SPAM?...
Archiv
Du betrachtest: Mein Rechner sendet SPAM? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.