Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Habe von t-online Post bekommen...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.11.2008, 13:37   #1
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



... nachder über mein Account viel gespammt wurde. Zunächst habe ich das für einen HOAX gehalten und ziemlich unmotiviert meine HijackThis Logdatei hier: http://www.hijackthis.de/de ohne besondere Vorkommnisse überprüfen lassen.

Weiter setzte ich dann Spybot S&D und Ad-Aware ein, welche wiederum nur ein, zwei Tracking-Cookies fanden und eliminierten.
Sehr skeptisch ließ ich dann den in der Mail von t-online empfohlenen "Trend Micro HouseCall" über meinen Rechner laufen, welcher mich jedoch nur auf einige Lücken in meiner Office 2003 Installation hinwies, welche ich daraufhin schloss und nun keine weitern Beanstandungen erhalte.

Das Thema war für mich bis dahin dann fast gegessen, ja wenn nicht meine Firwall gemeldet hätte, dass der Generic Host Process for Win32 Services zur (74.50.107.172) IP funken will. Die Ergebnisse der Googlesuche zu dieser IP beunruhigten mich dann schon.

So wendete ich mich zunächst Malwarebytes' Anti-Malware 1.30 zu:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1434
Windows 5.1.2600 Service Pack 3

29.11.2008 20:24:14
mbam-log-2008-11-29 (20-24-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 231750
Laufzeit: 1 hour(s), 23 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Dann ließ ich BlackLight laufen:

Code:
ATTFilter
11/29/08 23:52:51 [Info]: BlackLight Engine 2.2.1092 initialized
11/29/08 23:52:51 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/29/08 23:52:52 [Note]: 7019 4
11/29/08 23:52:52 [Note]: 7005 0
11/29/08 23:52:55 [Note]: 7006 0
11/29/08 23:52:55 [Note]: 7011 3460
11/29/08 23:52:55 [Note]: 7035 0
11/29/08 23:52:55 [Note]: 7026 0
11/29/08 23:52:55 [Note]: 7026 0
11/29/08 23:52:58 [Note]: FSRAW library version 1.7.1024
11/30/08 00:01:29 [Note]: 7007 0
         
ComboFix fand und löschte dann auch tatsächlich einen mir unbekannten „rosa.sys“ Dienst
Code:
ATTFilter
ComboFix 08-11-29.02 - Administrator 2008-11-29 21:08:55.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1451 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires
d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires\rosa.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_rosa


(((((((((((((((((((((((   Dateien erstellt von 2008-10-28 bis 2008-11-29  ))))))))))))))))))))))))))))))
.

2008-11-29 20:30 . 2008-11-29 20:30	<DIR>	d--------	d:\dokumente und einstellungen\Administrator\DoctorWeb
2008-11-29 18:59 . 2008-11-29 18:59	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-29 18:59 . 2008-11-29 18:59	<DIR>	d--------	d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-29 18:59 . 2008-11-29 18:59	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-29 10:47 . 2008-11-29 18:15	<DIR>	d--------	d:\dokumente und einstellungen\Administrator\.housecall6.6
2008-11-28 19:29 . 2008-11-28 19:29	<DIR>	d--------	c:\programme\PC Inspector File Recovery
2008-11-28 17:52 . 2008-11-29 16:45	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-25 11:33 . 2008-11-25 12:55	<DIR>	d--------	c:\programme\Exifer
2008-11-25 11:33 . 2008-11-25 11:33	<DIR>	d--------	c:\programme\EXIF Date Changer
2008-11-23 15:59 . 2008-11-23 15:59	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe
2008-11-23 15:19 . 2008-11-23 15:19	<DIR>	d--------	c:\programme\LightScribe
2008-11-23 12:23 . 2008-11-23 12:26	<DIR>	d--------	c:\programme\Combined Community Codec Pack
2008-11-23 11:54 . 2008-11-23 11:54	<DIR>	d--------	d:\dokumente und einstellungen\Chris\Anwendungsdaten\vlc
2008-11-23 11:53 . 2008-11-23 11:53	<DIR>	d--------	d:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-11-21 11:06 . 2008-11-21 11:06	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\{deef362040caa3f2c46d3ca419a5b7ab}
2008-11-21 10:35 . 2008-11-21 10:50	<DIR>	d--------	c:\programme\HDD Regenerator
2008-11-20 22:00 . 2008-11-20 22:00	<DIR>	d--------	c:\programme\GetData
2008-11-20 21:35 . 2008-11-20 21:35	<DIR>	d--------	c:\programme\JPEG Recovery Pro
2008-11-20 20:55 . 2008-11-20 20:55	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\{bd78f9f661583e4dbb3c3468a905e704}
2008-11-20 20:50 . 2008-11-20 20:53	<DIR>	d--------	c:\programme\MagicRecovery Pro DEMO
2008-11-20 20:36 . 2008-11-20 22:24	<DIR>	d--------	c:\programme\Digital Photo Recovery
2008-11-20 20:26 . 2008-11-21 11:09	<DIR>	d--------	d:\dokumente und einstellungen\Administrator\Programs
2008-11-19 13:04 . 2008-11-19 13:04	<DIR>	d--------	c:\programme\GetDatBack
2008-11-18 21:10 . 2008-11-21 11:08	<DIR>	d--------	c:\programme\Data Recovery Pro
2008-11-18 21:05 . 2008-11-18 21:06	<DIR>	d--------	c:\programme\Toolstar Filerepair Pro
2008-11-18 20:26 . 2008-11-18 21:04	<DIR>	d--------	c:\programme\Data Recovery
2008-11-18 20:20 . 2008-11-18 21:03	<DIR>	d--------	c:\programme\Filerecovery Pro 3.5
2008-11-10 21:36 . 2008-11-29 21:20	<DIR>	d--------	c:\programme\Plaxo

