Trojaner-Board - Habe von t-online Post bekommen...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Habe von t-online Post bekommen... (https://www.trojaner-board.de/65493-habe-t-online-post-bekommen.html)

Habe von t-online Post bekommen...

... nachder über mein Account viel gespammt wurde. Zunächst habe ich das für einen HOAX gehalten und ziemlich unmotiviert meine HiJackThis Logdatei hier: http://www.hijackthis.de/de ohne besondere Vorkommnisse überprüfen lassen.

Weiter setzte ich dann Spybot S&D und Ad-Aware ein, welche wiederum nur ein, zwei Tracking-Cookies fanden und eliminierten.
Sehr skeptisch ließ ich dann den in der Mail von t-online empfohlenen "Trend Micro HouseCall" über meinen Rechner laufen, welcher mich jedoch nur auf einige Lücken in meiner Office 2003 Installation hinwies, welche ich daraufhin schloss und nun keine weitern Beanstandungen erhalte.

Das Thema war für mich bis dahin dann fast gegessen, ja wenn nicht meine Firwall gemeldet hätte, dass der Generic Host Process for Win32 Services zur (74.50.107.172) IP funken will. Die Ergebnisse der Googlesuche zu dieser IP beunruhigten mich dann schon.

So wendete ich mich zunächst Malwarebytes' Anti-Malware 1.30 zu:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1434

Windows 5.1.2600 Service Pack 3
 

29.11.2008 20:24:14

mbam-log-2008-11-29 (20-24-14).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 231750

Laufzeit: 1 hour(s), 23 minute(s), 8 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Dann ließ ich BlackLight laufen:

Code:

11/29/08 23:52:51 [Info]: BlackLight Engine 2.2.1092 initialized

11/29/08 23:52:51 [Info]: OS: 5.1 build 2600 (Service Pack 3)

11/29/08 23:52:52 [Note]: 7019 4

11/29/08 23:52:52 [Note]: 7005 0

11/29/08 23:52:55 [Note]: 7006 0

11/29/08 23:52:55 [Note]: 7011 3460

11/29/08 23:52:55 [Note]: 7035 0

11/29/08 23:52:55 [Note]: 7026 0

11/29/08 23:52:55 [Note]: 7026 0

11/29/08 23:52:58 [Note]: FSRAW library version 1.7.1024

11/30/08 00:01:29 [Note]: 7007 0

ComboFix fand und löschte dann auch tatsächlich einen mir unbekannten „rosa.sys“ Dienst

Code:

ComboFix 08-11-29.02 - Administrator 2008-11-29 21:08:55.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1451 [GMT 1:00]

ausgeführt von:: d:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires

d:\dokumente und einstellungen\Chris\Anwendungsdaten\hidires\rosa.sys
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_rosa
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-28 bis 2008-11-29  ))))))))))))))))))))))))))))))

.
 

2008-11-29 20:30 . 2008-11-29 20:30        <DIR>        d--------        d:\dokumente und einstellungen\Administrator\DoctorWeb

2008-11-29 18:59 . 2008-11-29 18:59        <DIR>        d--------        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-29 18:59 . 2008-11-29 18:59        <DIR>        d--------        d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2008-11-29 18:59 . 2008-11-29 18:59        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-11-29 10:47 . 2008-11-29 18:15        <DIR>        d--------        d:\dokumente und einstellungen\Administrator\.housecall6.6

2008-11-28 19:29 . 2008-11-28 19:29        <DIR>        d--------        c:\programme\PC Inspector File Recovery

2008-11-28 17:52 . 2008-11-29 16:45        <DIR>        d--------        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-11-25 11:33 . 2008-11-25 12:55        <DIR>        d--------        c:\programme\Exifer

2008-11-25 11:33 . 2008-11-25 11:33        <DIR>        d--------        c:\programme\EXIF Date Changer

2008-11-23 15:59 . 2008-11-23 15:59        <DIR>        d--------        d:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe

2008-11-23 15:19 . 2008-11-23 15:19        <DIR>        d--------        c:\programme\LightScribe

2008-11-23 12:23 . 2008-11-23 12:26        <DIR>        d--------        c:\programme\Combined Community Codec Pack

2008-11-23 11:54 . 2008-11-23 11:54        <DIR>        d--------        d:\dokumente und einstellungen\Chris\Anwendungsdaten\vlc

2008-11-23 11:53 . 2008-11-23 11:53        <DIR>        d--------        d:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc

2008-11-21 11:06 . 2008-11-21 11:06        <DIR>        d--------        d:\dokumente und einstellungen\All Users\Anwendungsdaten\{deef362040caa3f2c46d3ca419a5b7ab}

2008-11-21 10:35 . 2008-11-21 10:50        <DIR>        d--------        c:\programme\HDD Regenerator

2008-11-20 22:00 . 2008-11-20 22:00        <DIR>        d--------        c:\programme\GetData

2008-11-20 21:35 . 2008-11-20 21:35        <DIR>        d--------        c:\programme\JPEG Recovery Pro

2008-11-20 20:55 . 2008-11-20 20:55        <DIR>        d--------        d:\dokumente und einstellungen\All Users\Anwendungsdaten\{bd78f9f661583e4dbb3c3468a905e704}

2008-11-20 20:50 . 2008-11-20 20:53        <DIR>        d--------        c:\programme\MagicRecovery Pro DEMO

2008-11-20 20:36 . 2008-11-20 22:24        <DIR>        d--------        c:\programme\Digital Photo Recovery

2008-11-20 20:26 . 2008-11-21 11:09        <DIR>        d--------        d:\dokumente und einstellungen\Administrator\Programs

