Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Versende unbewusst Spam an die Kontaktliste (hotmail) (https://www.trojaner-board.de/100329-versende-unbewusst-spam-kontaktliste-hotmail.html)

wiezel 14.06.2011 14:28
Versende unbewusst Spam an die Kontaktliste (hotmail)
 
Hallo,
seit einiger Zeit versende ich an meine Kontaktliste Spam. In einem ähnlichem
Thema habe ich paar Anweisungen gefunden und stelle die von OTL erstellten Logs online. ich würde mich über eine baldige Antwort freuen.

Gruß

p.s.: Logs sind im Anhang

cosinus 14.06.2011 15:00
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

wiezel 15.06.2011 15:40
Hallo,
malware hat nichts gefunden :(, werde den Log dennoch anhängen.

cosinus 15.06.2011 20:57
War das der erste Durchlauf mit Malwarebytes überhaupt oder hat es zuvor schonmal gescannt? Wenn ja, gab es da Funde?

wiezel 16.06.2011 08:28
Es war der erste Durchlauf.

cosinus 16.06.2011 10:45
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\Shell - "" = AutoRun
O33 - MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\Shell\AutoRun\command - "" = F:\autorun.exe
O33 - MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\Shell - "" = AutoRun
O33 - MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

wiezel 16.06.2011 12:57
Hi,
habe deine Anweisungen befolgt und poste den Log.

Code:
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe2195d-516d-11df-9b16-001d6093e86c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe2195d-516d-11df-9b16-001d6093e86c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe2195d-516d-11df-9b16-001d6093e86c}\ not found.
File F:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{543e16cf-dae1-11df-b92d-001d6093e86c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{543e16cf-dae1-11df-b92d-001d6093e86c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{543e16cf-dae1-11df-b92d-001d6093e86c}\ not found.
File G:\LaunchU3.exe -a not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.24.0 log created on 06162011_135327
Gruß

cosinus 16.06.2011 12:59
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png



Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst oder Verküpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista- und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

wiezel 16.06.2011 13:24
Habe sicherheitshalber unhide ausgeführt und das Kaspersky Tool. Es hat mir folgendes geliefert:
Code:
HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot
C:\Windows\system32\Drivers\sptd.sys - will be deleted after reboot
Gruß und danke für die Geduld

cosinus 16.06.2011 13:51
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

wiezel 16.06.2011 17:04
Nach der Ausführung der Anweisungen hat es meine .exe Dateien zertrümmert.

Es kommt bei fast jeder exe eine Fehlermeldung:

C:.....simfy.exe

Es wurde versucht, einen Registierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Ich habe die Anweisungen direkt befolgt, nur das Programm hat einen Neustart ausgeführt, so dass Hintergrundprogramme erneut gestartet wurden.
Besteht eine Möglichkeit den Fehler global zu beheben?

cosinus 16.06.2011 20:14
Hast du Windows schon neu gestartet? diese Fehlermeldung

=> Es wurde versucht, einen Registierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

War nach einem Reboot eigentlich immer weg.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131