c8qesna@mail.ru ist der Absender-Was ist das? |
|
---|---|
04.11.2007, 19:14
Member
Beiträge: 50 |
|
|
|
04.11.2007, 19:36
Moderator
Beiträge: 7805 |
#2
Schick diese rar Datei bitte an virus@protecus.de und arbeite folgendes ab: http://board.protecus.de/t23187.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2007, 20:08
Member
Themenstarter Beiträge: 50 |
#3
Hallo
Danke erstmal für die schnelle Antwort. Ich habe alles abgearbeitet und poste die Logs. weiß net wie ich mehrere im Anhang unterbring.Sorry Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:06:23, on 04.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\system32\WTMKM.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\artcut6\progeng\Artcut6.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE C:\WINDOWS\explorer.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Tnaf\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file) O2 - BHO: (no name) - {01C956B2-36B7-4498-BEAE-7CF44835C801} - C:\WINDOWS\system32\slbiop32.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [SWClient] C:\Programme\SoftActivity\AMSys\swsys.exe O4 - HKLM\..\Run: [MacroKeyManager] WTMKM.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg -- End of file - 10351 bytes . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 3821-9C66 Verzeichnis von C:\WINDOWS\system32 04.11.2007 19:50 512 WTCY9853.dat 01.11.2007 21:53 2.516 KGyGaAvL.sys 28.10.2007 08:45 404.144 perfh009.dat 28.10.2007 08:45 419.320 perfh007.dat 28.10.2007 08:45 63.362 perfc009.dat 28.10.2007 08:45 76.246 perfc007.dat 28.10.2007 08:45 3.462 PerfStringBackup.TMP 20.10.2007 00:00 2.300 wpa.dbl 12.10.2007 03:28 2.129.624 FNTCACHE.DAT 30.09.2007 17:34 108.144 CmdLineExt.dll 28.09.2007 06:19 18.089.592 MRT.exe 07.09.2007 00:02 43.520 CBNDLL.DLL 07.09.2007 00:02 2248 Datei(en) 481.355.461 Bytes 0 Verzeichnis(se), 5.704.671.232 Bytes frei . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 3821-9C66 Verzeichnis von C:\DOKUME~1\Tnaf\LOKALE~1\Temp 04.11.2007 20:07 110.251 datfind.txt 04.11.2007 19:02 512 ~DF10BD.tmp 04.11.2007 19:02 65.536 ~DF109A.tmp 04.11.2007 19:02 65.536 ~DFFB9D.tmp 04.11.2007 19:02 512 ~DFFBB0.tmp 04.11.2007 17:14 16.384 Perflib_Perfdata_7f0.dat 6 Datei(en) 258.731 Bytes 0 Verzeichnis(se), 5.704.687.616 Bytes frei . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 3821-9C66 Verzeichnis von C:\WINDOWS 04.11.2007 19:55 135 setupact.log 04.11.2007 19:50 23 Artcut6.INI 04.11.2007 19:23 1.927 wincmd.ini 04.11.2007 18:55 0 0.log 04.11.2007 18:55 1.112.122 WindowsUpdate.log 04.11.2007 18:55 799 win.ini 04.11.2007 18:55 157 wiadebug.log 04.11.2007 18:55 50 wiaservc.log 04.11.2007 18:54 2.048 bootstat.dat 04.11.2007 18:53 116 NeroDigital.ini 04.11.2007 15:15 32.600 