Habe von t-online Post bekommen... ... nachder über mein Account viel gespammt wurde. Zunächst habe ich das für einen HOAX gehalten und ziemlich unmotiviert meine HiJackThis Logdatei hier: http://www.hijackthis.de/de ohne besondere Vorkommnisse überprüfen lassen. Weiter setzte ich dann Spybot S&D und Ad-Aware ein, welche wiederum nur ein, zwei Tracking-Cookies fanden und eliminierten. Sehr skeptisch ließ ich dann den in der Mail von t-online empfohlenen "Trend Micro HouseCall" über meinen Rechner laufen, welcher mich jedoch nur auf einige Lücken in meiner Office 2003 Installation hinwies, welche ich daraufhin schloss und nun keine weitern Beanstandungen erhalte. Das Thema war für mich bis dahin dann fast gegessen, ja wenn nicht meine Firwall gemeldet hätte, dass der Generic Host Process for Win32 Services zur (74.50.107.172) IP funken will. Die Ergebnisse der Googlesuche zu dieser IP beunruhigten mich dann schon. So wendete ich mich zunächst Malwarebytes' Anti-Malware 1.30 zu: Code: Malwarebytes' Anti-Malware 1.30 Code: 11/29/08 23:52:51 [Info]: BlackLight Engine 2.2.1092 initialized Code: ComboFix 08-11-29.02 - Administrator 2008-11-29 21:08:55.1 - NTFSx86 |
Hi poste mal bitte auch deinen Hjt-Logfile und dein System :) Gruß Lumitu |
mann seid ihr schnell RESPEKT .....aber hier erstmal hier die Fortsetzung: Eine weitere Überprüfung ließ ich mit escan folgen. Außer merkwürdigen Reg-Einträgen fand aber auch dieses nichts besonderes. Die „Virus Information“: Code: Objekt "parentis Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Übrigends der Link zu find.dat (ebenso wie der zur unauffindbar find.bat von haui) ist nicht mehr gerade aktuell Code: 30 Nov 2008 00:14:15 - ********************************************************** Wenn Ihr also Vorschläge hättet, ob und wie man jetzt dagegen vorgehen soll, dann wäre ich euch dafür sehr dankbar. Ohne größere Ergebnisse lief dann noch die ganze Nacht DrWeb: Code: C.bat;C:\32788R22FWJFW;Wahrscheinlich BATCH.Virus Also so richtig weiß ich mit Alledem jetzt nichts anzufangen. Daher meine Fragen an Euch: 1. Wie kann ich überprüfen ob mein Rechner noch spammt? 2. Was sollte/könnte ich noch unternehmen? 3. Ist eine Systemwiederherstellung vor Ausführung des wahrscheinlichen schuldigen „Trojan-Dropper.Win.32.Kgen.gen“ (befindet sich nicht mehr auf dem Rechner) sinnvoll? 4. Was mache ich mit der wohl beim Start von esacn angelegten Datei „pinfect.zip“? (siehe auch hier: http://www.trojaner-board.de/47803-w...m-analyse.html) Schon mal vielen Dank und noch einen schönen Sonntag Chris |
... und zu guter Letzt natürlich auch noch die HiJackThis File: Code: Logfile of Trend Micro HijackThis v2.0.2 Warum klappt das nicht mehr mit'm "CODE".. naja egal auf jeden Fall viel Spaß damit und auch schon gleich ein Dankeschön |
Auf deinem Rechner sollte es einen Ordner Code: C:\Qoobox\Quarantine Übrigens, zu den Code-Tags: Slash, nicht Backslash. :) |
In C:\Qoobox\Quarantine befindet sich: ein leerer Odner namens "C" ein Odner namens "Registry_backups" mit den Dateien: HKLM-Run-CFSServ.exe.reg.dat, HKLM-Run-NDSTray.exe.reg.dat, HKLM-Run-TFncKy.reg.dat, Service_rosa.reg.dat, ShellExecuteHooks-{54697F09-BAF4-422E-8E7A-A563B020B1A5}.reg.dat und tcpip.reg der catchme.log: Code: -------- 29.11.2008 - 20:57:19,29 ------------- |
:confused: Befindet sich denn irgendwo eine Datei, die so heißen müsste: Zitat:
Außerdem würde mich interessieren, was Virustotal zu dieser Datei sagt: Zitat:
|
Hallo Franz1968! Da hast du wohl ein tolles Gespühr bewiesen: Datei psnppagn32.dll empfangen 2008.11.30 15:14:45 (CET) Status: Beendet Ergebnis: 11/37 (29.73%) Code: Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis Code: Rosa.sys.vir Viele Grüße Chris ....aber was kann ich jetzt tun? |