2008-11-19 13:04 . 2008-11-19 13:04        <DIR>        d--------        c:\programme\GetDatBack

2008-11-18 21:10 . 2008-11-21 11:08        <DIR>        d--------        c:\programme\Data Recovery Pro

2008-11-18 21:05 . 2008-11-18 21:06        <DIR>        d--------        c:\programme\Toolstar Filerepair Pro

2008-11-18 20:26 . 2008-11-18 21:04        <DIR>        d--------        c:\programme\Data Recovery

2008-11-18 20:20 . 2008-11-18 21:03        <DIR>        d--------        c:\programme\Filerecovery Pro 3.5

2008-11-10 21:36 . 2008-11-29 21:20        <DIR>        d--------        c:\programme\Plaxo
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-29 15:45        ---------        d-----w        d:\dokumente und einstellungen\Administrator\Anwendungsdaten\SolidDocuments

2008-11-29 09:48        102,664        ----a-w        c:\windows\system32\drivers\tmcomm.sys

2008-11-29 08:52        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\skypePM

2008-11-28 18:29        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-11-28 16:38        ---------        d-----w        c:\programme\Ad-Aware 2008

2008-11-28 11:29        ---------        d-----w        c:\programme\EasyRecovery Professional

2008-11-27 23:18        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\foobar2000

2008-11-27 22:13        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype

2008-11-27 22:03        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\SolidDocuments

2008-11-27 18:12        ---------        d-----w        c:\programme\StarMoney 5.0 APO-Edition Vollversion

2008-11-26 22:34        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss

2008-11-23 14:59        ---------        d-----w        c:\programme\Gemeinsame Dateien\LightScribe

2008-11-23 11:29        ---------        d-----w        c:\programme\DivX

2008-11-23 11:26        ---------        d-----w        c:\programme\Media Player Classic

2008-11-23 10:51        ---------        d-----w        c:\programme\VLC Player

2008-11-20 19:49        286,720        ----a-w        c:\windows\iun507.exe

2008-11-20 19:45        ---------        d-----w        c:\programme\Digital Image Recovery

2008-11-18 23:54        65,856        ----a-w        c:\windows\system32\drivers\snapman.sys

2008-11-18 23:54        37,888        ----a-w        c:\windows\system32\setupnt.dll

2008-11-18 20:37        ---------        d-----w        c:\programme\SeaTools for Windows

2008-11-09 22:33        ---------        d-----w        c:\programme\StarMoney 6.0

2008-11-05 20:25        ---------        d-----w        c:\programme\Sunbelt Personal Firewall

2008-11-05 19:20        113,706        ----a-w        c:\windows\system32\drivers\fwdrv.err

2008-11-03 18:32        ---------        d-----w        c:\programme\Opera

2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys

2008-10-22 15:10        38,496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2008-10-22 15:10        15,504        ----a-w        c:\windows\system32\drivers\mbam.sys

2008-10-15 12:06        ---------        d-----w        c:\programme\FreePDF_XP

2008-10-12 10:19        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\MakeitOne

2008-10-12 10:19        ---------        d-----w        c:\programme\mp3 Joiner

2008-10-12 10:04        ---------        d-----w        d:\dokumente und einstellungen\Administrator\Anwendungsdaten\MakeitOne

2008-10-06 19:12        ---------        d---a-w        c:\programme\VectorWorks Pro 2008

2008-10-05 16:40        ---------        d-----w        d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nemetschek

2008-10-02 22:33        ---------        d-----w        c:\programme\Microstation

2008-10-02 22:32        ---------        d-----w        c:\programme\Gemeinsame Dateien\Bentley Shared

2008-10-02 09:31        ---------        d-----w        c:\programme\Rhinoceros 4.0

2008-10-02 09:17        ---------        d-----w        c:\programme\Langenscheidt T1 6.0

2008-10-02 08:18        ---------        d-----w        c:\programme\Gemeinsame Dateien\McNeel Shared

2008-09-30 19:34        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\Nemetschek

2008-09-30 19:23        ---------        d-----w        c:\programme\VectorWorks 2008

2008-09-30 15:43        1,286,152        ----a-w        c:\windows\system32\msxml4.dll

2008-09-29 17:00        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe

2008-09-29 09:26        ---------        d-----w        c:\programme\eMule

2008-09-28 21:18        ---------        d-----w        d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canneverbe_Limited

2008-09-28 19:30        ---------        d-----w        d:\dokumente und einstellungen\Chris\Anwendungsdaten\Canneverbe_Limited

2008-09-28 19:28        ---------        d-----w        c:\programme\CDBurnerXP

2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys

2008-09-10 01:13        1,307,648        ----a-w        c:\windows\system32\msxml6.dll

2008-09-04 17:15        1,106,944        ----a-w        c:\windows\system32\msxml3.dll

2008-06-22 09:14        56        ---ha-w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsidmv.dat

2004-08-03 22:57        67,518        ----a-w        c:\windows\inf\i386\cmprops.dll

2008-04-14 05:52        93,184        --sha-w        c:\windows\ServicePackFiles\i386\iexplore.exe

2008-04-14 05:52        60,416        --sha-w        c:\windows\ServicePackFiles\i386\msimn.exe

2008-08-14 09:30        32,768        --sha-w        c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081420080815\index.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"PlaxoUpdate"="c:\programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe" [2008-10-04 382023]

"PlaxoSysTray"="c:\programme\Plaxo\3.16.0.49\PlaxoSysTray.exe" [2008-10-04 20480]

"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-10-22 2363392]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"FlashIcon"="c:\programme\USB Card Reader Driver v2.3\FlashIcon.exe" [2004-07-21 40960]

