SPAM Versand, kann kein Virus oder Trojaner finden |
||
---|---|---|
#0
| ||
06.06.2006, 15:08
...neu hier
Beiträge: 5 |
||
|
||
06.06.2006, 15:46
Moderator
Beiträge: 6466 |
#2
Poste bitte dein Hijackthislog und nehme den Rechner wenn möglich vom Netz.
Mehr Infos hier => http://board.protecus.de/t23188.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
06.06.2006, 16:00
...neu hier
Themenstarter Beiträge: 5 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 14:20:40, on 06.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\IBM\SQLLIB\BIN\db2jds.exe C:\Programme\IBM\SQLLIB\BIN\db2sec.exe C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Ora81\BIN\OWASTSVR.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe C:\WINDOWS\System32\QCONSVC.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\TEMP\PK17AF.EXE C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\IBMTOOLS\UTILS\ibmprc.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\system32\NWTRAY.EXE C:\WINDOWS\system32\dpmw32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Toad for Oracle\TOAD.exe C:\Programme\lotus\notes\NLNOTES.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\lotus\notes\ntaskldr.EXE C:\Programme\ESTOS\ProCall\ProCallEx.exe E:\Privat\Programme\Shareaza2.1.4.0\Shareaza.exe C:\Dokumente und Einstellungen\MRink\Desktop\IBProcMan.exe C:\Programme\Mozilla Firefox\firefox.exe F:\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\system32\dpmw32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O17 - HKLM\System\CCS\Services\Tcpip\..\{04CBCFB8-06DD-4761-83C6-1D685EC9E672}: NameServer = 192.168.100.7,192.168.100.6 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\TOADFO~1\RNetPin.dll O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll O20 - Winlogon Notify: tphotkey - tphklock.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2jds.exe O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2sec.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\Programme\Ora81\BIN\ONRSD.EXE O23 - Service: OracleWebAssistant0 - Oracle Corporation - C:\Programme\Ora81\BIN\OWASTSVR.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Port Reporter (PortReporter) - Unknown owner - C:\Programme\PortReporter\portreporter.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe |
|
|
||
06.06.2006, 17:07
Moderator
Beiträge: 6466 |
#4
Soweit ok bis auf
C:\WINDOWS\TEMP\PK17AF.EXE , hier bin ich mir wirklich nicht sicher- Dateien, die aus einem Temp-Ordner heraus starten gehören meist keinem der regulären Progrmme an. Bitte prüfe die Datei unter www.virustotal.com und poste das Ergebnis. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
06.06.2006, 17:24
Moderator
Beiträge: 7805 |
#5
Das wird eine Datei von Trendmicro sein, die den Guard ueberwacht. Wenn der Guard terminiert wird, dann startet diese Temp. Datei den Service neu.
Ein Datfind Report waere hier nuetzlich http://virus-protect.org/datfindbat.html . Wobei mir der Rechner auch sehr nach Fimrenpc aussieht. In dem Fall den Admin fragen, was gemacht werden muss..... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.06.2006, 08:33
...neu hier
Themenstarter Beiträge: 5 |
#6
Danke.
Der Admin bin ich selber. Ich bin ja nicht blöde, aber diesen Ding bzw. es sieht ja nach keinem Virus aus. Der TrendMicro findet nichts. Und auch die anderen Tools finden rein gar nichts. Diese Exe ist von Trend Micro, also OK. Das Problem ist, das der PC unsere Firewall regelrecht mit SMTP beschießt. Auf der Rechner selber finde ich aber nichts. Nur das der Prozess services.exe auf Port 25 was rausschickt. Der Source Port verändert sich. Habe die Emails mal abgefangen. Das steht drin: Ein Bild mit Viagra und so einen Schmodder, closely aligned policy. Hargittai wont much Politics Plato Aristotle Belief against owner Kann mir vielleicht einer nen TIP geben, um was es sich da handelt? |
|
|
||
07.06.2006, 08:50
Ehrenmitglied
Beiträge: 6028 |
#7
raman hat es schon angegeben
Zitat Ein Datfind Report waere hier nuetzlich http://virus-protect.org/datfindbat.html __________ MfG Argus |
|
|
||
07.06.2006, 09:49
...neu hier
Themenstarter Beiträge: 5 |
#8
Bitte schön.