SchedLgU.Txt 29.10.2007 18:56 136.192 catchme.exe 27.10.2007 15:44 151 PhotoSnapViewer.INI 27.10.2007 14:46 31.899 setupapi.log 24.10.2007 14:53 0 setuperr.log 23.10.2007 19:43 288 nscstiu_error.txt 17.10.2007 14:17 1.783 IE4 Error Log.txt 02.10.2007 14:57 161.108 FontData.fdb 11.09.2007 16:21 5.134 CDPLAYER.INI 11.09.2007 15:29 1.080 AUTOLNCH.REG 08.09.2007 22:30 315 COVERE~1.INI 31.08.2007 03:57 1.019 disney.ini 24.08.2007 15:11 1.229 Illuminator Settings.ini 24.08.2007 13:01 1.035.228 setupapi.log.1.old 22.08.2007 13:34 483 rsagent.ini 14.08.2007 13:00 19.554 hpoins01.dat 14.07.2007 13:40 6.612 ModemLog_Motorola USB Modem #2.txt 14.07.2007 12:49 5.010 ModemLog_Motorola USB Modem.txt 14.07.2007 12:45 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #2.txt 03.07.2007 06:59 9.292 super.chm 01.07.2007 20:48 316.640 WMSysPr9.prx 306.688 IsUninst.exe 136 Datei(en) 53.607.589 Bytes 0 Verzeichnis(se), 5.704.683.520 Bytes frei . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 3821-9C66 Verzeichnis von C:\WINDOWS\temp . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 3821-9C66 Verzeichnis von C:\WINDOWS\Downloaded Program Files 06.08.2007 11:10 68.480 PURde-de.dll 02.08.2007 14:47 569 MSNPUpld.inf 02.08.2007 10:31 360.320 MsnPUpld.dll 02.08.2007 10:31 67.456 PURen-us.dll 29.07.2007 17:10 2.072 vscanmsx.dat 11.07.2007 00:00 2.504 catalog.dat 11.07.2007 00:00 9.809.478 virscan7.dat 11.07.2007 00:00 391.224 virscan6.dat 11.07.2007 00:00 4.151.974 virscan5.dat 11.07.2007 00:00 320.253 virscan4.dat 11.07.2007 00:00 6.899 ecbootil.vxd 11.07.2007 00:00 4.708.560 virscan9.dat 11.07.2007 00:00 271.992 ecmsvr32.dll 11.07.2007 00:00 570.636 virscan2.dat 11.07.2007 00:00 989.115 virscan1.dat 11.07.2007 00:00 32 virscant.dat 11.07.2007 00:00 1.772.318 virscan8.dat 11.07.2007 00:00 106.244 virscan.inf 11.07.2007 00:00 2.267 v.sig 11.07.2007 00:00 4.778 v.grd 11.07.2007 00:00 120.440 naveng32.dll 11.07.2007 00:00 902.776 navex32a.dll 11.07.2007 00:00 149.816 virscan3.dat 11.07.2007 00:00 11.875 symaveng.cat 11.07.2007 00:00 3.199 tscan1hd.dat 11.07.2007 00:00 97.744 scrauth.dat 11.07.2007 00:00 67.060 tscan1.dat 11.07.2007 00:00 224 zdone.dat 11.07.2007 00:00 1.061 symaveng.inf 11.07.2007 00:00 193.003 tcdefs.dat 11.07.2007 00:00 1.604.205 tcscan7.dat 11.07.2007 00:00 364.471 tcscan8.dat 11.07.2007 00:00 867.538 tcscan9.dat 11.07.2007 00:00 453 tinf.dat 11.07.2007 00:00 148 tinfidx.dat 11.07.2007 00:00 1.957 tinfl.dat 697 DirectAnimation Java Classes.osd 54 Datei(en) 30.086.661 Bytes 0 Verzeichnis(se), 5.704.679.424 Bytes frei . . . Anhang: log.txt
|
|
|
04.11.2007, 20:16
Moderator
Beiträge: 7805 |
#4
Teste folgende Datei bei Jotti oder Virustotal C:\WINDOWS\system32\slbiop32.dll und poste das Ergebniss.