"SmartSync - ScheduleSync"="c:\progra~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [2006-08-31 45056]

"Acrobat Assistant 7.0"="c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]

"Xfire"="Xfire.exe" [2001-11-13 c:\windows\system32\xfire.exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

d:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\

Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-09-28 25214]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psnppagn32]

2004-11-20 22:53 12288 c:\windows\system32\psnppagn32.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.dvsd"= pdvcodec.dll

"VIDC.HFYU"= huffyuv.dll

"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\V-Ray for 3ds max 9\\vrlserver.exe"=

"c:\\Programme\\3ds Max 9\\3dsmax.exe"=

"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=

"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=

"c:\\Programme\\Autodesk\\Backburner\\server.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"2116:TCP"= 2116:TCP:messenger
 

R0 m5289;m5289;c:\windows\system32\drivers\m5289.sys [2007-02-12 51840]

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-11-05 269736]

R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]

R2 ARCGIS License Manager;ARCGIS License Manager;c:\programme\ESRI\License\arcgis9x\lmgrd.exe [2006-08-13 467968]

R2 MicroGuard;MicroGuard Copy Protection;\??\c:\windows\system32\drivers\mgnt.sys [2007-01-29 40288]

R2 psnppagn32;DCOM Proxy for NPPAgent Object;rundll32.exe c:\windows\system32\psnppagn32.dll,ehet []

R2 SbPF.Launcher;SbPF.Launcher;"c:\programme\Sunbelt Personal Firewall\SbPFLnch.exe" [2008-07-30 95528]

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-11-05 65576]

R3 ULI5261;ULi Based Ethernet NT Driver;c:\windows\system32\DRIVERS\ULILAN.SYS [2006-05-11 29696]

S2 SPF4;Sunbelt Personal Firewall 4;"c:\programme\Sunbelt Personal Firewall\SbPFSvc.exe" [2008-07-30 1361192]

S3 ALI5261;ALi-basierte Ethernet-NT-Treiber;c:\windows\system32\DRIVERS\ALI5261.SYS [2008-03-26 27678]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt [2005-08-17 7168]

S3 filter;filter;c:\windows\system32\drivers\filter.sys [2004-07-05 8832]

S3 HWACCESS;HWACCESS;\??\c:\windows\SYSTEM32\HWACCESS.SYS [2006-06-19 6808]
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5} - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - d:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\lf3rst3f.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de

FF -: plugin - c:\programme\Creative Suite 2\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll

FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-29 21:19:49

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet006\Services\EverestDriver]

"ImagePath"="\??\c:\programme\Everest Home Edition 2.20\kerneld.wnt"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(860)

c:\windows\system32\psnppagn32.dll
 

- - - - - - - > 'explorer.exe'(1764)

c:\programme\Logitech\MouseWare\System\LgWndHk.dll

c:\programme\Plaxo\3.16.0.49\plx_hook.dll

c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll

c:\programme\Office 2003\OFFICE11\msohev.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\rundll32.exe

c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

c:\programme\Belkin Wireless Network Utility\WLService.exe

c:\programme\ESRI\License\arcgis9x\ARCGIS.EXE

c:\programme\Belkin Wireless Network Utility\WLanCfgG.exe

c:\programme\VPN Client\cvpnd.exe

c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\nvsvc32.exe

c:\programme\Raxco\PerfectDisk\PDAgent.exe

c:\windows\system32\rundll32.exe

c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-29 21:30:01 - PC wurde neu gestartet [Administrator]

ComboFix-quarantined-files.txt  2008-11-29 20:29:55
 

Vor Suchlauf: 1,346,199,552 Bytes frei

Nach Suchlauf: 1,050,558,464 Bytes frei
 

225        --- E O F ---        2008-11-18 15:34:18

gleich gehts weiter....

Hi

poste mal bitte auch deinen Hjt-Logfile und dein System :)

Gruß Lumitu

mann seid ihr schnell RESPEKT

.....aber hier erstmal hier die Fortsetzung:

Eine weitere Überprüfung ließ ich mit escan folgen. Außer merkwürdigen Reg-Einträgen fand aber auch dieses nichts besonderes.

Die „Virus Information“:

Code:

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "virusguardplus Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "lop.com Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "diskknight Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "spyware.expresskeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "personalantispy Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.

AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

Die „gefilterte“ Logdatei: (Händisch nach Maßnahme gesucht)

Übrigends der Link zu find.dat (ebenso wie der zur unauffindbar find.bat von haui) ist nicht mehr gerade aktuell

Code:

30 Nov 2008 00:14:15 - **********************************************************

30 Nov 2008 00:14:15 - eScan-AntiViren- und Antispywarewerkzeugsatz.

30 Nov 2008 00:14:15 - Copyright ©   MicroWorld Technologies

30 Nov 2008 00:14:15 - **********************************************************

30 Nov 2008 00:14:15 - Version 10.0.36 (D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\MWAV\MEXE.COM)

30 Nov 2008 00:14:15 - Logdatei: D:\Dokumente und Einstellungen\Administrator\Desktop\mwav\MWAV.LOG

30 Nov 2008 00:14:15 - Datum und Uhrzeit des letzten Scannens: 29.11.2008 22:09:57

30 Nov 2008 00:14:15 - MWAV Registered: FALSE

30 Nov 2008 00:14:15 - User Account: Administrator (Administrator Mode)

30 Nov 2008 00:14:15 - OS Type: Windows Workstation

30 Nov 2008 00:14:15 - OS: Windows XP [OS Install Date: 12 Feb 2007 16:40:38]

30 Nov 2008 00:14:15 - Ver: Service Pack 3 (Build 2600)

30 Nov 2008 00:14:15 - System Up Time: 5 Minutes, 26 Seconds 
 

30 Nov 2008 00:14:15 - Parent Process Name : C:\WINDOWS\Explorer.EXE

30 Nov 2008 00:14:15 - Windows Root  Folder: C:\WINDOWS

30 Nov 2008 00:14:15 - Windows Sys32 Folder: C:\WINDOWS\system32

30 Nov 2008 00:14:15 - Local Fixed Drives: c:\,d:\,n:\

30 Nov 2008 00:14:15 - MWAV Mode: Only Scan files

30 Nov 2008 00:14:16 - [CREATED ZIP FILE: D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\pinfect.zip]
 

…..
 