Hoffe das hilft euch weiter. Datentr„ger in Laufwerk C: ist IBM_PRELOAD Volumeseriennummer: DCD2-BE6D Verzeichnis von C:\ 07.06.2006 09:44 0 sys.txt 07.06.2006 09:44 8.683 system.txt 07.06.2006 09:44 3.414 systemtemp.txt 07.06.2006 09:44 116.727 system32.txt 07.06.2006 08:13 805.306.368 pagefile.sys 06.06.2006 12:16 244 sqmnoopt01.sqm 01.06.2006 15:41 173 _arm_errors.log 31.05.2006 12:09 244 sqmnoopt00.sqm 31.05.2006 09:02 194 BOOT.INI 30.05.2006 10:41 40 Auth.prof 07.04.2006 11:57 4.892 _GEAREXT.WO_IDENT.TXT 05.04.2006 12:50 600 PUTTY.RND 21.03.2006 09:56 13.824 dvb.GRF 08.03.2006 16:34 55.356 com.elixgroup.db2.jar 08.03.2006 13:07 38.632.480 FOO1 23.02.2006 10:27 40 Auth.prof (0) 27.01.2006 11:43 13.173 PAD.db2 23.01.2006 15:36 429 datFind.bat 03.01.2006 12:33 912 test.pad 26.09.2005 13:18 0 MSDOS.SYS 23.09.2005 10:09 21 tmuninst.ini 23.09.2005 08:37 0 IO.SYS 23.09.2005 08:37 0 AUTOEXEC.BAT 23.09.2005 08:37 0 CONFIG.SYS 27.08.2005 01:56 0 BOOTLOG.TXT 27.08.2005 01:51 0 BOOTLOG.PRV 27.08.2005 01:47 308 ccrrec.ver 27.08.2005 01:16 1.383 SYSLEVEL.IBM 10.08.2004 13:07 512 BOOTSECT.DOS 04.08.2004 05:00 47.564 NTDETECT.COM 04.08.2004 05:00 251.184 ntldr 04.08.2004 05:00 4.952 bootfont.bin 11.10.2001 10:14 237.568 hpsrc004.dll 11.10.2001 10:14 73.728 hpgscnsv.dll 34 Datei(en) 844.775.013 Bytes 0 Verzeichnis(se), 6.529.179.648 Bytes frei Datentr„ger in Laufwerk C: ist IBM_PRELOAD Volumeseriennummer: DCD2-BE6D Verzeichnis von C:\DOKUME~1\XX\LOKALE~1\Temp 07.06.2006 09:11 512 ~DF62EE.tmp 07.06.2006 08:49 65.536 ipw14.tmp 07.06.2006 08:49 77.824 ipw13.tmp 07.06.2006 08:49 61.440 ipw12.tmp 07.06.2006 08:49 81.920 ipw11.tmp 07.06.2006 08:49 77.824 ipw10.tmp 07.06.2006 08:49 86.016 ipwF.tmp 07.06.2006 08:36 32.768 ~DFD0D8.tmp 07.06.2006 08:19 0 JET6E4D.tmp 07.06.2006 08:15 512 ~DF3C71.tmp 07.06.2006 08:15 49.152 ~DF3C15.tmp 07.06.2006 08:15 512 ~DF1E93.tmp 07.06.2006 08:15 49.152 ~DF1E65.tmp 06.06.2006 16:25 10.225 6mz79.tmp 06.06.2006 15:01 23.427 3aa52.tmp 06.06.2006 15:01 71.682 tgy4E.tmp 06.06.2006 15:01 35.574 l3846.tmp 06.06.2006 15:01 32.204 mu13D.tmp 06.06.2006 15:01 27.777 b4w3B.tmp 06.06.2006 15:01 67.994 8ok3A.tmp 06.06.2006 15:01 67.560 ed239.tmp 02.06.2006 15:34 0 6ut6A.tmp 02.06.2006 15:33 0 kcf69.tmp 02.06.2006 15:32 0 lqk68.tmp 02.06.2006 15:31 0 owj67.tmp 02.06.2006 15:31 0 kwt66.tmp 02.06.2006 15:30 0 v8r65.tmp 02.06.2006 15:27 0 9hu64.tmp 02.06.2006 08:27 6.685 radarcache-default-1.gif 01.06.2006 23:26 442 vminst.log 31.05.2006 16:14 23.427 3yf8A.tmp 31.05.2006 16:14 71.682 ocl89.tmp 31.05.2006 16:14 10.225 7hb88.tmp 31.05.2006 16:14 35.574 jiz87.tmp 31.05.2006 16:14 32.204 8wv86.tmp 31.05.2006 16:14 27.777 or984.tmp 31.05.2006 16:14 67.994 7yt83.tmp 31.05.2006 16:14 67.560 