Danach hake folgendes im Hijackthis og an und druecke fix checked. O2 - BHO: (no name) - {01C956B2-36B7-4498-BEAE-7CF44835C801} - C:\WINDOWS\system32\slbiop32.dll Starte neun und schaue, ob der Eintrag verschwunden ist. Du kannst die Mail einfach an die obige Adresse Forwarden/Weiterleiten... Schaue dir bitte die Datei sys.txt an, die sich unterhalb vom Ordner qoobox befinden muesste... __________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2007, 20:28
Member
Themenstarter Beiträge: 50 |
#5
Hi
Hier das ergebniss nur mit dem HJT komm ich net klar, ich als Laie sage mal wenn ich das Log sehe,verseucht...? Service load: 0% 100% File: slbiop32.dll Status: INFECTED/MALWARE MD5: 9a0368eccebb6ab364c5ef8bc5e68661 Packers detected: UPX Bit9 reports: File not found Scanner results Scan taken on 04 Nov 2007 19:22:50 (GMT) A-Squared Found Adware.Win32.Stud.a AntiVir Found ADSPY/Stud.A.43 ArcaVir Found Adware.Stud.A Avast Found Win32:Trojano-3384 AVG Antivirus Found Generic2.AMI BitDefender Found Adware.Stud.Y ClamAV Found Trojan.BHO-83 CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.Stud.a (4, 1, 400) Fortinet Found nothing Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Stud.a NOD32 Found a variant of Win32/Adware.BHO.AA application Norman Virus Control Found W32/Stud.AE Panda Antivirus Found nothing Rising Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found Trojan-Downloader.Agent.47 (probable variant) Nach Neustart,ist die Datei noch da----Nach erneutem Ausführen und Neustart ist die Datei weg. Ist noch was zu tun??? Danke Kay Dieser Beitrag wurde am 04.11.2007 um 20:54 Uhr von Freisler editiert.
|
|
|
04.11.2007, 20:57
Moderator
Beiträge: 7805 |
#6
Ja, ich brauche die rar Datei, denn das kann eigentlich nicht alles gewesen sein. Wenn du es schaffst, lade sie bei Spywarekiller hoch. Anleitung dazu findest du hier:
http://forum.hijackthis.de/showpost.php?p=157529&postcount=2 __________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2007, 21:03
Member
Themenstarter Beiträge: 50 |
#7
HI
Ich habe das versucht,aber scheinbar funktioniert das net. Kann ich die Datei net über mail senden? Gruß Kay |
|
|
04.11.2007, 21:23
Moderator
Beiträge: 7805 |
#8
Das Passwort zu der Datei fehlt noch aber es scheint einfach eine mp3 Datei zu sein! Sonderbar, das ist doch eine Exe Datei nur mit Endung mp3!?
__________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2007, 21:37
...neu hier
Beiträge: 1 |
#9
Hallo an alle,
bin ganz neu hier, weil ich über google nach dem o.a. Absender der Email gesucht habe. Das scheint ja eine recht neue Aktion zu sein. Ich habe diese Email mit dem besagten Anhang zweimal bekommen. Habe die Datei aber nicht geöffnet, da ich an dem angeblichen Mitschnitttag meines Telefonates gar nicht zu Hause war. Was soll ich tun ? Kann ich die Email einfach löschen und ist damit dann der Fall erledigt?? Vielen Dank für Eure Hilfe. sunny15 |
|
|
04.11.2007, 21:42
Moderator
Beiträge: 7805 |
#10
Ja, Mail loeschen sollte reichen. Das ist ein Tibs Downloader.
