Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner schickt Spam-Mails (Combofix Log file als Anlage)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2010, 16:23   #1
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Hallo

ich bitte um Hilfe, denn die Telekom hat bereits meine Mails gesperrt, da ich einen Trojaner (TR/Rootkit.GEN) auf meinem Notebook habe, der SPAM mails über den Anschluss verteilt.

Habe bereits versucht das Problem mit dem Programm Combofix zu lösen, der Trojaner ist allerdings noch da.
Combofix Log im Anhang.

Vielen Dank für die Hilfe
Angehängte Dateien
Dateityp: txt ComboFix.txt (14,0 KB, 353x aufgerufen)

Alt 14.02.2010, 23:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Hallo und

Combofix sollte nur auf explizite Anweisung im Board hin ausgefühert werden!
Warum hast Du es ausgeführt, einfach nur so, oder weil Dir jmd. CF empfohlen hat?

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 15.02.2010, 15:49   #3
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Hallo,
also Combofix wurde mir von einem Fachmann geraten.
Habe jetzt die Programme durchlaufen lassen.

Hier die Logfiles (anders habe ich es leider nicht hinbekommen...sorry)

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3741
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

15.02.2010 15:24:32
mbam-log-2010-02-15 (15-24-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 232204
Laufzeit: 55 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\drivers\rvwnjxo.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by **** at 2010-02-15 15:34:47
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 35 GB (46%) free of 76 GB
Total RAM: 2038 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:21, on 15.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\WinTV\EPG Services\System\EPGClient.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WksCal.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\****\Desktop\RSIT.exe
C:\Program Files\trend micro\****.exe
C:\Windows\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = GMX - E-Mail, FreeMail, Themen- & Shopping-Portal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [HWSetup] \HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} -
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} -
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: dlbc_device - - C:\Windows\system32\dlbccoms.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9130 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0\bin\ssv.dll [2007-04-16 501384]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"KeNotify"=C:\Program Files\TOSHIBA\Utilities\KeNotify.exe [2006-11-06 34352]
"SVPWUTIL"=C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe [2006-03-22 438272]
"HWSetup"=\HWSetup.exe hwSetUP []
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-09-03 4702208]
"TPwrMain"=C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE [2007-03-29 411192]
"HSON"=C:\Program Files\TOSHIBA\TBS\HSON.exe [2006-12-07 55416]
"SmoothView"=C:\Program Files\Toshiba\SmoothView\SmoothView.exe [2007-04-03 509496]
"00TCrdMain"=C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe [2007-05-22 538744]
"NDSTray.exe"=NDSTray.exe []
"topi"=C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe [2007-07-10 581632]
"Skytel"=C:\Windows\Skytel.exe [2007-08-03 1826816]
"IgfxTray"=C:\Windows\system32\igfxtray.exe [2007-09-20 141848]
"HotKeysCmds"=C:\Windows\system32\hkcmd.exe [2007-09-20 154136]
"Persistence"=C:\Windows\system32\igfxpers.exe [2007-09-20 129560]
"Apoint"=C:\Program Files\Apoint2K\Apoint.exe [2006-09-11 180224]
"Toshiba Registration"=C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe [2007-02-19 571024]
"IAAnotif"=C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [2007-02-12 174872]
"EPGServiceTool"=C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe [2007-08-01 675840]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-09-05 417792]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-10-28 141600]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]
"TOSCDSPD"=C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe [2006-11-13 413696]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
AutoStart IR.lnk - C:\Program Files\WinTV\Ir.exe
Erinnerungen für Microsoft Works-Kalender.lnk - C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\Windows\system32\igfxdev.dll [2007-09-13 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1