cr382.tmp 31.05.2006 11:57 16.384 ~DF7413.tmp 31.05.2006 09:38 0 TWAIN.LOG 31.05.2006 09:38 2 Twain001.Mtx 31.05.2006 09:31 78 251 31.05.2006 09:31 49 573 31.05.2006 09:31 108 294 31.05.2006 09:31 103 9 31.05.2006 09:31 107 257 31.05.2006 09:31 106 699 31.05.2006 09:31 100 813 31.05.2006 09:31 91 139 31.05.2006 09:31 154 958 31.05.2006 09:19 490.686 tmp-1.xpi 31.05.2006 09:19 150.337 tmp.xpi 31.05.2006 08:46 65.536 ipw3E.tmp 31.05.2006 08:46 77.824 ipw3D.tmp 31.05.2006 08:46 61.440 ipw3C.tmp 31.05.2006 08:46 81.920 ipw3B.tmp 31.05.2006 08:46 77.824 ipw3A.tmp 31.05.2006 08:46 86.016 ipw39.tmp 31.05.2006 08:15 65.536 ipwE.tmp 31.05.2006 08:15 77.824 ipwD.tmp 31.05.2006 08:15 61.440 ipwC.tmp 31.05.2006 08:15 81.920 ipwB.tmp 31.05.2006 08:15 77.824 ipwA.tmp 31.05.2006 08:15 86.016 ipw9.tmp 30.05.2006 10:25 0 9qt3A4.tmp 27.05.2006 14:28 111 DFC5A2B2.TMP 07.03.2006 18:34 0 $b17a2e8.tmp 30.11.2005 14:46 69.752 uni1E.tmp 68 Datei(en) 2.892.469 Bytes 0 Verzeichnis(se), 6.529.196.032 Bytes frei Datentr„ger in Laufwerk C: ist IBM_PRELOAD Volumeseriennummer: DCD2-BE6D Verzeichnis von C:\WINDOWS 07.06.2006 09:10 291 hpbafd.ini 07.06.2006 08:19 342.413 WindowsUpdate.log 07.06.2006 08:14 3.514 DPRPMLOG.TXT 07.06.2006 08:14 65 iTouch.ini 07.06.2006 08:13 159 wiadebug.log 07.06.2006 08:13 50 wiaservc.log 07.06.2006 08:13 0 0.log 07.06.2006 08:13 2.048 bootstat.dat 06.06.2006 18:14 32.552 SchedLgU.Txt 06.06.2006 11:13 2.169.146 ntbtlog.txt 06.06.2006 09:41 116 NeroDigital.ini 06.06.2006 08:24 1.866.458 setupapi.log 31.05.2006 15:43 220.007 setupact.log 31.05.2006 09:02 878 win.ini 31.05.2006 09:02 246 system.ini 30.05.2006 11:21 206 EurekaLog.ini 22.05.2006 22:10 504 TMFilter.log 10.05.2006 11:34 583 WeXplore.ini 10.05.2006 11:24 28 MRink.acl 05.05.2006 15:17 208.896 boinc.scr 02.05.2006 17:00 2.304 cvavr.ini 24.04.2006 11:02 1.880 AUTOLNCH.REG 24.04.2006 08:32 1.360 MKDEMSG.LOG 24.04.2006 08:31 1.536 MKDEWE.TRN 19.04.2006 12:30 0 prntfix.und 19.04.2006 12:29 11 NetWare.INI 19.04.2006 12:20 723 patch.log 03.04.2006 10:04 53.760 wmsetup.log 21.03.2006 14:33 66.660 DirectX.log 21.03.2006 09:53 737.280 iun6002.exe 10.03.2006 12:14 121 GEARInstall.log 07.03.2006 18:35 0 hosts 03.03.2006 10:29 160 lexware.ini 16.02.2006 16:32 1.091 ARCHPR.INI 07.02.2006 18:23 3.444 aksdrvsetup.log 07.02.2006 18:22 23 yacht.xws 07.02.2006 18:12 19.430 dasetup.log 07.02.2006 18:11 42 trailer.xws 07.02.2006 17:38 0 setuperr.log 03.02.2006 09:59 3.186 tm.ini 03.02.2006 09:58 114 tdf.dii 02.02.2006 13:57 0 DwRun.INI 02.02.2006 13:57 0 TwKon.INI 11.01.2006 15:21 1.042 ODBC.INI 02.01.2006 22:16 5.000 mozver.dat 21.12.2005 12:30 6.058 Sysvn32.dll 08.12.2005 16:49 109 notesnsd.ini 01.12.2005 13:59 107.132 UninstallFirefox.exe 14.11.2005 