30 Nov 2008 00:50:50 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****

30 Nov 2008 00:50:54 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Größe: 866983]…

30 Nov 2008 00:50:54 - Indexed Spyware Databases Successfully Created...

 

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:02 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:03 - System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.

30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\kazaa !!!

30 Nov 2008 00:51:08 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:51:08 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:51:08 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

30 Nov 2008 00:51:08 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:51:12 - Offending file found: C:\WINDOWS\system32\borlndmm.dll

30 Nov 2008 00:51:12 - System found infected with virusguardplus Corrupted Adware/Spyware (borlndmm.dll)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:51:23 - Offending file found: D:\Dateien von Administrator\backup.reg

30 Nov 2008 00:51:23 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:51:41 - Offending file found: D:\Dateien von Administrator\backup.reg

30 Nov 2008 00:51:41 - System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:51:55 - Offending Registry Entry found: hkcu\software\microsoft\ole

30 Nov 2008 00:51:55 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:51:57 - Offending Registry Entry found: hklm\software\knight

30 Nov 2008 00:51:57 - System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:51:58 - Offending Registry Entry found: hkcu\software\microsoft\windows\currentversion\policies\associations

30 Nov 2008 00:51:58 - System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:51:58 - Offending Registry Entry found: hklm\software\microsoft\internet explorer\urlsearchhooks

30 Nov 2008 00:51:58 - System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.

 

30 Nov 2008 00:52:14 - Checking MountPoints2 Registry Key...

30 Nov 2008 00:52:14 - Checking CLSID Reference Entries...

30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dwg" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.dxf" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:52:15 - Eintrag "HKCR\Adobe.Illustrator.pict" verweist auf das ungültige Objekt "{C0ED15F0-61BB-11d3-B6CA-00C04F6A0D06}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:52:23 - Eintrag "HKCR\Rhino3.Document" verweist auf das ungültige Objekt "{7AF36560-D11A-4F56-BE27-AE20F8CDDFEB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:52:23 - Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:52:24 - Checking Module Usage Entries...

30 Nov 2008 00:52:24 - Checking User Trusted External App Entries...

30 Nov 2008 00:52:24 - Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

30 Nov 2008 00:52:24 - Checking Shared DLL Entries...

30 Nov 2008 00:52:32 - Checking Installer Entries...

30 Nov 2008 00:52:43 - Checking Shared Tools Entries...

30 Nov 2008 00:52:43 - Checking File Extension Entries...

30 Nov 2008 00:52:43 - Checking Application Cache Entries...
 

…
 

30 Nov 2008 01:24:38 - AA??AA Datei D:\Dokumente und Einstellungen\Administrator\.housecall6.6\Quarantine\dbxDgrevCheck.dll.bac_a02344//CryptFF.b markiert als "not-a-virus:AdWare.Win32.Agent.cb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

….
 

30 Nov 2008 01:34:51 - Datei D:\RECYCLER\S-1-5-21-2052111302-1659004503-682003330-1007\Dd5\UTL\PowerDesk5.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

….
 

30 Nov 2008 01:34:53 - Datei D:\RECYCLER\S-1-5-21-861567501-842925246-839522115-1003\Dd8\installservice.exe infiziert durch den Virus "Exe.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
 

….

Wenn Ihr also Vorschläge hättet, ob und wie man jetzt dagegen vorgehen soll, dann wäre ich euch dafür sehr dankbar.

Ohne größere Ergebnisse lief dann noch die ganze Nacht DrWeb:

Code:

C.bat;C:\32788R22FWJFW;Wahrscheinlich BATCH.Virus

psexec.cfexe;C:\32788R22FWJFW        ;Program.PsExec.171

ComboFix.exe\32788R22FWJFW\C.bat;D:\Dateien von Administrator\Software\ComboFix.exe;Wahrscheinlich BATCH.Virus

ComboFix.exe\32788R22FWJFW\psexec.cfexe;D:\Dateien von Administrator\Software\ComboFix.exe;Program.PsExec.171

ComboFix.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte

SPECViewperf10.exe\data125;D:\Dateien von Administrator\Software\SPECViewperf10.exe;Tool.ShutDown.10

SPECViewperf10.exe;D:\Dateien von Administrator\Software;Archiv enthält infizierte Objekte

Oiloncanvas.html        ;D:\Dateien von Chris\Dokumente\Architektur\nach Themen\www.usc.edu\schools\annenberg\asc\projects\comm544\library\mediums;Win32.HLLM.Graz

Also so richtig weiß ich mit Alledem jetzt nichts anzufangen. Daher meine Fragen an Euch:

1. Wie kann ich überprüfen ob mein Rechner noch spammt?
2. Was sollte/könnte ich noch unternehmen?
3. Ist eine Systemwiederherstellung vor Ausführung des wahrscheinlichen schuldigen „Trojan-Dropper.Win.32.Kgen.gen“ (befindet sich nicht mehr auf dem Rechner) sinnvoll?
4. Was mache ich mit der wohl beim Start von esacn angelegten Datei „pinfect.zip“? (siehe auch hier: http://www.trojaner-board.de/47803-w...m-analyse.html)