======List of files/folders created in the last 1 months======

2010-02-15 15:34:47 ----D---- C:\rsit
2010-02-15 15:34:47 ----D---- C:\Program Files\trend micro
2010-02-15 14:26:17 ----D---- C:\Users\****\AppData\Roaming\Malwarebytes
2010-02-15 14:26:10 ----D---- C:\ProgramData\Malwarebytes
2010-02-15 14:26:09 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-02-15 14:12:39 ----D---- C:\Program Files\CCleaner
2010-02-14 15:31:31 ----A---- C:\Windows\system32\igfxres.dll
2010-02-14 15:29:45 ----SHD---- C:\$RECYCLE.BIN
2010-02-14 15:29:42 ----D---- C:\Windows\temp
2010-02-14 15:29:40 ----A---- C:\ComboFix.txt
2010-02-14 15:16:44 ----A---- C:\Windows\zip.exe
2010-02-14 15:16:44 ----A---- C:\Windows\SWSC.exe
2010-02-14 15:16:44 ----A---- C:\Windows\SWREG.exe
2010-02-14 15:16:44 ----A---- C:\Windows\sed.exe
2010-02-14 15:16:44 ----A---- C:\Windows\PEV.exe
2010-02-14 15:16:44 ----A---- C:\Windows\NIRCMD.exe
2010-02-14 15:16:44 ----A---- C:\Windows\MBR.exe
2010-02-14 15:16:44 ----A---- C:\Windows\grep.exe
2010-02-14 15:16:36 ----D---- C:\Windows\ERDNT
2010-02-14 15:16:35 ----D---- C:\ComboFix
2010-02-14 15:16:27 ----D---- C:\Qoobox
2010-02-14 15:16:11 ----A---- C:\Windows\SWXCACLS.exe
2010-02-10 19:02:37 ----A---- C:\Windows\system32\ntoskrnl.exe
2010-02-10 19:02:37 ----A---- C:\Windows\system32\ntkrnlpa.exe
2010-02-10 19:02:29 ----A---- C:\Windows\system32\quartz.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\tsbyuv.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\msyuv.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\msvidc32.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\msvfw32.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\msrle32.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\mciavi32.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\iyuv_32.dll
2010-02-10 19:02:28 ----A---- C:\Windows\system32\avifil32.dll
2010-02-06 23:18:17 ----D---- C:\Users\****\AppData\Roaming\gtk-2.0
2010-02-06 23:15:18 ----D---- C:\Program Files\GIMP-2.0
2010-01-25 20:07:57 ----D---- C:\ProgramData\Avira
2010-01-25 20:07:57 ----D---- C:\Program Files\Avira
2010-01-23 15:27:15 ----A---- C:\Windows\system32\mshtml.dll
2010-01-23 15:27:15 ----A---- C:\Windows\system32\ieframe.dll
2010-01-23 15:27:13 ----A---- C:\Windows\system32\wininet.dll
2010-01-23 15:27:13 ----A---- C:\Windows\system32\urlmon.dll
2010-01-23 15:27:13 ----A---- C:\Windows\system32\occache.dll
2010-01-23 15:27:13 ----A---- C:\Windows\system32\msfeeds.dll
2010-01-23 15:27:13 ----A---- C:\Windows\system32\iertutil.dll
2010-01-23 15:27:13 ----A---- C:\Windows\system32\iedkcs32.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\msfeedssync.exe
2010-01-23 15:27:12 ----A---- C:\Windows\system32\msfeedsbs.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\jsproxy.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\ieUnatt.exe
2010-01-23 15:27:12 ----A---- C:\Windows\system32\ieui.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\iesysprep.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\iesetup.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\iernonce.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\iepeers.dll
2010-01-23 15:27:12 ----A---- C:\Windows\system32\ie4uinit.exe

======List of files/folders modified in the last 1 months======

2010-02-15 15:34:47 ----RD---- C:\Program Files
2010-02-15 15:29:16 ----D---- C:\Windows\system32\drivers
2010-02-15 15:27:37 ----D---- C:\Users\****\AppData\Roaming\ICQ
2010-02-15 15:27:32 ----D---- C:\Windows\Performance
2010-02-15 14:26:10 ----D---- C:\ProgramData
2010-02-15 14:17:46 ----D---- C:\Windows\Debug
2010-02-15 14:17:46 ----D---- C:\Windows
2010-02-14 15:31:31 ----D---- C:\Windows\System32
2010-02-14 15:26:45 ----A---- C:\Windows\system.ini
2010-02-14 15:25:26 ----D---- C:\Program Files\ICQ6.5
2010-02-14 15:22:20 ----D---- C:\Windows\AppPatch
2010-02-14 15:22:19 ----D---- C:\Program Files\Common Files
2010-02-11 17:23:57 ----SHD---- C:\System Volume Information
2010-02-10 21:29:36 ----D---- C:\Windows\winsxs
2010-02-10 21:27:55 ----D---- C:\Windows\system32\catroot
2010-02-10 21:27:10 ----D---- C:\Windows\system32\catroot2
2010-02-01 20:26:20 ----A---- C:\Windows\system32\mrt.exe
2010-01-29 23:38:48 ----D---- C:\Windows\inf
2010-01-29 23:38:48 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-01-25 22:02:26 ----SD---- C:\Windows\Downloaded Program Files
2010-01-25 19:45:20 ----SHD---- C:\Windows\Installer
2010-01-24 15:07:40 ----D---- C:\Windows\system32\migration
2010-01-24 15:07:40 ----D---- C:\Program Files\Internet Explorer

