Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rätselhafter Mailversand - Malware.Packer.Gen, Trojan.Patched und Malware.Trace (https://www.trojaner-board.de/91644-raetselhafter-mailversand-malware-packer-gen-trojan-patched-malware-trace.html)

markusg 15.10.2010 16:57
eset online scan
Free ESET Online Antivirus Scanner
und poste das ergebniss

dahoggandedo 15.10.2010 18:19
Hallo,

vielleicht bin ich nur zu ***, aber der Scan ergab nach ca. 124.000 gescanten Dateien keine Funde, nichts infected, aber es gab auch keinen Log (zumindest habe ich keinen finden können).

Noch 'ne doofe Frage vielleicht: wieso hat der Scan nicht die Schädlinge aufgeführt, die Anitivir in Quarantäne hat? Während des Scans war ich offline und hatte den Guard von AV deaktiviert...

VG
U.

markusg 15.10.2010 18:29
weil die dateien in der av-quarantäne verschlüsselt sind, da schlagen nicht alle scanner an.
so jetzt teste mal ob das mit dem mail account klappt
ich bin aber bis dienstag net mehr da.

dahoggandedo 15.10.2010 20:36
Mit dem Mailaccount klappt ... meinst Du, daß ich von hier aus rein soll und damit quasi das Passwort "verraten" würde -wenn das Aas noch da wäre-?

Wegen Dienstag kein Problem, die Kiste läuft ja ansonsten und bin am WE auch net da.

VG
U.

markusg 20.10.2010 12:32
ich denke das jetzt wieder alles funktionieren sollte, deswegen meld dich mit dem mal mit dem mail account an, ums zu bestätigen

dahoggandedo 21.10.2010 22:45
So, habe von sicherem PC das Passwort wieder zurückgesetzt und mich jetzt von zu Hause angemeldet. Habe 2 Mails verschickt und warte jetzt ab, ob von dem Troj. -so er noch da sein sollte- weitere Mails verschickt werden. Wenn nix passiert, wie lange soll ich warten (um hier sozusagen endgültig Bescheid sagen zu können)?

VG
U.

markusg 28.10.2010 13:23
mein computer war kaputt.
waren noch probleme aufgetreten?

dahoggandedo 01.11.2010 09:15
Hallo,

jetzt war ich meinerseits ein paar Tage weg.

Nachdem ich das voher "infizierte" Mailaccount wieder von hier aus benutzt habe, sind von dort keine neuen "Fremdmails" verschickt worden. Insofern ist was das anbelangt kein Problem aufgetreten.

Allerdings entwickelt der PC nach dem Verbinden mit dem Netz so nach ungefähr 1 bis 2 Minuten eine starke festplattenaktivität. Das dauert dann so 10 bis 20 Sekunden. Wenn ich den Taskmanager öffne, um nach der CPU-Auslastung zu sehen, ist keine Auffälligkeit zu sehen (also Leerlauf 99%). Nur einmal habe ich mit 5 - 7 % einen Prozeß mit "java" gesehen.

An Änderungen habe ich seit den letzten Prüfungen keine durchgeführt, angesehen davon, daß ich ein Benutzerkonto mit eingeschränkten Rechten eingerichtet habe, unter dem ich jetzt immer ins Netz gehe.

Soll ich evtl. nochmal irgend ein Tool prüfen lassen?

VG
U.

markusg 01.11.2010 10:10
dann poste ddoch mal einen gmer report.
http://www.trojaner-board.de/74908-a...t-scanner.html

dahoggandedo 03.11.2010 02:23
Hier ist der Report:

GMER Logfile:
GMER Logfile:
Code:
GMER 1.0.15.15477 - hxxp://www.gmer.net
Rootkit scan 2010-11-03 02:10:06
Windows 5.1.2600 Service Pack 3
Running: 560tq6lb.exe; Driver: C:\DOKUME~1\Uli\LOKALE~1\Temp\pxtdapog.sys


---- System - GMER 1.0.15 ----

SSDT    \SystemRoot\system32\drivers\mmrtkrnl.sys (MMRTKRNL.SYS/ALCATech GmbH)                        ZwClose [0xBA1AACA6]
SSDT    BA725C06                                                                                      ZwCreateKey
SSDT    BA725BFC                                                                                      ZwCreateThread
SSDT    BA725C0B                                                                                      ZwDeleteKey
SSDT    BA725C15                                                                                      ZwDeleteValueKey
SSDT    BA725C1A                                                                                      ZwLoadKey
SSDT    \SystemRoot\system32\drivers\mmrtkrnl.sys (MMRTKRNL.SYS/ALCATech GmbH)                        ZwOpenKey [0xBA1AAC22]
SSDT    BA725BE8                                                                                      ZwOpenProcess
SSDT    BA725BED                                                                                      ZwOpenThread
SSDT    BA725C24                                                                                      ZwReplaceKey
SSDT    BA725C1F                                                                                      ZwRestoreKey
SSDT    BA725C10                                                                                      ZwSetValueKey
SSDT    BA725BF7                                                                                      ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text    ntkrnlpa.exe!ZwCallbackReturn + 2DCC                                                          80504668 4 Bytes  CALL 870AB8C8
.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                      section is writeable [0xB9268380, 0x34C81F, 0xE8000020]
init    C:\WINDOWS\system32\drivers\mmrtkrnl.sys                                                      entry point in "init" section [0xBA1AEC80]
.text    C:\WINDOWS\system32\drivers\ACEDRV08.sys                                                      section is writeable [0xB56B1000, 0x328BA, 0xE8000020]
.pklstb  C:\WINDOWS\system32\drivers\ACEDRV08.sys                                                      entry point in ".pklstb" section [0xB56F5000]
.relo2  C:\WINDOWS\system32\drivers\ACEDRV08.sys                                                      unknown last section [0xB5711000, 0x8E, 0x42000040]
.text    C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                        section is writeable [0xB53C0300, 0x3ACC8, 0xE8000020]
.text    C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                        section is writeable [0xBA408300, 0x1B7E, 0xE8000020]

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\InprocHandler32@          ole32.dll
Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\LocalServer32@            C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\ProgID@                    Outlook.OlkCategoryStrip.1
Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\ToolboxBitmap32@          C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE,5514
Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\Typelib@                  {00062FFF-0000-0000-C000-000000000046}
Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\Version@                  9.3
Reg      HKLM\SOFTWARE\Classes\CLSID\{00142B4A-0944-DA36-84AB-800768B60C5D}\VersionIndependentProgID@  Outlook.OlkCategoryStrip

---- EOF - GMER 1.0.15 ----
--- --- ---
VG
U.

markusg 03.11.2010 10:00
hmm ich sehe nichts auffälliges, da du aber festplatten aktivität hast, muss dort schon noch etwas sein, wir könnten, um sicher zu gehen, kurzen prozess machen, und das bs neu aufsetzen und dann vernünftig absichern.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:18 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131