Lade dir einmal TcpView: http://download.sysinternals.com/Files/TcpView.zip Entpacke und starte tcpview.exe. In dem sich öffnenden Programmfenster aktiviere unter Options den Punkt Show unconnected endpoints. Im Anschluss wähle unter File Save as und speichere das Ergebnis von TcpView als c:\tcpview.txt. Den Inhalt dieser Datei poste hier. Lade dir außerdem den Process Explorer: http://download.sysinternals.com/Files/ProcessExplorer.zip Nur herunterladen, noch nicht ausführen. |
so die Ausgabe von TCPview: Code: [System Process]:0 TCP zonk:33233 localhost:2618 TIME_WAIT |
Ok, ich hatte jetzt naiverweise gedacht, beim Spamversand zugucken zu können. Dem ist aber nicht so. :rolleyes: Gibt es irgendeine Regelmäßigkeit in Bezug auf die Verbindungen zu der ominösen IP-Adresse? Schau ggf. mal im Log deiner Firewall nach. |
Liste der Anhänge anzeigen (Anzahl: 3) Hallo Franz1968 und alle anderen! Ich habe mal den Rechner neu gestartet und gehofft so die MalWare "an den Start" zu bringen. Wie aber schon den ganzen Nachmittag gibt’s sie sich weiterhin sehr bedeckt. Zwar wurde wieder eine Verbindung zu 74.50.107.172 erfragt, die ich dann auch erlaubt habe, (siehe Screenshot 1) jedoch steht im Firewll-Log denied.. (siehe Screenshot 2) obwohl ich den Vorgang ausdrücklich zugelassen habe :confused: Jedenfalls tat sich zunächst nichts Großartiges...und dann (musste in der FireWall zwar noch Port 25 freigeben) gings aber los ! (siehe Screenshot 3) Hier die das Log-File von TcpView: (zum selbigen Zeitpunkt) Code: [System Process]:0 TCP zonk:1674 spf12.us4.outblaze.com:smtp TIME_WAIT Da ich morgen dann auch schon wieder an dem Rechner arbeiten muss, und das auch nur noch für 1 Monat, macht eine zeitnahe Neuinstallation oder sehr zeitaufwändige Säuberung keinen Sinn, und so werde ich ihm wohl einfach den W-LAN Dongle ziehen.. aus die Maus. Jetzt nur noch schnell zur "psnppagn32.dll". Sollte ich die vorsichtshalber wie in dem escan Tutorial beschrieben löschen.. oder bringt das gar nichts? Ich nehme mal an, da hat sich bei mir ein feines Root-Kit eingenistet, das es versteht sich sehr gut zu verstecken... .. was haltet Ihr von einer Systemwiederherstellung zu einem früheren Zeitpunkt... könnte das was bringen?.. und was soll ich denn mit der Code: pinfect.zip Viele Grüße Chris |
Dann versuchen wir behelfsweise, die psnppagn32.dll zu löschen. http://virus-protect.org/artikel/bilder/aavenger.png Lade dir The Avenger hier. Entpacke die exe-Datei nach C:\, starte sie und kopiere in das weiße Feld bei "input script here" Folgendes: Code: Files to delete: Nach dem Reboot findest du eine Datei c:\avenger.txt Deren Inhalt hier posten. |
@franz1968: Allzulaut mag ich noch nicht :Boogie: dennoch gebührt dir so oder so ein riesen :aplaus: für deine Tips und deinen Einsatz! :daumenhoc In der Avenger Log fand sich folgendes: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 Chris P.S.: Werde in absehbarer Zeit natürlich auch noch posten ob das des "Pudels Kern" war |
Zitat:
Flüchtiges Googlen förderte u.a. Hinweise auf geklaute Zugangsdaten zu Tage, so dass du in jedem Fall deinen Rechner neu aufsetzen solltest und außerdem Zugangsdaten (Mailaccounts, Game-Accounts, Ebay, Online-Banking usw. usf.) von einem sauberen Rechner aus ändern solltest. Warte nicht zu lange damit. Was auf deinem Rechner verändert worden ist, ist u.U. nicht mehr nachvollziehbar. Dass T-Online dich vom Netz abklemmt, wenn dein Rechner weiter spammen sollte, könnte noch das geringere Übel sein. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:35 Uhr. |
Copyright ©2000-2024, Trojaner-Board