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-29 15:45	---------	d-----w	d:\dokumente und einstellungen\Administrator\Anwendungsdaten\SolidDocuments
2008-11-29 09:48	102,664	----a-w	c:\windows\system32\drivers\tmcomm.sys
2008-11-29 08:52	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM
2008-11-28 18:29	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-28 16:38	---------	d-----w	c:\programme\Ad-Aware 2008
2008-11-28 11:29	---------	d-----w	c:\programme\EasyRecovery Professional
2008-11-27 23:18	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\foobar2000
2008-11-27 22:13	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype
2008-11-27 22:03	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\SolidDocuments
2008-11-27 18:12	---------	d-----w	c:\programme\StarMoney 5.0 APO-Edition Vollversion
2008-11-26 22:34	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss
2008-11-23 14:59	---------	d-----w	c:\programme\Gemeinsame Dateien\LightScribe
2008-11-23 11:29	---------	d-----w	c:\programme\DivX
2008-11-23 11:26	---------	d-----w	c:\programme\Media Player Classic
2008-11-23 10:51	---------	d-----w	c:\programme\VLC Player
2008-11-20 19:49	286,720	----a-w	c:\windows\iun507.exe
2008-11-20 19:45	---------	d-----w	c:\programme\Digital Image Recovery
2008-11-18 23:54	65,856	----a-w	c:\windows\system32\drivers\snapman.sys
2008-11-18 23:54	37,888	----a-w	c:\windows\system32\setupnt.dll
2008-11-18 20:37	---------	d-----w	c:\programme\SeaTools for Windows
2008-11-09 22:33	---------	d-----w	c:\programme\StarMoney 6.0
2008-11-05 20:25	---------	d-----w	c:\programme\Sunbelt Personal Firewall
2008-11-05 19:20	113,706	----a-w	c:\windows\system32\drivers\fwdrv.err
2008-11-03 18:32	---------	d-----w	c:\programme\Opera
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:10	38,496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10	15,504	----a-w	c:\windows\system32\drivers\mbam.sys
2008-10-15 12:06	---------	d-----w	c:\programme\FreePDF_XP
2008-10-12 10:19	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\MakeitOne
2008-10-12 10:19	---------	d-----w	c:\programme\mp3 Joiner
2008-10-12 10:04	---------	d-----w	d:\dokumente und einstellungen\Administrator\Anwendungsdaten\MakeitOne
2008-10-06 19:12	---------	d---a-w	c:\programme\VectorWorks Pro 2008
2008-10-05 16:40	---------	d-----w	d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nemetschek
2008-10-02 22:33	---------	d-----w	c:\programme\Microstation
2008-10-02 22:32	---------	d-----w	c:\programme\Gemeinsame Dateien\Bentley Shared
2008-10-02 09:31	---------	d-----w	c:\programme\Rhinoceros 4.0
2008-10-02 09:17	---------	d-----w	c:\programme\Langenscheidt T1 6.0
2008-10-02 08:18	---------	d-----w	c:\programme\Gemeinsame Dateien\McNeel Shared
2008-09-30 19:34	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\Nemetschek
2008-09-30 19:23	---------	d-----w	c:\programme\VectorWorks 2008
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-29 17:00	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-09-29 09:26	---------	d-----w	c:\programme\eMule
2008-09-28 21:18	---------	d-----w	d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canneverbe_Limited
2008-09-28 19:30	---------	d-----w	d:\dokumente und einstellungen\Chris\Anwendungsdaten\Canneverbe_Limited
2008-09-28 19:28	---------	d-----w	c:\programme\CDBurnerXP
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	----a-w	c:\windows\system32\msxml6.dll
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-06-22 09:14	56	---ha-w	d:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsidmv.dat
2004-08-03 22:57	67,518	----a-w	c:\windows\inf\i386\cmprops.dll
2008-04-14 05:52	93,184	--sha-w	c:\windows\ServicePackFiles\i386\iexplore.exe
2008-04-14 05:52	60,416	--sha-w	c:\windows\ServicePackFiles\i386\msimn.exe
2008-08-14 09:30	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081420080815\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"PlaxoUpdate"="c:\programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe" [2008-10-04 382023]
"PlaxoSysTray"="c:\programme\Plaxo\3.16.0.49\PlaxoSysTray.exe" [2008-10-04 20480]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-10-22 2363392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"FlashIcon"="c:\programme\USB Card Reader Driver v2.3\FlashIcon.exe" [2004-07-21 40960]
"SmartSync - ScheduleSync"="c:\progra~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [2006-08-31 45056]
"Acrobat Assistant 7.0"="c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]
"Xfire"="Xfire.exe" [2001-11-13 c:\windows\system32\xfire.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

d:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-09-28 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psnppagn32]
2004-11-20 22:53 12288 c:\windows\system32\psnppagn32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\V-Ray for 3ds max 9\\vrlserver.exe"=
"c:\\Programme\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"2116:TCP"= 2116:TCP:messenger

R0 m5289;m5289;c:\windows\system32\drivers\m5289.sys [2007-02-12 51840]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-11-05 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]
R2 ARCGIS License Manager;ARCGIS License Manager;c:\programme\ESRI\License\arcgis9x\lmgrd.exe [2006-08-13 467968]
R2 MicroGuard;MicroGuard Copy Protection;\??\c:\windows\system32\drivers\mgnt.sys [2007-01-29 40288]
R2 psnppagn32;DCOM Proxy for NPPAgent Object;rundll32.exe c:\windows\system32\psnppagn32.dll,ehet []
R2 SbPF.Launcher;SbPF.Launcher;"c:\programme\Sunbelt Personal Firewall\SbPFLnch.exe" [2008-07-30 95528]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-11-05 65576]
R3 ULI5261;ULi Based Ethernet NT Driver;c:\windows\system32\DRIVERS\ULILAN.SYS [2006-05-11 29696]
S2 SPF4;Sunbelt Personal Firewall 4;"c:\programme\Sunbelt Personal Firewall\SbPFSvc.exe" [2008-07-30 1361192]
S3 ALI5261;ALi-basierte Ethernet-NT-Treiber;c:\windows\system32\DRIVERS\ALI5261.SYS [2008-03-26 27678]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt [2005-08-17 7168]
S3 filter;filter;c:\windows\system32\drivers\filter.sys [2004-07-05 8832]
S3 HWACCESS;HWACCESS;\??\c:\windows\SYSTEM32\HWACCESS.SYS [2006-06-19 6808]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\lf3rst3f.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 21:19:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet006\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(860)
c:\windows\system32\psnppagn32.dll