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo); C:\Windows\system32\drivers\npf_devolo.sys [2007-02-07 35840]
R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-28 1161888]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\Windows\system32\DRIVERS\Apfiltr.sys [2006-08-30 140800]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-06-18 737280]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2007-09-13 1925632]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-09-05 1953944]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-04-30 81408]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2009-04-11 89088]
R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver; C:\Windows\system32\DRIVERS\tdcmdpst.sys [2006-10-18 16128]
R3 tifm21;tifm21; C:\Windows\system32\drivers\tifm21.sys [2007-01-24 290304]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S3 catchme;catchme; \??\C:\Users\****\AppData\Local\Temp\catchme.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver; C:\Windows\System32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver; C:\Windows\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 Tosrfcom;Tosrfcom; C:\Windows\system32\drivers\Tosrfcom.sys []
S3 TpChoice;Touch Pad Detection Filter driver; C:\Windows\system32\DRIVERS\TpChoice.sys []
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-08-28 40448]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2006-11-02 132352]
S4 CplIR;Embedded IR Driver; C:\Windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]
S4 KR10I;KR10I; C:\Windows\system32\drivers\kr10i.sys [2007-01-18 219392]
S4 KR10N;KR10N; C:\Windows\system32\drivers\kr10n.sys [2007-01-18 211072]
S4 tosrfec;Bluetooth ACPI; C:\Windows\system32\DRIVERS\tosrfec.sys [2006-10-23 9216]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2006-10-05 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 CFSvcs;ConfigFree Service; C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe [2006-11-14 40960]
R2 dlbc_device;dlbc_device; C:\Windows\system32\dlbccoms.exe [2007-02-07 538096]
R2 EPGService;EPGService; C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2007-11-05 431104]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe [2007-02-12 355096]
R2 LexBceS;LexBce Server; C:\Windows\System32\LEXBCES.EXE [2004-03-04 311296]
R2 TNaviSrv;TOSHIBA Navi Support Service; C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe [2007-09-19 77824]
R2 TODDSrv;TOSHIBA Optical Disc Drive Service; C:\Windows\system32\TODDSrv.exe [2006-05-25 114688]
R2 TosCoSrv;TOSHIBA Power Saver; C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe [2007-03-29 427576]
R2 UleadBurningHelper;Ulead Burning Helper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [2006-08-23 49152]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2009-10-28 545568]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 HauppaugeTVServer;HauppaugeTVServer; C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-11-07 815104]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------


Danke,
Lg
__________________

Geändert von Anke1986 (15.02.2010 um 16:03 Uhr)

Alt 16.02.2010, 16:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Mach bitte einen Durchgang mit GMER und poste das Log, ich befürchte da könnte noch ein Rottkit aktiv sein.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.02.2010, 17:40   #5
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



ok, hab GMER laufen lassen,
hier die log file :

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2010-02-16 17:22:05
Windows 6.0.6002 Service Pack 2
Running: 205zryo0.exe; Driver: C:\Users\****\AppData\Local\Temp\kwldrpow.sys


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86B944A8

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] rvwnjxo <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

gruß
anke


Alt 16.02.2010, 17:46   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Jup, Du hast da ein Rootkit aktiv...

Bitte mal den Avenger anwenden
1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\Windows\System32\drivers\rvwnjxo.sys

drivers to delete:
rvwnjxo
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
--> Trojaner schickt Spam-Mails (Combofix Log file als Anlage)

Alt 16.02.2010, 18:16   #7
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



oke, hab ich gemacht
log file:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\System32\drivers\rvwnjxo.sys" deleted successfully.
Driver "rvwnjxo" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


hmm, noch eine anmerkung, nach dem neustart wurde mein antiviren programm aktiv und machte mich darauf aufmerksam, dass ein trojanisches pferd gefunden wurde. hat mich gefragt, was er machen soll... quarantäne?? war das richtig, oder eher nicht??