11:02 4.524 ODBCINST.INI 169 Datei(en) 19.277.171 Bytes 0 Verzeichnis(se), 6.529.179.648 Bytes frei Datentr„ger in Laufwerk C: ist IBM_PRELOAD Volumeseriennummer: DCD2-BE6D Verzeichnis von C:\WINDOWS\system32 07.06.2006 09:13 289.280 TPHDLOG0.LOG 07.06.2006 08:16 121.792 TPAPSLOG.LOG 07.06.2006 08:13 176.448 ckpNotify.log 05.06.2006 12:31 2.278 wpa.dbl 01.06.2006 17:55 7.148 ikhcore.log 01.06.2006 16:44 18.543.822 UTWCZPR 21.05.2006 09:10 181.040 FNTCACHE.DAT 22.04.2006 17:22 60.200 sirenacm.dll 26.03.2006 14:46 54.308 perfc009.dat 26.03.2006 14:46 383.368 perfh009.dat 26.03.2006 14:46 394.258 perfh007.dat 26.03.2006 14:46 65.186 perfc007.dat 26.03.2006 14:46 905.896 PerfStringBackup.INI 21.03.2006 14:33 98.304 CmdLineExt.dll 18.01.2006 14:05 57.344 avsda.dll 30.12.2005 21:18 180.224 xvidvfw.dll 30.12.2005 21:10 761.856 xvidcore.dll 22.12.2005 22:31 6.144 ff_vfw.dll 22.12.2005 11:20 4.543 NMAS_Client_InstallLog.log 16.12.2005 15:51 1.872 AUTOEXEC.NT 14.12.2005 20:09 1.809 sdbackup.reg 08.12.2005 14:56 65.536 QuickTimeVR.qtx 08.12.2005 14:56 49.152 QuickTime.qts 02.12.2005 17:42 630.784 vp7vfw.dll 14.11.2005 11:06 113 jdbcerr.log 22.10.2005 03:42 118.784 ac3acm.acm 20.10.2005 22:32 614.400 msvcr80.dll 20.10.2005 22:31 540.672 msvcp80.dll 12.10.2005 16:49 3.799 jupdate-1.5.0_04-b05.log 26.09.2005 13:19 13.401 setup.stf 23.09.2005 10:19 38 ' 23.09.2005 08:56 995 mapisvc.inf 23.09.2005 08:40 100 LuResult.txt 23.09.2005 08:37 10 firstboot.ibm 23.09.2005 08:36 2.451 $winnt$.inf 23.09.2005 08:28 961 README.TXT 23.09.2005 08:27 131.072 psexec.exe 22.09.2005 16:14 81.920 cpwmon2k.dll 22.09.2005 13:48 225.280 cpwsave.exe 01.09.2005 13:43 135.168 Psinfo.exe 27.08.2005 01:55 333 $ncsp$.inf 27.08.2005 01:38 634 InstallUtil.InstallLog 27.08.2005 01:31 308 results.txt 27.08.2005 01:27 2.086 SMBIOS.bin 27.08.2005 01:23 16.832 amcompat.tlb 27.08.2005 01:23 23.392 nscompat.tlb 27.08.2005 01:16 2.458 OEMINFO.INI 14.08.2005 15:43 149.504 spflist.exe 02.08.2005 15:35 880.640 ccsw32.dll 02.08.2005 10:55 64.072 Pstools.chm 01.08.2005 23:47 106.496 crlcm.dll 29.07.2005 18:48 839.762 novnpnt.dll 29.07.2005 14:36 135.200 dpswin32.dll 29.07.2005 14:36 90.144 dplrname.dll 29.07.2005 14:36 172.064 dppwin32.dll edit |
|
|
||
07.06.2006, 13:01
Moderator
Beiträge: 7805 |
#9
Fahren wir mal ein paar staerkere Geschuetze auf. Wenn du weisst, das die services.exe "injected" wurde, kannst du mal mit dem Processmanager von Hijackthsi(unter miscs tools section) schauen, welche dlls zu dieser Datei geladen werden. Als 2. nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit hilfe von copy den Bericht hier einfuegen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.06.2006, 13:49
Ehrenmitglied
Beiträge: 29434 |
#10
1.