Schon mal vielen Dank und noch einen schönen Sonntag

Chris

... und zu guter Letzt natürlich auch noch die HiJackThis File:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:28:41, on 29.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\ESRI\License\arcgis9x\lmgrd.exe

C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

C:\Programme\Belkin Wireless Network Utility\WLService.exe

C:\Programme\ESRI\License\arcgis9x\ARCGIS.EXE

C:\Programme\Belkin Wireless Network Utility\WLanCfgG.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programme\VPN Client\cvpnd.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Programme\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Raxco\PerfectDisk\PDAgent.exe

C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe

C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Xfire.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe

C:\Programme\Sunbelt Personal Firewall\SbPFCl.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Opera\opera.exe

C:\Programme\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [FlashIcon] C:\Programme\USB Card Reader Driver v2.3\FlashIcon.exe

O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Creative Suite 2\Adobe Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\3.16.0.49\PlaxoHelper_de.exe -a

O4 - HKCU\..\Run: [PlaxoSysTray] C:\Programme\Plaxo\3.16.0.49\PlaxoSysTray.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcDcToday.ocx

O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Architectural Desktop 3\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Architectural Desktop 3\AcPreview.ocx

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: psnppagn32 - C:\WINDOWS\SYSTEM32\psnppagn32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ARCGIS License Manager - Unknown owner - C:\Programme\ESRI\License\arcgis9x\lmgrd.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin Wireless Network Utility\WLService.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Programme\Kerio Personal Firewall 4.2.3.912\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: DCOM Proxy for NPPAgent Object (psnppagn32) - Unknown owner - rundll32.exe (file missing)

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFLnch.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Personal Firewall\SbPFSvc.exe
 

--

End of file - 8034 bytes

Warum klappt das nicht mehr mit'm "CODE".. naja egal auf jeden Fall viel Spaß damit und auch schon gleich ein Dankeschön

Auf deinem Rechner sollte es einen Ordner

Code:

C:\Qoobox\Quarantine

geben. Was findest du darin?

Übrigens, zu den Code-Tags: Slash, nicht Backslash. :)

In C:\Qoobox\Quarantine befindet sich:

ein leerer Odner namens "C"

ein Odner namens "Registry_backups" mit den Dateien: HKLM-Run-CFSServ.exe.reg.dat, HKLM-Run-NDSTray.exe.reg.dat, HKLM-Run-TFncKy.reg.dat, Service_rosa.reg.dat, ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5}.reg.dat und tcpip.reg

der catchme.log:

Code:

-------- 29.11.2008 - 20:57:19,29  -------------
 
 

-------- 2008-11-29 - 21:08:05.81  -------------

:confused:

Befindet sich denn irgendwo eine Datei, die so heißen müsste:

Zitat:

rosa.sys.vir

(-> Windowssuche)

Außerdem würde mich interessieren, was Virustotal zu dieser Datei sagt:

Zitat:

C:\WINDOWS\SYSTEM32\psnppagn32.dll

Hallo Franz1968!

Da hast du wohl ein tolles Gespühr bewiesen:

Datei psnppagn32.dll empfangen 2008.11.30 15:14:45 (CET)
Status: Beendet
Ergebnis: 11/37 (29.73%)

Code:

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

AhnLab-V3           2008.11.28.2         2008.11.30        -

AntiVir        7.9.0.36        2008.11.29        TR/Crypt.XPACK.Gen

Authentium        5.1.0.4        2008.11.30        -

Avast        4.8.1281.0        2008.11.29        Win32:Globan

AVG        8.0.0.199        2008.11.29        Agent_r.EG

BitDefender        7.2        2008.11.30        DeepScan:Generic.Clicker.Lobgal.F63E2684

CAT-QuickHeal        10.00        2008.11.29        -

ClamAV        0.94.1        2008.11.30        -

DrWeb        4.44.0.09170        2008.11.30        -

eSafe        7.0.17.0        2008.11.30        Suspicious File

eTrust-Vet        31.6.6234        2008.11.28        -

Ewido        4.0        2008.11.30        -

F-Prot        4.4.4.56        2008.11.29        -

F-Secure        8.0.14332.0        2008.11.30        Trojan-Proxy.Win32.Glukelira.gen

Fortinet        3.117.0.0        2008.11.30        -

GData        19        2008.11.30        DeepScan:Generic.Clicker.Lobgal.F63E2684

Ikarus        T3.1.1.45.0        2008.11.30        Trojan-Dropper.Agent

K7AntiVirus        7.10.538        2008.11.29        -

Kaspersky        7.0.0.125        2008.11.30        Trojan-Proxy.Win32.Glukelira.gen