Gruß

Alt 16.02.2010, 18:17   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Zitat:
hmm, noch eine anmerkung, nach dem neustart wurde mein antiviren programm aktiv und machte mich darauf aufmerksam, dass ein trojanisches pferd gefunden wurde. hat mich gefragt, was er machen soll... quarantäne?? war das richtig, oder eher nicht??
Bei Funden immer die genaue Meldung psten, onst kann ich damit nichts anfangen!!
Mach bitte einen weiteren Durchgang mit GMER und poste das neue Log.
Mach auch noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.02.2010, 18:39   #9
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



oke, Avenger zweites mal laufen lassen, die logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Windows\System32\drivers\rvwnjxo.sys" not found!
Deletion of file "C:\Windows\System32\drivers\rvwnjxo.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\rvwnjxo" not found!
Deletion of driver "rvwnjxo" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

nochmal nachgeschaut, Antiviren Programm hat beim ersten Mal gemeldet:
Trojanisches Pferd, TR/Rootkit.Gen
Quelle: C:/Avenger/rvwnjxo.sys

ist in Quarantäne, beim zweiten durchlauf wurde nichts gemeldet.

mache jetzt den scan mit malwarebytes, wird wohl etwas dauern.

Gruß

Alt 16.02.2010, 18:56   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Nicht nochmal mit dem Avenger, sondern mit GMER scannen!! Bitte genauer lesen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.02.2010, 20:26   #11
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



oke, sorry

hier also log files von GMER und Malware

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-02-16 20:03:31
Windows 6.0.6002 Service Pack 2
Running: cg35o0nt.exe; Driver: C:\Users\****\AppData\Local\Temp\kwldrpow.sys


---- System - GMER 1.0.15 ----

SSDT A8562AAC ZwCreateThread
SSDT A8562A98 ZwOpenProcess
SSDT A8562A9D ZwOpenThread
SSDT A8562AA7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 822FE984 4 Bytes [AC, 2A, 56, A8] {LODSB ; SUB DL, [ESI-0x58]}
.text ntkrnlpa.exe!KeSetEvent + 3F1 822FEB54 4 Bytes [98, 2A, 56, A8] {CWDE ; SUB DL, [ESI-0x58]}
.text ntkrnlpa.exe!KeSetEvent + 40D 822FEB70 4 Bytes [9D, 2A, 56, A8] {POPF ; SUB DL, [ESI-0x58]}
.text ntkrnlpa.exe!KeSetEvent + 621 822FED84 4 Bytes [A7, 2A, 56, A8] {CMPSD ; SUB DL, [ESI-0x58]}
? system32\drivers\awud.sys Das System kann den angegebenen Pfad nicht finden. !
.text C:\Windows\system32\DRIVERS\tos_sps32.sys section is writeable [0x88550000, 0x4036D, 0xE8000020]
.dsrt C:\Windows\system32\DRIVERS\tos_sps32.sys unknown last section [0x88599000, 0x510, 0x40000040]

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\iaStor \Device\Ide\iaStor0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\00000069 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\0000006a sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3746
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

16.02.2010 19:37:17
mbam-log-2010-02-16 (19-37-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 232082
Laufzeit: 55 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


gruß

Alt 16.02.2010, 21:32   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Das Rottkit haben wir erwischt und gelöscht
mach bitte noch sicherehitshalber ein neues Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.02.2010, 22:28   #13
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Also, hier nochmals die Combofix log file:

ComboFix 10-02-16.01 - **** 16.02.2010 22:08:01.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2038.1030 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2010-01-16 bis 2010-02-16 ))))))))))))))))))))))))))))))
.