- - - - - - - > 'explorer.exe'(1764)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Plaxo\3.16.0.49\plx_hook.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\programme\Office 2003\OFFICE11\msohev.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Belkin Wireless Network Utility\WLService.exe
c:\programme\ESRI\License\arcgis9x\ARCGIS.EXE
c:\programme\Belkin Wireless Network Utility\WLanCfgG.exe
c:\programme\VPN Client\cvpnd.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Raxco\PerfectDisk\PDAgent.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-29 21:30:01 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt  2008-11-29 20:29:55

Vor Suchlauf: 1,346,199,552 Bytes frei
Nach Suchlauf: 1,050,558,464 Bytes frei

225	--- E O F ---	2008-11-18 15:34:18
         
gleich gehts weiter....

Geändert von zonk (30.11.2008 um 14:35 Uhr)

Alt 30.11.2008, 13:45   #2
Lumitu
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Hi

poste mal bitte auch deinen Hjt-Logfile und dein System

Gruß Lumitu
__________________


Alt 30.11.2008, 13:55   #3
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



mann seid ihr schnell RESPEKT

.....aber hier erstmal hier die Fortsetzung:

Eine weitere Überprüfung ließ ich mit escan folgen. Außer merkwürdigen Reg-Einträgen fand aber auch dieses nichts besonderes.

Die „Virus Information“:
Code:
ATTFilter
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "virusguardplus Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "diskknight Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "spyware.expresskeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "personalantispy Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.
AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
         
Die „gefilterte“ Logdatei: (Händisch nach Maßnahme gesucht)

Übrigends der Link zu find.dat (ebenso wie der zur unauffindbar find.bat von haui) ist nicht mehr gerade aktuell

Code:
ATTFilter
30 Nov 2008 00:14:15 - **********************************************************
30 Nov 2008 00:14:15 - eScan-AntiViren- und Antispywarewerkzeugsatz.
30 Nov 2008 00:14:15 - Copyright ©   MicroWorld Technologies
30 Nov 2008 00:14:15 - **********************************************************
30 Nov 2008 00:14:15 - Version 10.0.36 (D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\MWAV\MEXE.COM)
30 Nov 2008 00:14:15 - Logdatei: D:\Dokumente und Einstellungen\Administrator\Desktop\mwav\MWAV.LOG
30 Nov 2008 00:14:15 - Datum und Uhrzeit des letzten Scannens: 29.11.2008 22:09:57
30 Nov 2008 00:14:15 - MWAV Registered: FALSE
30 Nov 2008 00:14:15 - User Account: Administrator (Administrator Mode)
30 Nov 2008 00:14:15 - OS Type: Windows Workstation
30 Nov 2008 00:14:15 - OS: Windows XP [OS Install Date: 12 Feb 2007 16:40:38]
30 Nov 2008 00:14:15 - Ver: Service Pack 3 (Build 2600)
30 Nov 2008 00:14:15 - System Up Time: 5 Minutes, 26 Seconds 

30 Nov 2008 00:14:15 - Parent Process Name : C:\WINDOWS\Explorer.EXE
30 Nov 2008 00:14:15 - Windows Root  Folder: C:\WINDOWS
30 Nov 2008 00:14:15 - Windows Sys32 Folder: C:\WINDOWS\system32
30 Nov 2008 00:14:15 - Local Fixed Drives: c:\,d:\,n:\
30 Nov 2008 00:14:15 - MWAV Mode: Only Scan files
30 Nov 2008 00:14:16 - [CREATED ZIP FILE: D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\pinfect.zip]

…..

30 Nov 2008 00:50:50 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
30 Nov 2008 00:50:54 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Größe: 866983]…
30 Nov 2008 00:50:54 - Indexed Spyware Databases Successfully Created...
 
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\kazaa !!!
30 Nov 2008 00:51:08 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:08 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:12 - Offending file found: C:\WINDOWS\system32\borlndmm.dll
30 Nov 2008 00:51:12 - System found infected with virusguardplus Corrupted Adware/Spyware (borlndmm.dll)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:51:23 - Offending file found: D:\Dateien von Administrator\backup.reg
30 Nov 2008 00:51:23 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:51:41 - Offending file found: D:\Dateien von Administrator\backup.reg
30 Nov 2008 00:51:41 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:51:55 - Offending Registry Entry found: hkcu\software\microsoft\ole
30 Nov 2008 00:51:55 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:51:57 - Offending Registry Entry found: hklm\software\knight
30 Nov 2008 00:51:57 - System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:51:58 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\policies\associations
30 Nov 2008 00:51:58 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:51:58 - Offending Registry Entry found: hklm\software\microsoft\internet explorer\urlsearchhooks
30 Nov 2008 00:51:58 - System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.
 
30 Nov 2008 00:52:14 - Checking MountPoints2 Registry Key...
30 Nov 2008 00:52:14 - Checking CLSID Reference Entries...
30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:52:23 - Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:52:23 - Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:52:24 - Checking Module Usage Entries...
30 Nov 2008 00:52:24 - Checking User Trusted External App Entries...
30 Nov 2008 00:52:24 - Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.