C:\WINDOWS\hosts muss geloescht werden......... + Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program + temp-Files mit CleanUp! loeschen http://virus-protect.org/cleanup.html + virustotal Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\TEMP\PK17AF.EXE ------------------------------------------------------- + E:\Privat\Programme\Shareaza2.1.4.0 deaktivieren (Taskmanager) ------------------------------------------------------------ dann , was raman geschrieben hat + Onlinescans http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.06.2006, 14:14
Moderator
Beiträge: 7805 |
#11
Die Datei C:\WINDOWS\TEMP\PK17AF.EXE ist, wie von djsven schon bestaetigt von Trend Micro. Die Hostsdatei hat die groesse Null, dort ist also nichts drin enthalten, koennte aber auf das infektionsdatum hinweisen.
Interessant waere, was in dieser Datei steht: 01.06.2006 16:44 18.543.822 UTWCZPR __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.06.2006, 14:24
...neu hier
Themenstarter Beiträge: 5 |
#12
So habe ich gemacht.
Der findet in C:\windows\system32:28309(***hidden***) sysbus32 So das wars. Aber ich finde keine Datei. Und ehrlich gesagt, wenn ich jetzt auf killen gehe, was passiert dann? XP putt? Ich finde auch nur was im nicht abgesichreten Modus. Gruß |
|
|
||
07.06.2006, 14:48
Moderator
Beiträge: 7805 |
#13
Das ist ein neuerer Spamtool.Mailbot und was es macht, hast du ja schon gemerkt!
Gmer ist in der Lage diesen Eindringling zu deaktivieren und zu loeschen. Hier hat es auf mehreren WinXP und einem Win2000 Rechner gut funktioniert. Dazu gmer starten, Meldung ueber Fund und die Frage nach einem scan verneinen, auf den Reiter Services gehen. Dort taucht der Service sysbus32(wurde doch als service gemeldet?) in Rot auf. Diesen mit der rechten Maustaste anklicken und delete waehlen. Die frage, ob du den Service loeschen moechtest mit ja beantworten und ob es die Datei C:\windows\system32:28309 loeschen soll ebenfalls. Danach einfach neu starten und erneut pruefen, ob gmer noch etwas meldet. Wie gesagt, auf eigenes Risiko. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.06.2006, 14:54
Moderator
Beiträge: 7805 |
#14
Kleiner Nachtrag, 28309 ist ein NTFS-Stream und ist mit Boardmittel fast nicht zu finden.
Kleine FAQ dazu: http://heysoft.de/Frames/f_faq_ads_de.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.06.2006, 17:59
Ehrenmitglied
Beiträge: 29434 |
#15
die sys auch aus der Registry loeschen...siehe
http://virus-protect.org/artikel/dienste/sysbus32_sys.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich bin am verzweifeln.
Mein Rechner versendet pausendlos über verscheiden Ports Smtp Mails an PORt 25.
Sind verscheiden Server die angesprochen werden.
Ich kann aber keinen Virus finde.
Nichts.
Weder TrendMicro, noch Highjack und div. finden etwas ungewöhliches.
Da kommen pro Minuten fast 1000 Emails zusammen.Das einzige was ich finde ist den services.exe.Ist auch im richtigen Verzeichnis.Richtige Größe hat es auch.
Man sieht nur das die services.exe verdammt viele Port 25 aufbaut.
Das ist das einzige.
Kein Trojaner, Wurm, Virus od. sontiges konnte ich mit verschienden Programmen bisher finde.
Ich hoffe ihr könnt mir weiterhelfen.
ich verzweifle langsam.
DANKE
Gruß