2010-02-16 21:14 . 2010-02-16 21:14 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-02-16 21:14 . 2010-02-16 21:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-16 17:25 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-16 17:25 . 2010-02-16 17:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-16 17:25 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-15 14:34 . 2010-02-15 14:35 -------- d-----w- c:\program files\trend micro
2010-02-15 13:26 . 2010-02-15 13:26 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes
2010-02-15 13:26 . 2010-02-15 13:26 -------- d-----w- c:\programdata\Malwarebytes
2010-02-15 13:12 . 2010-02-15 13:12 -------- d-----w- c:\program files\CCleaner
2010-02-14 14:31 . 2007-09-13 07:13 192512 ----a-w- c:\windows\system32\igfxres.dll
2010-02-06 22:19 . 2010-02-06 22:19 -------- d-----w- c:\users\****\.thumbnails
2010-02-06 22:18 . 2010-02-06 23:32 -------- d-----w- c:\users\****\AppData\Roaming\gtk-2.0
2010-02-06 22:16 . 2010-02-06 23:48 -------- d-----w- c:\users\****\.gimp-2.6
2010-02-06 22:15 . 2010-02-06 22:15 -------- d-----w- c:\program files\GIMP-2.0
2010-01-25 19:08 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-25 19:08 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-25 19:07 . 2010-01-25 19:07 -------- d-----w- c:\programdata\Avira
2010-01-25 19:07 . 2010-01-25 19:07 -------- d-----w- c:\program files\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-16 19:30 . 2008-05-27 19:44 -------- d-----w- c:\users\****\AppData\Roaming\ICQ
2010-02-14 14:25 . 2009-03-17 16:53 -------- d-----w- c:\program files\ICQ6.5
2010-01-29 22:38 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-01-29 22:38 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-01-14 10:12 . 2009-10-03 17:10 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-02 06:38 . 2010-01-23 14:27 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-23 14:27 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-23 14:27 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-23 14:27 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-26 23:34 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2009-12-26 23:34 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-26 23:34 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2009-12-26 23:34 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2009-12-26 23:34 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2009-12-26 23:34 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2009-12-26 23:34 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2009-12-26 23:32 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-12-11 11:43 . 2010-02-10 18:02 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 11:43 . 2010-02-10 18:02 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-08 20:01 . 2010-02-10 18:02 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:01 . 2010-02-10 18:02 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:01 . 2010-02-10 18:02 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 17:26 . 2010-02-10 18:02 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-12-04 18:30 . 2010-02-10 18:02 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-04 18:29 . 2010-02-10 18:02 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-04 18:28 . 2010-02-10 18:02 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-04 18:28 . 2010-02-10 18:02 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-04 18:28 . 2010-02-10 18:02 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-04 18:28 . 2010-02-10 18:02 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-04 18:28 . 2010-02-10 18:02 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-04 18:28 . 2010-02-10 18:02 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-04 18:27 . 2010-02-10 18:02 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-04 15:56 . 2010-02-10 18:02 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 15:56 . 2010-02-10 18:02 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2006-11-13 413696]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HWSetup"="\HWSetup.exe hwSetUP" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744]
"NDSTray.exe"="NDSTray.exe" [BU]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"Skytel"="Skytel.exe" [2007-08-03 1826816]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-11 180224]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"EPGServiceTool"="c:\progra~1\WinTV\EPG Services\System\EPGClient.exe" [2007-08-01 675840]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader - Schnellstart.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
AutoStart IR.lnk - c:\program files\WinTV\Ir.exe [2008-5-7 110647]
Erinnerungen fr Microsoft Works-Kalender.lnk - c:\program files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe [1999-8-6 53317]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"VistaSp2"=hex(b):82,e2,ac,f2,84,86,ca,01

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [25.01.2010 20:08 108289]
R2 dlbc_device;dlbc_device;c:\windows\system32\dlbccoms.exe -service --> c:\windows\system32\dlbccoms.exe -service [?]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [07.05.2008 21:17 431104]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\System32\drivers\npf_devolo.sys [07.02.2007 16:57 35840]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [16.04.2007 07:36 1527900]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [07.05.2008 21:16 815104]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\System32\drivers\hcw95bda.sys [07.05.2008 21:13 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\System32\drivers\hcw95rc.sys [07.05.2008 21:13 15488]
S4 CplIR;Embedded IR Driver;c:\windows\System32\drivers\CplIR.sys [06.03.2007 14:01 14848]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - Amazon.de: Günstige Preise bei Elektronik & Foto, DVD, Musik, Bücher, Games, Spielzeug & mehr
IE: {{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game11.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-02-16 22:15
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i????????F????8???`????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2010-02-16 22:17:29
ComboFix-quarantined-files.txt 2010-02-16 21:17

Vor Suchlauf: 13 Verzeichnis(se), 37.122.277.376 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 37.101.010.944 Bytes frei


Ich sag einfach schon mal DANKE für diese super hilfe!!!!