30 Nov 2008 00:52:24 - Checking Shared DLL Entries...
30 Nov 2008 00:52:32 - Checking Installer Entries...
30 Nov 2008 00:52:43 - Checking Shared Tools Entries...
30 Nov 2008 00:52:43 - Checking File Extension Entries...
30 Nov 2008 00:52:43 - Checking Application Cache Entries...

…

30 Nov 2008 01:24:38 - AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.

….

30 Nov 2008 01:34:51 - Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

….

30 Nov 2008 01:34:53 - Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

….
         

Wenn Ihr also Vorschläge hättet, ob und wie man jetzt dagegen vorgehen soll, dann wäre ich euch dafür sehr dankbar.


Ohne größere Ergebnisse lief dann noch die ganze Nacht DrWeb:

Code:
ATTFilter
C.bat;C:\32788R22FWJFW;Wahrscheinlich BATCH.Virus
psexec.cfexe;C:\32788R22FWJFW	;Program.PsExec.171
ComboFix.exe\32788R22FWJFW\C.bat;D:\Dateien von Administrator\Software\ComboFix.exe;Wahrscheinlich BATCH.Virus
ComboFix.exe\32788R22FWJFW\psexec.cfexe;D:\Dateien von Administrator\Software\ComboFix.exe;Program.PsExec.171
ComboFix.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte
SPECViewperf10.exe\data125;D:\Dateien von Administrator\Software\SPECViewperf10.exe;Tool.ShutDown.10
SPECViewperf10.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte
Oiloncanvas.html	;D:\Dateien von Chris\Dokumente\Architektur\nach Themen\www.usc.edu\schools\annenberg\asc\projects\comm544\library\mediums;Win32.HLLM.Graz
         


Also so richtig weiß ich mit Alledem jetzt nichts anzufangen. Daher meine Fragen an Euch:

1. Wie kann ich überprüfen ob mein Rechner noch spammt?
2. Was sollte/könnte ich noch unternehmen?
3. Ist eine Systemwiederherstellung vor Ausführung des wahrscheinlichen schuldigen „Trojan-Dropper.Win.32.Kgen.gen“ (befindet sich nicht mehr auf dem Rechner) sinnvoll?
4. Was mache ich mit der wohl beim Start von esacn angelegten Datei „pinfect.zip“? (siehe auch hier: http://www.trojaner-board.de/47803-w...m-analyse.html)

Schon mal vielen Dank und noch einen schönen Sonntag

Chris
__________________

Geändert von zonk (30.11.2008 um 14:18 Uhr) Grund: codefenster

Alt 30.11.2008, 14:01   #4
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



... und zu guter Letzt natürlich auch noch die HijackThis File:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:41, on 29.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ESRI\License\arcgis9x\lmgrd.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Belkin Wireless Network Utility\WLService.exe
C:\Programme\ESRI\License\arcgis9x\ARCGIS.EXE
C:\Programme\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Xfire.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe
C:\Programme\Sunbelt Personal Firewall\SbPFCl.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Opera\opera.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\USB Card Reader Driver v2.3\FlashIcon.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe -a
O4 - HKCU\..\Run: [PlaxoSysTray] C:\Programme\Plaxo\3.16.0.49\PlaxoSysTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcPreview.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: psnppagn32 - C:\WINDOWS\SYSTEM32\psnppagn32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ARCGIS License Manager - Unknown owner - C:\Programme\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Programme\Kerio Personal Firewall 4.2.3.912\Personal Firewall 4\kpf4ss.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: DCOM Proxy for NPPAgent Object (psnppagn32) - Unknown owner - rundll32.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe

--
End of file - 8034 bytes
         


Warum klappt das nicht mehr mit'm "CODE".. naja egal auf jeden Fall viel Spaß damit und auch schon gleich ein Dankeschön

Geändert von zonk (30.11.2008 um 14:10 Uhr) Grund: code-fenster

Alt 30.11.2008, 14:08   #5
Franz1968
/// Helfer-Team
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Auf deinem Rechner sollte es einen Ordner
Code:
ATTFilter
C:\Qoobox\Quarantine
         
geben. Was findest du darin?

Übrigens, zu den Code-Tags: Slash, nicht Backslash.

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 30.11.2008, 14:25   #6
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



In C:\Qoobox\Quarantine befindet sich:

ein leerer Odner namens "C"

ein Odner namens "Registry_backups" mit den Dateien: HKLM-Run-CFSServ.exe.reg.dat, HKLM-Run-NDSTray.exe.reg.dat, HKLM-Run-TFncKy.reg.dat, Service_rosa.reg.dat, ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5}.reg.dat und tcpip.reg

der catchme.log:

Code:
ATTFilter
-------- 29.11.2008 - 20:57:19,29  -------------


-------- 2008-11-29 - 21:08:05.81  -------------
         

Alt 30.11.2008, 15:02   #7
Franz1968
/// Helfer-Team
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...





Befindet sich denn irgendwo eine Datei, die so heißen müsste:
Zitat:
rosa.sys.vir
(-> Windowssuche)

Außerdem würde mich interessieren, was Virustotal zu dieser Datei sagt:
Zitat:
C:\WINDOWS\SYSTEM32\psnppagn32.dll
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 30.11.2008, 15:25   #8
zonk
 
Habe von t-online Post bekommen... - Daumen hoch

Habe von t-online Post bekommen...



Hallo Franz1968!