McAfee        5449        2008.11.29        -

McAfee+Artemis        5449        2008.11.29        -

Microsoft        1.4104        2008.11.30        -

NOD32        3651        2008.11.30        a variant of Win32/Evati.A

Norman        5.80.02        2008.11.28        -

Panda        9.0.0.4        2008.11.30        -

PCTools        4.4.2.0        2008.11.30        -

Prevx1        V2        2008.11.30        -

Rising        21.05.62.00        2008.11.30        -

SecureWeb-Gateway        6.7.6        2008.11.29        Trojan.Crypt.XPACK.Gen

Sophos        4.36.0        2008.11.30        -

Sunbelt        3.1.1832.2        2008.11.27        -

Symantec        10        2008.11.30        -

TheHacker        6.3.1.1.169        2008.11.29        -

TrendMicro        8.700.0.1004        2008.11.28        -

VBA32        3.12.8.9        2008.11.29        -

ViRobot        2008.11.29.1492        2008.11.29        -

VirusBuster        4.5.11.0        2008.11.29        -

weitere Informationen

File size: 12288 bytes

MD5...: d35f075df6726ee13842e3532d78857a

SHA1..: 21365835c8163be819ee072479cac1781e197b99

SHA256: ab1017486919dd586caad7ead3954685591f3e94c3acdf5e5714b42f41309e16

SHA512: b9f436cdd5b891e633eb938a960e31c4c5f4c68c594b9cb1e9e8af5891c8cea9

f0b3df70e7d11df49884fd128498b92fff478beac327203e0be2f844d8c11f94

ssdeep: 192:o0llxPnbv693qKrQTtffPC/dxVL+fAUBp+o6lr1HOAl5TUpwiiDWPWj:o0Tp

nbvwZkTYdvLivjmrMM9V7WPWj

PEiD..: -

TrID..: File type identification

UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1000a430

timedatestamp.....: 0x48baf116 (Sun Aug 31 19:29:26 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x8000 0x3000 0x2600 7.86 4137cfa9b6336375e9330614c13da38d

.rsrc 0xb000 0x1000 0x600 2.85 74c441ef5f9ceb00103444064e5461b0
 

( 1 imports ) 

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
 

( 1 exports ) 

ehet

packers (Kaspersky): PE_Patch.UPX, UPX

packers (Avast): UPX

packers (F-Prot): UPX

Leider konnte ich keine

Code:

Rosa.sys.vir

finden.. ich hab auch nach versteckten Dateien und in Sytemordnern suchen lassen..

Viele Grüße Chris

....aber was kann ich jetzt tun?

Lade dir einmal TcpView:
http://download.sysinternals.com/Files/TcpView.zip
Entpacke und starte tcpview.exe. In dem sich öffnenden Programmfenster aktiviere unter Options den Punkt Show unconnected endpoints. Im Anschluss wähle unter File Save as und speichere das Ergebnis von TcpView als c:\tcpview.txt. Den Inhalt dieser Datei poste hier.

Lade dir außerdem den Process Explorer:
http://download.sysinternals.com/Files/ProcessExplorer.zip
Nur herunterladen, noch nicht ausführen.

so die Ausgabe von TCPview:

Code:

[System Process]:0        TCP        zonk:33233        localhost:2618        TIME_WAIT        

[System Process]:0        TCP        zonk:2607        217-212-246-145.customer.teliacarrier.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:2608        217-212-246-145.customer.teliacarrier.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:33233        localhost:2620        TIME_WAIT        

[System Process]:0        TCP        zonk:2622        localhost:33233        TIME_WAIT        

[System Process]:0        TCP        zonk:2624        localhost:33233        TIME_WAIT        

[System Process]:0        TCP        zonk:33233        localhost:2609        TIME_WAIT        

[System Process]:0        TCP        zonk:2598        statse.iad.webtrendslive.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:33233        localhost:2626        TIME_WAIT        

[System Process]:0        TCP        zonk:2599        statse.iad.webtrendslive.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:2601        statse.iad.webtrendslive.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:33233        localhost:2613        TIME_WAIT        

[System Process]:0        TCP        zonk:2602        statse.iad.webtrendslive.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:2603        217-212-246-145.customer.teliacarrier.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:2604        217-212-246-145.customer.teliacarrier.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:33233        localhost:2616        TIME_WAIT        

[System Process]:0        TCP        zonk:2605        217-212-246-145.customer.teliacarrier.com:http        TIME_WAIT        

[System Process]:0        TCP        zonk:2606        217-212-246-145.customer.teliacarrier.com:http        TIME_WAIT        

alg.exe:2564        TCP        zonk:1031        zonk:0        LISTENING        

ARCGIS.EXE:1760        TCP        zonk:1025        zonk:0        LISTENING        

ARCGIS.EXE:1760        UDP        zonk:1027        *:*                

cvpnd.exe:1796        TCP        zonk:62514        zonk:0        LISTENING        

cvpnd.exe:1796        UDP        zonk:62514        *:*                

lmgrd.exe:1696        TCP        zonk:27000        zonk:0        LISTENING        

lsass.exe:924        UDP        zonk:isakmp        *:*                

lsass.exe:924        UDP        zonk:4500        *:*                

opera.exe:1884        TCP        zonk:2631        65.55.197.126:http        ESTABLISHED        

opera.exe:1884        TCP        zonk:2636        65.55.11.240:http        ESTABLISHED        

opera.exe:1884        TCP        zonk:2629        65.55.197.126:http        ESTABLISHED        

raysat_3dsmax9_32server.exe:284        TCP        zonk:mi-raysat_3dsmax9_32        zonk:0        LISTENING        

SbPFCl.exe:3232        TCP        zonk:1038        localhost:1040        ESTABLISHED        

SbPFCl.exe:3232        TCP        zonk:1036        localhost:44334        ESTABLISHED        

SbPFCl.exe:3232        TCP        zonk:1038        zonk:0        LISTENING        

SbPFCl.exe:3232        UDP        zonk:1039        *:*                

SbPFCl.exe:3232        UDP        zonk:1037        *:*                

SbPFCl.exe:3232        UDP        zonk:1445        *:*                

SbPFSvc.exe:456        TCP        zonk:1040        localhost:1038        ESTABLISHED        

SbPFSvc.exe:456        TCP        zonk:44334        localhost:1036        ESTABLISHED        

