Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bin ich ein Mailbot?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.08.2009, 23:05   #1
Nikitos77
 
bin ich ein Mailbot? - Icon21

bin ich ein Mailbot?



Nabend!

Habe folgendes Problem und brauche Rat/Hilfe:

Bereits seit mehreren Wochen, vielleicht Monaten, wird mein Mailpostfach von von "Mail delivery failed" Messages zugemüllt. Anfangs waren es 5 od. 10 am Tag, jetzt sind es oft mehrere Dutzend, und es wird immer mehr..
Als Absender (glaub ich) wird oft iamjustsendingthisleter@"meine-domain".de angegeben.
In vielen anderen "could not be delivered.." - Messages stehen verschiedenste nicht auffindbare Empfängeradressen, meist aus dem .de .at .it .com usw Bereich.

Ich habe hier mehre Rechner im Netzwerk, aber poste hier mal das HijackThis Log File von meinem Hauptrechner, der die meiste Zeit online ist (und nebenbei gesagt einen DYN-DNS Dienst laufen hat, aber das seht ihr ja gleich)

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:54:36, on 03.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\DynDNS Updater\DynUpSvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Raxco\PerfectDisk10\PDAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\DynDNS Updater\DynTray.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Raxco\PerfectDisk10\PDEngine.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Raxco\PerfectDisk10\PDAgentS1.exe
C:\Programme\Raxco\PerfectDisk10\PerfectDisk.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04d\BrStDvPt.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: DynDNS Updater Tray Icon.lnk = C:\Programme\DynDNS Updater\DynTray.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23D43176-43A7-4A91-BD51-B29AE051929B}: NameServer = 217.0.43.97,217.0.43.113
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BCD712E-65CC-4C34-AD09-563696EE93D9}: NameServer = 217.237.150.97,217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{23D43176-43A7-4A91-BD51-B29AE051929B}: NameServer = 217.0.43.97,217.0.43.113
O17 - HKLM\System\CS2\Services\Tcpip\..\{23D43176-43A7-4A91-BD51-B29AE051929B}: NameServer = 217.237.150.115,217.237.151.205
O17 - HKLM\System\CS3\Services\Tcpip\..\{23D43176-43A7-4A91-BD51-B29AE051929B}: NameServer = 217.0.43.97,217.0.43.113
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DynDNS Updater - Dynamic Network Services, Inc. - C:\Programme\DynDNS Updater\DynUpSvc.exe
O23 - Service: Google Update Service (gupdate1c9c5e9187797f4) (gupdate1c9c5e9187797f4) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk10\PDEngine.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: uvnc_service - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 9717 bytes


Und hier noch als Zugabe der vor ein paar Minuten erstellte Logfile von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 3

03.08.2009 23:59:40
mbam-log-2009-08-03 (23-59-29).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 179871
Laufzeit: 34 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\NetProject (Trojan.Zlob) -> No action taken.

Infizierte Dateien:
E:\Backups\Julia\glistiparasiti.EXE (Trojan.Dropper) -> No action taken.


Ich würd' mich über hilfreiche Antworten freuen.

MFG

Alt 04.08.2009, 18:37   #2
Kos
 
bin ich ein Mailbot? - Standard

bin ich ein Mailbot?



Hi

Da ist wohl ein Zlob-Trojaner am Werke. Eine Anleitung zum Entfernen findest Du hier. Die Bereinigung musst Du auf jedem Deiner PCs durchführen, das ist wichtig. Anschließend resette sicherheitshalber Deinen Router (falls du welchen verwendest) und ändere seine default-Passwörter in andere. Da die Zlob Varianten verschiedenste Malware nachladen können, ist es außerdem nicht verkehrt, alle Deine Passwörter von einem sauberen System aus zu ändern. Aus dem selben Grund kann man selbst nach einer Bereinigung nicht sicher sein, alles erwischt zu haben. Die bessere Lösung ist daher Neuinstallation - und zwar auf jedem Rechner.

Falls Du doch bereinigen möchtest:

Lade bitte, bevor Du das tust, diese Datei bei virustotal hoch:

Zitat:
E:\Backups\Julia\glistiparasiti.EXE
Der Name - glistiparasiti - bedeutet auf Russisch "WürmerParasiten", und weil auch Zlob (übersetzt - grober, starker Kerl) aus Russland stammt, vermute ich da einen Zusammenhang. Poste dann bitte, was virustotal zu der Datei sagt, und zwar komplett (also mit MD5-Wert usw.)

Gruß
__________________


Antwort

Themen zu bin ich ein Mailbot?
.com, antivir, avg, avira, bho, bonjour, desktop, failed, firefox, google, google update, gupdate, hijack, hijackthis, hijackthis log, internet, internet explorer, log file, mail delivery, mail delivery failed, malwarebytes' anti-malware, mozilla, mozilla thunderbird, netzwerk, popup, problem, registrierungsschlüssel, rundll, software, system, trojan.dropper, tuneup.defrag, usb, windows, windows xp




Zum Thema bin ich ein Mailbot? - Nabend! Habe folgendes Problem und brauche Rat/Hilfe: Bereits seit mehreren Wochen, vielleicht Monaten, wird mein Mailpostfach von von "Mail delivery failed" Messages zugemüllt. Anfangs waren es 5 od. 10 am - bin ich ein Mailbot?...
Archiv
Du betrachtest: bin ich ein Mailbot? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.