Da hast du wohl ein tolles Gespühr bewiesen:

Datei psnppagn32.dll empfangen 2008.11.30 15:14:45 (CET)
Status: Beendet
Ergebnis: 11/37 (29.73%)

Code:
ATTFilter
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	   2008.11.28.2	 2008.11.30	-
AntiVir	7.9.0.36	2008.11.29	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.11.30	-
Avast	4.8.1281.0	2008.11.29	Win32:Globan
AVG	8.0.0.199	2008.11.29	Agent_r.EG
BitDefender	7.2	2008.11.30	DeepScan:Generic.Clicker.Lobgal.F63E2684
CAT-QuickHeal	10.00	2008.11.29	-
ClamAV	0.94.1	2008.11.30	-
DrWeb	4.44.0.09170	2008.11.30	-
eSafe	7.0.17.0	2008.11.30	Suspicious File
eTrust-Vet	31.6.6234	2008.11.28	-
Ewido	4.0	2008.11.30	-
F-Prot	4.4.4.56	2008.11.29	-
F-Secure	8.0.14332.0	2008.11.30	Trojan-Proxy.Win32.Glukelira.gen
Fortinet	3.117.0.0	2008.11.30	-
GData	19	2008.11.30	DeepScan:Generic.Clicker.Lobgal.F63E2684
Ikarus	T3.1.1.45.0	2008.11.30	Trojan-Dropper.Agent
K7AntiVirus	7.10.538	2008.11.29	-
Kaspersky	7.0.0.125	2008.11.30	Trojan-Proxy.Win32.Glukelira.gen
McAfee	5449	2008.11.29	-
McAfee+Artemis	5449	2008.11.29	-
Microsoft	1.4104	2008.11.30	-
NOD32	3651	2008.11.30	a variant of Win32/Evati.A
Norman	5.80.02	2008.11.28	-
Panda	9.0.0.4	2008.11.30	-
PCTools	4.4.2.0	2008.11.30	-
Prevx1	V2	2008.11.30	-
Rising	21.05.62.00	2008.11.30	-
SecureWeb-Gateway	6.7.6	2008.11.29	Trojan.Crypt.XPACK.Gen
Sophos	4.36.0	2008.11.30	-
Sunbelt	3.1.1832.2	2008.11.27	-
Symantec	10	2008.11.30	-
TheHacker	6.3.1.1.169	2008.11.29	-
TrendMicro	8.700.0.1004	2008.11.28	-
VBA32	3.12.8.9	2008.11.29	-
ViRobot	2008.11.29.1492	2008.11.29	-
VirusBuster	4.5.11.0	2008.11.29	-
weitere Informationen
File size: 12288 bytes
MD5...: d35f075df6726ee13842e3532d78857a
SHA1..: 21365835c8163be819ee072479cac1781e197b99
SHA256: ab1017486919dd586caad7ead3954685591f3e94c3acdf5e5714b42f41309e16
SHA512: b9f436cdd5b891e633eb938a960e31c4c5f4c68c594b9cb1e9e8af5891c8cea9
f0b3df70e7d11df49884fd128498b92fff478beac327203e0be2f844d8c11f94
ssdeep: 192:o0llxPnbv693qKrQTtffPC/dxVL+fAUBp+o6lr1HOAl5TUpwiiDWPWj:o0Tp
nbvwZkTYdvLivjmrMM9V7WPWj
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000a430
timedatestamp.....: 0x48baf116 (Sun Aug 31 19:29:26 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x3000 0x2600 7.86 4137cfa9b6336375e9330614c13da38d
.rsrc 0xb000 0x1000 0x600 2.85 74c441ef5f9ceb00103444064e5461b0

( 1 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree

( 1 exports ) 
ehet
packers (Kaspersky): PE_Patch.UPX, UPX
packers (Avast): UPX
packers (F-Prot): UPX
         
Leider konnte ich keine
Code:
ATTFilter
Rosa.sys.vir
         
finden.. ich hab auch nach versteckten Dateien und in Sytemordnern suchen lassen..

Viele Grüße Chris

....aber was kann ich jetzt tun?

Alt 30.11.2008, 15:54   #9
Franz1968
/// Helfer-Team
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Lade dir einmal TcpView:
http://download.sysinternals.com/Files/TcpView.zip
Entpacke und starte tcpview.exe. In dem sich öffnenden Programmfenster aktiviere unter Options den Punkt Show unconnected endpoints. Im Anschluss wähle unter File Save as und speichere das Ergebnis von TcpView als c:\tcpview.txt. Den Inhalt dieser Datei poste hier.

Lade dir außerdem den Process Explorer:
http://download.sysinternals.com/Files/ProcessExplorer.zip
Nur herunterladen, noch nicht ausführen.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 30.11.2008, 16:42   #10
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



so die Ausgabe von TCPview:

Code:
ATTFilter
[System Process]:0	TCP	zonk:33233	localhost:2618	TIME_WAIT	
[System Process]:0	TCP	zonk:2607	217-212-246-145.customer.teliacarrier.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:2608	217-212-246-145.customer.teliacarrier.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:33233	localhost:2620	TIME_WAIT	
[System Process]:0	TCP	zonk:2622	localhost:33233	TIME_WAIT	
[System Process]:0	TCP	zonk:2624	localhost:33233	TIME_WAIT	
[System Process]:0	TCP	zonk:33233	localhost:2609	TIME_WAIT	
[System Process]:0	TCP	zonk:2598	statse.iad.webtrendslive.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:33233	localhost:2626	TIME_WAIT	
[System Process]:0	TCP	zonk:2599	statse.iad.webtrendslive.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:2601	statse.iad.webtrendslive.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:33233	localhost:2613	TIME_WAIT	
[System Process]:0	TCP	zonk:2602	statse.iad.webtrendslive.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:2603	217-212-246-145.customer.teliacarrier.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:2604	217-212-246-145.customer.teliacarrier.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:33233	localhost:2616	TIME_WAIT	
[System Process]:0	TCP	zonk:2605	217-212-246-145.customer.teliacarrier.com:http	TIME_WAIT	
[System Process]:0	TCP	zonk:2606	217-212-246-145.customer.teliacarrier.com:http	TIME_WAIT	
alg.exe:2564	TCP	zonk:1031	zonk:0	LISTENING	
ARCGIS.EXE:1760	TCP	zonk:1025	zonk:0	LISTENING	
ARCGIS.EXE:1760	UDP	zonk:1027	*:*		
cvpnd.exe:1796	TCP	zonk:62514	zonk:0	LISTENING	
cvpnd.exe:1796	UDP	zonk:62514	*:*		
lmgrd.exe:1696	TCP	zonk:27000	zonk:0	LISTENING	
lsass.exe:924	UDP	zonk:isakmp	*:*		
lsass.exe:924	UDP	zonk:4500	*:*		
opera.exe:1884	TCP	zonk:2631	65.55.197.126:http	ESTABLISHED	
opera.exe:1884	TCP	zonk:2636	65.55.11.240:http	ESTABLISHED	
opera.exe:1884	TCP	zonk:2629	65.55.197.126:http	ESTABLISHED	
raysat_3dsmax9_32server.exe:284	TCP	zonk:mi-raysat_3dsmax9_32	zonk:0	LISTENING	
SbPFCl.exe:3232	TCP	zonk:1038	localhost:1040	ESTABLISHED	
SbPFCl.exe:3232	TCP	zonk:1036	localhost:44334	ESTABLISHED	
SbPFCl.exe:3232	TCP	zonk:1038	zonk:0	LISTENING	
SbPFCl.exe:3232	UDP	zonk:1039	*:*		
SbPFCl.exe:3232	UDP	zonk:1037	*:*		
SbPFCl.exe:3232	UDP	zonk:1445	*:*		
SbPFSvc.exe:456	TCP	zonk:1040	localhost:1038	ESTABLISHED	
SbPFSvc.exe:456	TCP	zonk:44334	localhost:1036	ESTABLISHED	
SbPFSvc.exe:456	TCP	zonk:44334	zonk:0	LISTENING	
SbPFSvc.exe:456	TCP	zonk:44501	zonk:0	LISTENING	
SbPFSvc.exe:456	UDP	zonk:44334	*:*		
spoolsv.exe:1584	UDP	zonk:1030	*:*		
svchost.exe:1080	TCP	zonk:3389	zonk:0	LISTENING	
svchost.exe:1192	TCP	zonk:epmap	zonk:0	LISTENING	
svchost.exe:1248	UDP	zonk:ntp	*:*		
svchost.exe:1248	UDP	zonk:ntp	*:*		
svchost.exe:1440	UDP	zonk:1900	*:*		
svchost.exe:1440	UDP	zonk:1900	*:*		
System:4	TCP	zonk:microsoft-ds	zonk:0	LISTENING	
System:4	TCP	zonk:netbios-ssn	zonk:0	LISTENING	
System:4	UDP	zonk:netbios-ns	*:*		
System:4	UDP	zonk:microsoft-ds	*:*		
System:4	UDP	zonk:netbios-dgm	*:*
         

Alt 30.11.2008, 18:05   #11
Franz1968
/// Helfer-Team
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Ok, ich hatte jetzt naiverweise gedacht, beim Spamversand zugucken zu können. Dem ist aber nicht so.
Gibt es irgendeine Regelmäßigkeit in Bezug auf die Verbindungen zu der ominösen IP-Adresse? Schau ggf. mal im Log deiner Firewall nach.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 30.11.2008, 19:54   #12
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Hallo Franz1968 und alle anderen!

Ich habe mal den Rechner neu gestartet und gehofft so die MalWare "an den Start" zu bringen. Wie aber schon den ganzen Nachmittag gibt’s sie sich weiterhin sehr bedeckt. Zwar wurde wieder eine Verbindung zu 74.50.107.172 erfragt, die ich dann auch erlaubt habe, (siehe Screenshot 1) jedoch steht im Firewll-Log denied.. (siehe Screenshot 2) obwohl ich den Vorgang ausdrücklich zugelassen habe

Jedenfalls tat sich zunächst nichts Großartiges...und dann (musste in der FireWall zwar noch Port 25 freigeben) gings aber los ! (siehe Screenshot 3)

Hier die das Log-File von TcpView: (zum selbigen Zeitpunkt)