SbPFSvc.exe:456        TCP        zonk:44334        zonk:0        LISTENING        

SbPFSvc.exe:456        TCP        zonk:44501        zonk:0        LISTENING        

SbPFSvc.exe:456        UDP        zonk:44334        *:*                

spoolsv.exe:1584        UDP        zonk:1030        *:*                

svchost.exe:1080        TCP        zonk:3389        zonk:0        LISTENING        

svchost.exe:1192        TCP        zonk:epmap        zonk:0        LISTENING        

svchost.exe:1248        UDP        zonk:ntp        *:*                

svchost.exe:1248        UDP        zonk:ntp        *:*                

svchost.exe:1440        UDP        zonk:1900        *:*                

svchost.exe:1440        UDP        zonk:1900        *:*                

System:4        TCP        zonk:microsoft-ds        zonk:0        LISTENING        

System:4        TCP        zonk:netbios-ssn        zonk:0        LISTENING        

System:4        UDP        zonk:netbios-ns        *:*                

System:4        UDP        zonk:microsoft-ds        *:*                

System:4        UDP        zonk:netbios-dgm        *:*

Ok, ich hatte jetzt naiverweise gedacht, beim Spamversand zugucken zu können. Dem ist aber nicht so. :rolleyes:
Gibt es irgendeine Regelmäßigkeit in Bezug auf die Verbindungen zu der ominösen IP-Adresse? Schau ggf. mal im Log deiner Firewall nach.

Hallo Franz1968 und alle anderen!

Ich habe mal den Rechner neu gestartet und gehofft so die MalWare "an den Start" zu bringen. Wie aber schon den ganzen Nachmittag gibt’s sie sich weiterhin sehr bedeckt. Zwar wurde wieder eine Verbindung zu 74.50.107.172 erfragt, die ich dann auch erlaubt habe, (siehe Screenshot 1) jedoch steht im Firewll-Log denied.. (siehe Screenshot 2) obwohl ich den Vorgang ausdrücklich zugelassen habe :confused:

Jedenfalls tat sich zunächst nichts Großartiges...und dann (musste in der FireWall zwar noch Port 25 freigeben) gings aber los ! (siehe Screenshot 3)

Hier die das Log-File von TcpView: (zum selbigen Zeitpunkt)

Code:

[System Process]:0        TCP        zonk:1674        spf12.us4.outblaze.com:smtp        TIME_WAIT        

...

gekürzt.. war zu lang :-)

....

[System Process]:0        TCP        zonk:1721        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2105        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1995        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1675        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1323        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1558        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1750        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1381        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1813        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1797        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1848        spf12.us4.outblaze.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2037        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1221        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1573        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2137        nb-mx-vip2.prodigy.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1274        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1146        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1866        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1658        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1466        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2015        exch.corp.earthlink.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1180        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1836        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1196        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2044        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1372        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2028        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1276        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1884        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1335        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1783        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1607        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1562        aln-mailrelay.att.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1510        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1590        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1222        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1654        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1318        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1366        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1579        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1787        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1419        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1627        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1629        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1373        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1197        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1805        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1645        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1288        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1617        ib1.charter.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1518        rmail.lycosmail.lycos.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1742        rmail.lycosmail.lycos.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2169        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2174        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2186        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2170        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2145        fk-in-f27.google.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2173        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2179        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2165        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2181        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2193        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2185        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2166        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2207        nb-mx-vip1.prodigy.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2197        mxl145v2.mxlogic.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2206        litemail08.bigfoot.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2216        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2223        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2227        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2222        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2226        dc.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2219        mail.mx4.compuserve.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2233        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2236        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2232        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2241        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2238        spf11.us4.outblaze.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2253        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:1949        desperate.cnc.net:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2252        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2255        da.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2258        md.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2263        de.mx.aol.com:smtp        TIME_WAIT        

[System Process]:0        TCP        zonk:2260        exch.corp.earthlink.net:smtp        TIME_WAIT        

Acrobat.exe:1180        UDP        zonk:1080        *:*                

alg.exe:3732        TCP        zonk:1031        zonk:0        LISTENING        

ARCGIS.EXE:1936        TCP        zonk:1025        zonk:0        LISTENING        

ARCGIS.EXE:1936        UDP        zonk:1027        *:*                

cvpnd.exe:1972        TCP        zonk:62514        zonk:0        LISTENING        

cvpnd.exe:1972        UDP        zonk:62514        *:*                

lmgrd.exe:1868        TCP        zonk:27000        zonk:0        LISTENING        

lsass.exe:1088        UDP        zonk:isakmp        *:*                

lsass.exe:1088        UDP        zonk:4500        *:*                

raysat_3dsmax9_32server.exe:576        TCP        zonk:mi-raysat_3dsmax9_32        zonk:0        LISTENING        

SbPFCl.exe:1964        TCP        zonk:1037        localhost:44334        ESTABLISHED        

SbPFCl.exe:1964        TCP        zonk:1039        localhost:1041        ESTABLISHED        

SbPFCl.exe:1964        TCP        zonk:1039        zonk:0        LISTENING        

SbPFCl.exe:1964        UDP        zonk:1090        *:*                

SbPFCl.exe:1964        UDP        zonk:1040        *:*                

SbPFCl.exe:1964        UDP        zonk:1038        *:*                

SbPFSvc.exe:312        TCP        zonk:44334        localhost:1037        ESTABLISHED        

SbPFSvc.exe:312        TCP        zonk:1041        localhost:1039        ESTABLISHED        