call123.xxx : W32/Malware (Signature: Malware.BFAC) * Compressed: NO * TLS hooks: NO * Executable type: Application * Executable file structure: OK [ General information ] * Drops files in %WINSYS% folder. * File length: 58231 bytes. * MD5 hash: 414b946a69cfde03c0f162a61323e12c. [ Changes to filesystem ] * Creates directory C:\WINDOWS\TEMP\. * Creates file C:\WINDOWS\TEMP\nsu8999.tmp. * Deletes file C:\WINDOWS\TEMP\nsu8999.tmp. * Creates directory C:\WINDOWS. * Creates directory C:\WINDOWS\TEMP. * Creates file C:\WINDOWS\TEMP\win321.exe. * Deletes file C:\WINDOWS\TEMP\WIN321.EXE. * Creates file C:\WINDOWS\SYSTEM32\kernelw.sys. [ Changes to registry ] * Creates key "HKLM\System\CurrentControlSet\Services\VxD\Driver". * Sets value "ImagePath"="\??\C:\WINDOWS\SYSTEM32\kernelw.sys" in key "HKLM\System\CurrentControlSet\Services\VxD\Driver". * Sets value "Type"="" in key "HKLM\System\CurrentControlSet\Services\VxD\Driver". [ Process/window information ] * Checks if privilege "SeLoadDriverPrivilege" is available. * Creates an event called ExitEvent. * Creates an event called xInstalled. [ Signature Scanning ] * C:\WINDOWS\TEMP\win321.exe (27360 bytes) : no signature detection. * C:\WINDOWS\SYSTEM32\kernelw.sys (7712 bytes) : no signature detection. Scan report of: call123.xxx AntiVir DR/Dldr.Tibs.OU Avast! - AVG - BitDefender GenPack:Generic.Malware.SPYddld.40661FC7 ClamAV - Command - Dr Web - eSafe - eTrust-VET - Ewido - F-Prot - F-Secure Trojan-Downloader.Win32.Tibs.ou Fortinet - Ikarus - Kaspersky Trojan-Downloader.Win32.Tibs.ou McAfee - Microsoft - Nod32 - Norman W32/Tibs.AZBB.dropper (Sandbox) Panda Suspicious file QuickHeal - Rising - Sophos Mal/Packer Sunbelt - Symantec - Trend Micro - VBA32 - VirusBuster Trojan.DR.Agent.WOU WebWasher Trojan.Dldr.Tibs.OU __________ MfG Ralf SEO-Spam Hunter |
|
|
04.11.2007, 21:59
Member
Themenstarter Beiträge: 50 |
#11
Hallo
hier die logs Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:04, on 2007-11-04 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\system32\WTMKM.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Tnaf\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HJT.zip\HijackThis.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\ComboFix\vfind.cfexe C:\ComboFix\vfind.cfexe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [SWClient] C:\Programme\SoftActivity\AMSys\swsys.exe O4 - HKLM\..\Run: [MacroKeyManager] WTMKM.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg -- End of file - 10196 bytes ComboFix 07-11-01.1 - Tnaf 2007-11-04 22:04:42.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1557 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-10-04 bis 2007-11-04 )))))))))))))))))))))))))))))) . 2007-11-02 12:18 512 --a------ C:\WINDOWS\system32\WTCY9853.dat 2007-10-24 15:01 <DIR> d-------- C:\Programme\Power Presenter RE 2007-10-24 15:01 <DIR> d-------- C:\Programme\Free Notes & Office Ink 2007-10-24 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tablet 2007-10-21 21:25 <DIR> d-------- C:\totalcmd 2007-10-21 21:25 545 --a------ C:\WINDOWS\UC.PIF 2007-10-21 21:25 545 --a------ C:\WINDOWS\RAR.PIF 2007-10-21 21:25 545 --a------ C:\WINDOWS\PKZIP.PIF 2007-10-21 21:25 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2007-10-21 21:25 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2007-10-21 21:25 545 --a------ C:\WINDOWS\LHA.PIF 2007-10-21 21:25 545 --a------ C:\WINDOWS\ARJ.PIF 2007-10-21 11:40 <DIR> d-------- C:\Programme\Google 2007-10-18 12:14 818 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat 2007-10-18 12:14 54 --a------ C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\amopn.dat 2007-10-14 22:48 <DIR> d-------- C:\Programme\SoftActivity 2007-10-14 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AM 2007-10-14 22:48 1,588 --ah----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amprm.dat 2007-10-14 22:48 674 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\awmsg.dat 2007-10-14 22:48 16 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amguid.dat 2007-10-14 22:48 4 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\winam.dat 2007-10-12 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2007-10-12 15:54 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information 2007-10-12 15:54 <DIR> d--h----- C:\Programme\CanonBJ 2007-10-12 15:53 <DIR> d-------- C:\Programme\Canon 2007-10-12 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ 2007-10-12 15:42 197,632 --a------ C:\WINDOWS\system32\CNMLM86.DLL 2007-10-11 14:39 <DIR> d-------- C:\Programme\Windows Live Safety Center 2007-10-10 17:09 <DIR> d-------- C:\Programme\Teamspeak2_RC2 2007-10-09 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage(2) 2007-10-09 21:54 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-09 17:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Contacts 2007-10-08 18:03 <DIR> d-------- C:\Programme\iPod 2007-10-08 18:02 <DIR> d-------- C:\Programme\iTunes 2007-10-07 19:51 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK 2007-10-06 15:20 <DIR> d-------- C:\Programme\Calamus 2007-10-06 15:20 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-02 11:17 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat! 2007-10-24 14:01 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-10-12 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip 2007-10-12 10:51 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\teamspeak2 2007-10-09 16:49 --------- d-----w C:\Programme\MSN Messenger 2007-10-08 16:59 --------- d-----w C:\Programme\Apple Software Update 2007-09-30 16:34 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-09-30 16:34 --------- d--h--r C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\SecuROM 2007-09-22 20:34 --------- d-----w C:\Programme\eMule 2007-09-22 16:34 --------- d-----w C:\Programme\Reality Pump 2007-09-21 08:50 --------- d-----w C:\Programme\Microsoft.NET 2007-09-13 03:04 --------- d-----w C:\Programme\CCleaner 2007-09-12 18:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-09-12 18:37 --------- d-----w C:\Programme\AGEIA Technologies 2007-09-11 15:21 --------- d-----w C:\Programme\Easy CD-DA Extractor 9 2007-09-10 02:09 --------- d-----w C:\Programme\NetAnts 2007-09-09 10:08 --------- d-----w C:\Programme\LucasArts 2007-09-08 21:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-09-08 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Vbox 2007-09-08 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2007-09-08 08:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet 2007-09-08 08:18 --------- d-----w C:\Programme\Bonjour 2007-09-08 08:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared 2007-09-06 23:02 45,056 ----a-w C:\WINDOWS\system32\drivers\CBUSB.SYS 2007-09-06 23:02 43,520 ----a-w C:\WINDOWS\system32\CBNDLL.DLL 2007-09-06 23:02 364,544 ----a-w C:\WINDOWS\system32\MPIWIN32.DLL 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys 2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys 2006-05-03 09:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:28] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 02:20] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02] "SWClient"="C:\Programme\SoftActivity\AMSys\swsys.exe" [2007-10-10 11:16] "MacroKeyManager"="WTMKM.exe" [2006-12-26 13:02 C:\WINDOWS\system32\WTMKM.exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2006-11-23 16:46] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-21 16:39] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler "GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe "RTHDCPL"=RTHDCPL.EXE "SkyTel"=SkyTel.EXE "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "Alcmtr"=ALCMTR.EXE "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe" R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys R1 GhPciScan;GhostPciScanner;\??\C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys R3 SAgentDriver;SAgent Driver;\??\C:\Programme\SoftActivity\AMSys\sagendrv.sys S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys S3 musbehco;musbehco;\??\C:\DOKUME~1\Tnaf\LOKALE~1\Temp\musbehco.sys S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\system32\DRIVERS\usbsermptxp.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2007-11-04 16:16:45 C:\WINDOWS\Tasks\1-Klick-Wartung.job" "2007-10-29 10:06:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-04 22:06:35 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-04 22:06:56 C:\ComboFix-quarantined-files.txt ... 2007-04-21 23:09 C:\ComboFix2.txt ... 2007-11-04 19:57 C:\ComboFix3.txt ... 2007-04-21 23:09 . --- E O F --- Besten Dank Kay Dieser Beitrag wurde am 04.11.2007 um 22:04 Uhr von Freisler editiert.
|
|
|
04.11.2007, 22:10
Moderator
Beiträge: 7805 |
#12
Das sieht eigentlich sauber aus. Wenn dieser Downloader aktiv wurde, erscheinen andere Meldungen/Eintraege.