Code:
ATTFilter
[System Process]:0	TCP	zonk:1674	spf12.us4.outblaze.com:smtp	TIME_WAIT	
...
gekürzt.. war zu lang :-)
....
[System Process]:0	TCP	zonk:1721	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2105	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1995	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1675	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1323	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1558	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1750	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1381	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1813	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1797	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1848	spf12.us4.outblaze.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2037	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1221	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1573	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2137	nb-mx-vip2.prodigy.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1274	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1146	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1866	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1658	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1466	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2015	exch.corp.earthlink.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1180	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1836	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1196	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2044	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1372	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2028	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1276	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1884	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1335	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1783	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1607	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1562	aln-mailrelay.att.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1510	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1590	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1222	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1654	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1318	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1366	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1579	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1787	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1419	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1627	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1629	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1373	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1197	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1805	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1645	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1288	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1617	ib1.charter.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1518	rmail.lycosmail.lycos.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1742	rmail.lycosmail.lycos.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2169	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2174	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2186	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2170	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2145	fk-in-f27.google.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2173	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2179	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2165	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2181	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2193	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2185	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2166	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2207	nb-mx-vip1.prodigy.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2197	mxl145v2.mxlogic.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2206	litemail08.bigfoot.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2216	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2223	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2227	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2222	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2226	dc.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2219	mail.mx4.compuserve.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2233	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2236	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2232	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2241	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2238	spf11.us4.outblaze.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2253	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:1949	desperate.cnc.net:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2252	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2255	da.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2258	md.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2263	de.mx.aol.com:smtp	TIME_WAIT	
[System Process]:0	TCP	zonk:2260	exch.corp.earthlink.net:smtp	TIME_WAIT	
Acrobat.exe:1180	UDP	zonk:1080	*:*		
alg.exe:3732	TCP	zonk:1031	zonk:0	LISTENING	
ARCGIS.EXE:1936	TCP	zonk:1025	zonk:0	LISTENING	
ARCGIS.EXE:1936	UDP	zonk:1027	*:*		
cvpnd.exe:1972	TCP	zonk:62514	zonk:0	LISTENING	
cvpnd.exe:1972	UDP	zonk:62514	*:*		
lmgrd.exe:1868	TCP	zonk:27000	zonk:0	LISTENING	
lsass.exe:1088	UDP	zonk:isakmp	*:*		
lsass.exe:1088	UDP	zonk:4500	*:*		
raysat_3dsmax9_32server.exe:576	TCP	zonk:mi-raysat_3dsmax9_32	zonk:0	LISTENING	
SbPFCl.exe:1964	TCP	zonk:1037	localhost:44334	ESTABLISHED	
SbPFCl.exe:1964	TCP	zonk:1039	localhost:1041	ESTABLISHED	
SbPFCl.exe:1964	TCP	zonk:1039	zonk:0	LISTENING	
SbPFCl.exe:1964	UDP	zonk:1090	*:*		
SbPFCl.exe:1964	UDP	zonk:1040	*:*		
SbPFCl.exe:1964	UDP	zonk:1038	*:*		
SbPFSvc.exe:312	TCP	zonk:44334	localhost:1037	ESTABLISHED	
SbPFSvc.exe:312	TCP	zonk:1041	localhost:1039	ESTABLISHED	
SbPFSvc.exe:312	TCP	zonk:44334	zonk:0	LISTENING	
SbPFSvc.exe:312	TCP	zonk:44501	zonk:0	LISTENING	
SbPFSvc.exe:312	UDP	zonk:44334	*:*		
spoolsv.exe:1764	UDP	zonk:1030	*:*		
svchost.exe:1252	TCP	zonk:1947	mta-v8.mail.vip.mud.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2100	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1991	mta-v1.mail.vip.re3.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2119	mta-v1.mail.vip.re3.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1941	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2133	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1225	mta-v1.mail.vip.re3.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1143	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1158	mta-v15.mail.vip.re1.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1556	mta-v13.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1657	mta-v1.mail.vip.ac4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1361	mta-v8.mail.vip.mud.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1259	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1304	mta-v13.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1407	mta-v1.mail.vip.re3.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1398	mta-v9.mail.vip.mud.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2150	mta-v9.mail.vip.mud.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1806	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1630	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1194	mta-v13.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1472	mta-v1.mail.vip.ac4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:1994	mta-v9.mail.vip.mud.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2050	mta-v12.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:3389	zonk:0	LISTENING	
svchost.exe:1252	TCP	zonk:2228	mta-v15.mail.vip.re1.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2242	mta-v13.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2248	mta-v15.mail.vip.re1.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2250	mta-v13.mail.vip.re4.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2262	mta-v15.mail.vip.re1.yahoo.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2273	mta-v15.mail.vip.re1.yahoo.com:smtp	SYN_SENT	
svchost.exe:1252	TCP	zonk:2275	mx.dca.untd.com:smtp	ESTABLISHED	
svchost.exe:1252	TCP	zonk:2274	mta-v13.mail.vip.re4.yahoo.com:smtp	LAST_ACK	
svchost.exe:1252	TCP	zonk:2276	mta-v1.mail.vip.re3.yahoo.com:smtp	SYN_SENT	
svchost.exe:1252	TCP	zonk:2281	bay0-mc4-f.bay0.hotmail.com:smtp	SYN_SENT	
svchost.exe:1252	TCP	zonk:2280	mail.mx5.compuserve.com:smtp	SYN_SENT	
svchost.exe:1252	TCP	zonk:2283	mta-v12.mail.vip.re4.yahoo.com:smtp	SYN_SENT	
svchost.exe:1252	TCP	zonk:2282	mta-v9.mail.vip.mud.yahoo.com:smtp	LAST_ACK	
svchost.exe:1360	TCP	zonk:epmap	zonk:0	LISTENING	
svchost.exe:1420	UDP	zonk:ntp	*:*		
svchost.exe:1420	UDP	zonk:ntp	*:*		
svchost.exe:1600	UDP	zonk:1900	*:*		
svchost.exe:1600	UDP	zonk:1900	*:*		
System:4	TCP	zonk:microsoft-ds	zonk:0	LISTENING	
System:4	TCP	zonk:netbios-ssn	zonk:0	LISTENING	
System:4	UDP	zonk:netbios-ns	*:*		
System:4	UDP	zonk:microsoft-ds	*:*		
System:4	UDP	zonk:netbios-dgm	*:*
         

Da ich morgen dann auch schon wieder an dem Rechner arbeiten muss, und das auch nur noch für 1 Monat, macht eine zeitnahe Neuinstallation oder sehr zeitaufwändige Säuberung keinen Sinn, und so werde ich ihm wohl einfach den W-LAN Dongle ziehen.. aus die Maus.

Jetzt nur noch schnell zur "psnppagn32.dll". Sollte ich die vorsichtshalber wie in dem escan Tutorial beschrieben löschen.. oder bringt das gar nichts? Ich nehme mal an, da hat sich bei mir ein feines Root-Kit eingenistet, das es versteht sich sehr gut zu verstecken...

.. was haltet Ihr von einer Systemwiederherstellung zu einem früheren Zeitpunkt... könnte das was bringen?.. und was soll ich denn mit der
Code:
ATTFilter
pinfect.zip
         
machen?