SbPFSvc.exe:312        TCP        zonk:44334        zonk:0        LISTENING        

SbPFSvc.exe:312        TCP        zonk:44501        zonk:0        LISTENING        

SbPFSvc.exe:312        UDP        zonk:44334        *:*                

spoolsv.exe:1764        UDP        zonk:1030        *:*                

svchost.exe:1252        TCP        zonk:1947        mta-v8.mail.vip.mud.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2100        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1991        mta-v1.mail.vip.re3.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2119        mta-v1.mail.vip.re3.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1941        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2133        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1225        mta-v1.mail.vip.re3.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1143        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1158        mta-v15.mail.vip.re1.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1556        mta-v13.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1657        mta-v1.mail.vip.ac4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1361        mta-v8.mail.vip.mud.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1259        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1304        mta-v13.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1407        mta-v1.mail.vip.re3.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1398        mta-v9.mail.vip.mud.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2150        mta-v9.mail.vip.mud.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1806        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1630        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1194        mta-v13.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1472        mta-v1.mail.vip.ac4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:1994        mta-v9.mail.vip.mud.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2050        mta-v12.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:3389        zonk:0        LISTENING        

svchost.exe:1252        TCP        zonk:2228        mta-v15.mail.vip.re1.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2242        mta-v13.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2248        mta-v15.mail.vip.re1.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2250        mta-v13.mail.vip.re4.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2262        mta-v15.mail.vip.re1.yahoo.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2273        mta-v15.mail.vip.re1.yahoo.com:smtp        SYN_SENT        

svchost.exe:1252        TCP        zonk:2275        mx.dca.untd.com:smtp        ESTABLISHED        

svchost.exe:1252        TCP        zonk:2274        mta-v13.mail.vip.re4.yahoo.com:smtp        LAST_ACK        

svchost.exe:1252        TCP        zonk:2276        mta-v1.mail.vip.re3.yahoo.com:smtp        SYN_SENT        

svchost.exe:1252        TCP        zonk:2281        bay0-mc4-f.bay0.hotmail.com:smtp        SYN_SENT        

svchost.exe:1252        TCP        zonk:2280        mail.mx5.compuserve.com:smtp        SYN_SENT        

svchost.exe:1252        TCP        zonk:2283        mta-v12.mail.vip.re4.yahoo.com:smtp        SYN_SENT        

svchost.exe:1252        TCP        zonk:2282        mta-v9.mail.vip.mud.yahoo.com:smtp        LAST_ACK        

svchost.exe:1360        TCP        zonk:epmap        zonk:0        LISTENING        

svchost.exe:1420        UDP        zonk:ntp        *:*                

svchost.exe:1420        UDP        zonk:ntp        *:*                

svchost.exe:1600        UDP        zonk:1900        *:*                

svchost.exe:1600        UDP        zonk:1900        *:*                

System:4        TCP        zonk:microsoft-ds        zonk:0        LISTENING        

System:4        TCP        zonk:netbios-ssn        zonk:0        LISTENING        

System:4        UDP        zonk:netbios-ns        *:*                

System:4        UDP        zonk:microsoft-ds        *:*                

System:4        UDP        zonk:netbios-dgm        *:*

Da ich morgen dann auch schon wieder an dem Rechner arbeiten muss, und das auch nur noch für 1 Monat, macht eine zeitnahe Neuinstallation oder sehr zeitaufwändige Säuberung keinen Sinn, und so werde ich ihm wohl einfach den W-LAN Dongle ziehen.. aus die Maus.

Jetzt nur noch schnell zur "psnppagn32.dll". Sollte ich die vorsichtshalber wie in dem escan Tutorial beschrieben löschen.. oder bringt das gar nichts? Ich nehme mal an, da hat sich bei mir ein feines Root-Kit eingenistet, das es versteht sich sehr gut zu verstecken...

.. was haltet Ihr von einer Systemwiederherstellung zu einem früheren Zeitpunkt... könnte das was bringen?.. und was soll ich denn mit der

Code:

pinfect.zip

machen?

Viele Grüße

Chris

Dann versuchen wir behelfsweise, die psnppagn32.dll zu löschen.
http://virus-protect.org/artikel/bilder/aavenger.png
Lade dir The Avenger hier. Entpacke die exe-Datei nach C:\, starte sie und kopiere in das weiße Feld bei "input script here" Folgendes:

Code:

Files to delete:

C:\WINDOWS\SYSTEM32\psnppagn32.dll

Klicke "execute", bestätige und lasse den Rechner neu starten.
Nach dem Reboot findest du eine Datei c:\avenger.txt
Deren Inhalt hier posten.

@franz1968: Allzulaut mag ich noch nicht :Boogie: dennoch gebührt dir so oder so ein riesen :aplaus: für deine Tips und deinen Einsatz! :daumenhoc

In der Avenger Log fand sich folgendes:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\WINDOWS\SYSTEM32\psnppagn32.dll" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Nochmals vielen Dank

Chris

P.S.: Werde in absehbarer Zeit natürlich auch noch posten ob das des "Pudels Kern" war

Zitat:

Zitat von zonk (Beitrag 396173)

Allzulaut mag ich noch nicht :Boogie:

Es gibt auch leider keinen Grund dazu. Durch die Löschung der psnppagn32.dll mag der Spamversand aufhören. Aber irgendwo in diesem Thread las ich etwas von einer Kgen.gen. :kloppen:

Flüchtiges Googlen förderte u.a. Hinweise auf geklaute Zugangsdaten zu Tage, so dass du in jedem Fall deinen Rechner neu aufsetzen solltest und außerdem Zugangsdaten (Mailaccounts, Game-Accounts, Ebay, Online-Banking usw. usf.) von einem sauberen Rechner aus ändern solltest.

Warte nicht zu lange damit. Was auf deinem Rechner verändert worden ist, ist u.U. nicht mehr nachvollziehbar. Dass T-Online dich vom Netz abklemmt, wenn dein Rechner weiter spammen sollte, könnte noch das geringere Übel sein.