Grüße
Anke

Alt 16.02.2010, 22:34   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Zitat:
R2 dlbc_device;dlbc_device;c:\windows\system32\dlbccoms.exe -service --> c:\windows\system32\dlbccoms.exe -service [?]
Dieser Eintrag fiel mir auf. hast Du zufällig einen Drucker von Dell?
Bitte diese Datei (fettgedruckt) bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.02.2010, 22:40   #15
Anke1986
 
Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Standard

Trojaner schickt Spam-Mails (Combofix Log file als Anlage)



Ja, ich habe einen Drucker von Dell...
Ja, mach ich!

Antwort

Themen zu Trojaner schickt Spam-Mails (Combofix Log file als Anlage)
anlage, anschluss, bereits, bitte um hilfe, combofix, ebook, file, gesperrt, log, log file, lösen, mails, notebook, problem, programm, schickt, spam, spam mails, spam-mails, telekom, tr/rootkit.gen, troja, trojaner, versuch, versucht



Ähnliche Themen: Trojaner schickt Spam-Mails (Combofix Log file als Anlage)


  1. Windows 7: Telekom schickt Mahnung wegen Spam Versand
    Log-Analyse und Auswertung - 12.09.2014 (14)
  2. Windows 7: Yahoo schickt Spam Mails an Kontakte
    Log-Analyse und Auswertung - 18.06.2014 (5)
  3. Mailer Daemon Mails von GMX-Konto - Spam oder sendet Outlook selbstständig Mails?
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (8)
  4. Aol schickt Mails mit Selbstmorddrohung von meinem Acc aus, bitte um Hilfe!!
    Log-Analyse und Auswertung - 25.11.2013 (5)
  5. Spam Mails - Mail delivery failed obwohl ich keine E-Mails versendet habe
    Plagegeister aller Art und deren Bekämpfung - 16.06.2013 (11)
  6. Trojaner mit Zahlungsaufforderung und hunderte Spam-Mails
    Log-Analyse und Auswertung - 11.06.2013 (15)
  7. Schickt GMX Mails in meinem Namen?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (8)
  8. Trojaner verschickt Spam-Mails - Runde 2
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (25)
  9. spam-mails von hotmail-account verschickt --> trojaner?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (14)
  10. Trojaner verschickt Spam-Mails aus meinem yahoo-Account
    Plagegeister aller Art und deren Bekämpfung - 24.06.2012 (3)
  11. Automatische Mails,Combofix durchlauf, Ergebniss?
    Plagegeister aller Art und deren Bekämpfung - 21.06.2012 (1)
  12. YahooMail-Account schickt Spam Mails an alle Kontaktdaten / Abmeldung vom Account nicht moeglich!
    Log-Analyse und Auswertung - 01.06.2012 (1)
  13. Trojaner verschickt mails/Nutzung von combofix
    Log-Analyse und Auswertung - 19.12.2011 (3)
  14. Trojaner verschickt Spam-Mails v2
    Log-Analyse und Auswertung - 14.12.2011 (31)
  15. Hotmail schickt Spam an Kontakte unter meiner Adresse
    Mülltonne - 04.05.2011 (1)
  16. Trojaner? Yahoo versendet Spam-Mails
    Log-Analyse und Auswertung - 06.04.2011 (11)
  17. Log fIle von combofix und erneutes HiJack Log-file
    Mülltonne - 03.05.2008 (0)

Zum Thema Trojaner schickt Spam-Mails (Combofix Log file als Anlage) - Hallo ich bitte um Hilfe, denn die Telekom hat bereits meine Mails gesperrt, da ich einen Trojaner (TR/Rootkit.GEN) auf meinem Notebook habe, der SPAM mails über den Anschluss verteilt. Habe - Trojaner schickt Spam-Mails (Combofix Log file als Anlage)...
Archiv
Du betrachtest: Trojaner schickt Spam-Mails (Combofix Log file als Anlage) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.