Viele Grüße

Chris
Miniaturansicht angehängter Grafiken
Habe von t-online Post bekommen...-screenshot-1.1.jpg   Habe von t-online Post bekommen...-screenshot-2.1.jpg   Habe von t-online Post bekommen...-screenshot-3.1.jpg  

Geändert von zonk (30.11.2008 um 20:40 Uhr)

Alt 30.11.2008, 22:35   #13
Franz1968
/// Helfer-Team
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Dann versuchen wir behelfsweise, die psnppagn32.dll zu löschen.

Lade dir The Avenger hier. Entpacke die exe-Datei nach C:\, starte sie und kopiere in das weiße Feld bei "input script here" Folgendes:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\SYSTEM32\psnppagn32.dll
         
Klicke "execute", bestätige und lasse den Rechner neu starten.
Nach dem Reboot findest du eine Datei c:\avenger.txt
Deren Inhalt hier posten.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 30.11.2008, 23:04   #14
zonk
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



@franz1968: Allzulaut mag ich noch nicht dennoch gebührt dir so oder so ein riesen :aplaus: für deine Tips und deinen Einsatz!

In der Avenger Log fand sich folgendes:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\SYSTEM32\psnppagn32.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Nochmals vielen Dank

Chris

P.S.: Werde in absehbarer Zeit natürlich auch noch posten ob das des "Pudels Kern" war

Alt 01.12.2008, 16:55   #15
Franz1968
/// Helfer-Team
 
Habe von t-online Post bekommen... - Standard

Habe von t-online Post bekommen...



Zitat:
Zitat von zonk Beitrag anzeigen
Allzulaut mag ich noch nicht
Es gibt auch leider keinen Grund dazu. Durch die Löschung der psnppagn32.dll mag der Spamversand aufhören. Aber irgendwo in diesem Thread las ich etwas von einer Kgen.gen.

Flüchtiges Googlen förderte u.a. Hinweise auf geklaute Zugangsdaten zu Tage, so dass du in jedem Fall deinen Rechner neu aufsetzen solltest und außerdem Zugangsdaten (Mailaccounts, Game-Accounts, Ebay, Online-Banking usw. usf.) von einem sauberen Rechner aus ändern solltest.

Warte nicht zu lange damit. Was auf deinem Rechner verändert worden ist, ist u.U. nicht mehr nachvollziehbar. Dass T-Online dich vom Netz abklemmt, wenn dein Rechner weiter spammen sollte, könnte noch das geringere Übel sein.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Antwort

Themen zu Habe von t-online Post bekommen...
1.exe, ad-aware, administrator, browser, combofix, components, data recovery, desktop, einstellungen, generic, generic host, generic host process, hijack, hijackthis, home, installation, jusched.exe, laufende prozesse, logon.exe, malwarebytes' anti-malware, monitor.exe, mozilla, mp3, object, opera, programme, proxy, registrierungsschlüssel, rundll, security, skype.exe, software, starmoney, suchlauf, system, tcp, usb, windows xp, winlogon.exe




Ähnliche Themen: Habe von t-online Post bekommen...


  1. Habe bei Steam eine .scr Datei geschickt bekommen dann gedownloaded... Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2015 (12)
  2. Habe img_72938.scr geschickt bekommen...
    Plagegeister aller Art und deren Bekämpfung - 17.02.2015 (11)
  3. Nach dem installieren eines Programmes, habe ich auf einmal schwarzen Bildschirm bekommen und Desktop Dateien teilweise weg!
    Diskussionsforum - 24.05.2014 (37)
  4. Habe mir HDVidCodec geladen und anschließend viel Maleware bekommen
    Log-Analyse und Auswertung - 15.04.2014 (12)
  5. Ich habe eien E Mail von einem Online Anwalt erhalten mit Anlage, die ich geöffnet habe. Seit dem Probleme
    Log-Analyse und Auswertung - 10.04.2014 (13)
  6. habe E-mail von BSI bekommen
    Log-Analyse und Auswertung - 27.01.2014 (7)
  7. brauche hilfe habe e-mail bekommen mit anhang meine mutter hat es geofnet und da warn trojaner drin
    Log-Analyse und Auswertung - 30.06.2013 (2)
  8. Ich habe leider ein Trojaner (wieder -.-) bekommen!
    Log-Analyse und Auswertung - 11.09.2012 (1)
  9. habe auch so eine Flirtfever Mail mit Zip bekommen verschlüsselungs malware
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  10. Noch habe ich keinen Trojaner, kann ich vorher einen Rat bekommen oder erst wenn es zu spät ist?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (4)
  11. hallo habe gestern die meldung bekommen sata fehler haft
    Plagegeister aller Art und deren Bekämpfung - 23.03.2011 (1)
  12. Habe per Windows Live Messenger einen Virus geschickt bekommen und ihn leider aktiviert...
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (0)
  13. habe von der telekom ein brief bekommen, sind trojaner auf mein pc?
    Log-Analyse und Auswertung - 29.08.2010 (24)
  14. T-Online warnt per Post?
    Diskussionsforum - 06.12.2009 (3)
  15. Habe ein Virus über gefälschte YouTube Internetseite bekommen !
    Plagegeister aller Art und deren Bekämpfung - 07.05.2009 (8)
  16. Hjackthis Post, Habe leider keine Ahnung davon..
    Log-Analyse und Auswertung - 17.03.2008 (4)
  17. Habe Mail mit meinem Absendender bekommen. Account geknackt?
    Plagegeister aller Art und deren Bekämpfung - 24.11.2003 (6)

Zum Thema Habe von t-online Post bekommen... - ... nachder über mein Account viel gespammt wurde. Zunächst habe ich das für einen HOAX gehalten und ziemlich unmotiviert meine HijackThis Logdatei hier: http://www.hijackthis.de/de ohne besondere Vorkommnisse überprüfen lassen. Weiter - Habe von t-online Post bekommen......
Archiv
Du betrachtest: Habe von t-online Post bekommen... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.