Es wird eine kernelw.sys und eine kernelwind32.exe gedroppt. Die kernelwind32.exe wird in den Autostart eingebunden und gibt beim Start ein Popup aus( mit russischem Text). Es sieht so aus, das diese Datei mit einer Trailversion eines kommerziellen Packers gepackt wurde. Obige beiden Dateien werden von fast allen AV Programen erkannt... Fix nochmal das: O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg Achja, mache bitte ein Update via www.windowsupdate.com! __________ MfG Ralf SEO-Spam Hunter |
|
|
05.11.2007, 18:30
Member
Themenstarter Beiträge: 50 |
#13
Alles klar,besten Dank für Eure Hilfe.
Derzeit keine Anzeichen das irgendwas nicht stimmt.Falls etwas auftaucht würde ich mich nochmals melde Viele Grüße und nochmals vielen Dank Kay |
|
|
13.11.2007, 21:20
Member
Beiträge: 337 |
#14
Hallo Freisler,
für die Zukunft ein kleiner Hinweis: Wenn man eMails von unbekannten Menschen bzw. Oranisationen, Firmen, etc, erhält, dann kann es sich meist nur um SPAM handeln, denn: - Warum sollte jemand, den Du nicht kennst, Dir eine eMail senden, außer Du hast vorher in einer eMail an irgend jemanden darum gebeten und erwartest eine Antwort ? Dann ist Dir dieser Jemand allerdings nicht mehr ganz unbekannt. - Woher sollte der Unbekannte Deine eMail-Adresse haben ? Normalerweise ist der Personenkreis, mit dem man per eMail verkehrt, also die Personen/Firmen/etc., von denen man eMails erwartet, relativ begrenzt. Mit einem geeignetem Filterprogramm (z.B. MailWasher) läßt sich fast alles Unerwünschte direkt vom Mail-Server löschen, ohne dass davon irgendwelche gefährlichen Teile auf den eigenen Rechner gelangen. Das Vorgehen von Outlook und Co., die eMails erst vom Mail-Server herunter zu laden und anschließend per definierter Regel in einen definierten Ordner zu verschieben, halte ich für absolut ungeeignet, da die in einer eMail evtl. enthaltene Malware definitiv irgendwohin auf Deinen PC gelangt. Also besser, eMails erst einmal durch einen Filter laufen und unerwünschte Mails bereits auf dem eMail-Server löschen lassen, bevor so etwas überhaupt über das eMail-Programm auf den eigenen PC geladen wird. Das o.g. Filter-Programm zeigt nur den Text-Inhalt der auf dem eMail-Server lagernden Mail an, es kann also beim Anschauen nichts schädliches passieren. Cascade __________ Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..." Ich bin sehr optimistisch, was die Zukunft angeht ... |
|
|
14.12.2007, 19:04
Member
Beiträge: 26 |
#15
Also, ich hab den text nur mal überflogen, aber die Datei scheint ja was an der Registry zu ändern! Deshalb empfehle ich euch mal den Spybot Search&Destroy (Freeware)!!
ok, machts gut Bye |
|
|
An
Diese E-Mail als Spam melden Diese E-Mail als Spam melden »
Filter erstellen »
Header anzeigen »
CC
Betreff DANGER
hello. i work in a private detective agency. my name is not important now. I'm warning you that i'm going to watch you and monitor your telephone line. Do you want to know who paid for shadowing you? Expect my next e-mail. P.S. I know, you don't believe me. But i think that the record of your yesterday's telephone conversation will assure you that everything is real. The record is in archive. The password is 123qwe
die rar datei im Anhang nennt sich call12234.rar
Das Ding kam eben bei mir an,Leider habe ich den Anhang geöffnet.Was ist das??Es tat sich sichtlichnichts außer ein übersteuern der Boxen,wie als wenn das Micro zu weit dran steht.
Bitte dringend um Hilfe,was hab ich mir hier eingefangen.
Danke im Vorraus