c8qesna@mail.ru ist der Absender-Was ist das?

#1 Von c8qesna@mail.ru » Gesendet Fr 02 Nov 2007 14:43:25 CET
An
Diese E-Mail als Spam melden Diese E-Mail als Spam melden »
Filter erstellen »
Header anzeigen »
CC
Betreff DANGER


hello. i work in a private detective agency. my name is not important now. I'm warning you that i'm going to watch you and monitor your telephone line. Do you want to know who paid for shadowing you? Expect my next e-mail. P.S. I know, you don't believe me. But i think that the record of your yesterday's telephone conversation will assure you that everything is real. The record is in archive. The password is 123qwe

die rar datei im Anhang nennt sich call12234.rar



Das Ding kam eben bei mir an,Leider habe ich den Anhang geöffnet.Was ist das??Es tat sich sichtlichnichts außer ein übersteuern der Boxen,wie als wenn das Micro zu weit dran steht.
Bitte dringend um Hilfe,was hab ich mir hier eingefangen.

Danke im Vorraus

#2 Schick diese rar Datei bitte an virus@protecus.de und arbeite folgendes ab: http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo

Danke erstmal für die schnelle Antwort.
Ich habe alles abgearbeitet und poste die Logs.

weiß net wie ich mehrere im Anhang unterbring.Sorry


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:23, on 04.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\WTMKM.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\artcut6\progeng\Artcut6.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Tnaf\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: (no name) - {01C956B2-36B7-4498-BEAE-7CF44835C801} - C:\WINDOWS\system32\slbiop32.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SWClient] C:\Programme\SoftActivity\AMSys\swsys.exe
O4 - HKLM\..\Run: [MacroKeyManager] WTMKM.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 10351 bytes


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS\system32

04.11.2007 19:50 512 WTCY9853.dat
01.11.2007 21:53 2.516 KGyGaAvL.sys
28.10.2007 08:45 404.144 perfh009.dat
28.10.2007 08:45 419.320 perfh007.dat
28.10.2007 08:45 63.362 perfc009.dat
28.10.2007 08:45 76.246 perfc007.dat
28.10.2007 08:45 3.462 PerfStringBackup.TMP
20.10.2007 00:00 2.300 wpa.dbl
12.10.2007 03:28 2.129.624 FNTCACHE.DAT
30.09.2007 17:34 108.144 CmdLineExt.dll
28.09.2007 06:19 18.089.592 MRT.exe
07.09.2007 00:02 43.520 CBNDLL.DLL
07.09.2007 00:02
2248 Datei(en) 481.355.461 Bytes
0 Verzeichnis(se), 5.704.671.232 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\DOKUME~1\Tnaf\LOKALE~1\Temp

04.11.2007 20:07 110.251 datfind.txt
04.11.2007 19:02 512 ~DF10BD.tmp
04.11.2007 19:02 65.536 ~DF109A.tmp
04.11.2007 19:02 65.536 ~DFFB9D.tmp
04.11.2007 19:02 512 ~DFFBB0.tmp
04.11.2007 17:14 16.384 Perflib_Perfdata_7f0.dat
6 Datei(en) 258.731 Bytes
0 Verzeichnis(se), 5.704.687.616 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS

04.11.2007 19:55 135 setupact.log
04.11.2007 19:50 23 Artcut6.INI
04.11.2007 19:23 1.927 wincmd.ini
04.11.2007 18:55 0 0.log
04.11.2007 18:55 1.112.122 WindowsUpdate.log
04.11.2007 18:55 799 win.ini
04.11.2007 18:55 157 wiadebug.log
04.11.2007 18:55 50 wiaservc.log
04.11.2007 18:54 2.048 bootstat.dat
04.11.2007 18:53 116 NeroDigital.ini
04.11.2007 15:15 32.600 SchedLgU.Txt
29.10.2007 18:56 136.192 catchme.exe
27.10.2007 15:44 151 PhotoSnapViewer.INI
27.10.2007 14:46 31.899 setupapi.log
24.10.2007 14:53 0 setuperr.log
23.10.2007 19:43 288 nscstiu_error.txt
17.10.2007 14:17 1.783 IE4 Error Log.txt
02.10.2007 14:57 161.108 FontData.fdb
11.09.2007 16:21 5.134 CDPLAYER.INI
11.09.2007 15:29 1.080 AUTOLNCH.REG
08.09.2007 22:30 315 COVERE~1.INI
31.08.2007 03:57 1.019 disney.ini
24.08.2007 15:11 1.229 Illuminator Settings.ini
24.08.2007 13:01 1.035.228 setupapi.log.1.old
22.08.2007 13:34 483 rsagent.ini
14.08.2007 13:00 19.554 hpoins01.dat
14.07.2007 13:40 6.612 ModemLog_Motorola USB Modem #2.txt
14.07.2007 12:49 5.010 ModemLog_Motorola USB Modem.txt
14.07.2007 12:45 2.082 ModemLog_Standardmodem �ber Bluetooth-Verbindung #2.txt
03.07.2007 06:59 9.292 super.chm
01.07.2007 20:48 316.640 WMSysPr9.prx
306.688 IsUninst.exe
136 Datei(en) 53.607.589 Bytes
0 Verzeichnis(se), 5.704.683.520 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.08.2007 11:10 68.480 PURde-de.dll
02.08.2007 14:47 569 MSNPUpld.inf
02.08.2007 10:31 360.320 MsnPUpld.dll
02.08.2007 10:31 67.456 PURen-us.dll
29.07.2007 17:10 2.072 vscanmsx.dat
11.07.2007 00:00 2.504 catalog.dat
11.07.2007 00:00 9.809.478 virscan7.dat
11.07.2007 00:00 391.224 virscan6.dat
11.07.2007 00:00 4.151.974 virscan5.dat
11.07.2007 00:00 320.253 virscan4.dat
11.07.2007 00:00 6.899 ecbootil.vxd
11.07.2007 00:00 4.708.560 virscan9.dat
11.07.2007 00:00 271.992 ecmsvr32.dll
11.07.2007 00:00 570.636 virscan2.dat
11.07.2007 00:00 989.115 virscan1.dat
11.07.2007 00:00 32 virscant.dat
11.07.2007 00:00 1.772.318 virscan8.dat
11.07.2007 00:00 106.244 virscan.inf
11.07.2007 00:00 2.267 v.sig
11.07.2007 00:00 4.778 v.grd
11.07.2007 00:00 120.440 naveng32.dll
11.07.2007 00:00 902.776 navex32a.dll
11.07.2007 00:00 149.816 virscan3.dat
11.07.2007 00:00 11.875 symaveng.cat
11.07.2007 00:00 3.199 tscan1hd.dat
11.07.2007 00:00 97.744 scrauth.dat
11.07.2007 00:00 67.060 tscan1.dat
11.07.2007 00:00 224 zdone.dat
11.07.2007 00:00 1.061 symaveng.inf
11.07.2007 00:00 193.003 tcdefs.dat
11.07.2007 00:00 1.604.205 tcscan7.dat
11.07.2007 00:00 364.471 tcscan8.dat
11.07.2007 00:00 867.538 tcscan9.dat
11.07.2007 00:00 453 tinf.dat
11.07.2007 00:00 148 tinfidx.dat
11.07.2007 00:00 1.957 tinfl.dat
697 DirectAnimation Java Classes.osd
54 Datei(en) 30.086.661 Bytes
0 Verzeichnis(se), 5.704.679.424 Bytes frei
.
.
.

#4 Teste folgende Datei bei Jotti oder Virustotal C:\WINDOWS\system32\slbiop32.dll und poste das Ergebniss.

Danach hake folgendes im Hijackthis og an und druecke fix checked.

O2 - BHO: (no name) - {01C956B2-36B7-4498-BEAE-7CF44835C801} -
C:\WINDOWS\system32\slbiop32.dll


Starte neun und schaue, ob der Eintrag verschwunden ist.

Du kannst die Mail einfach an die obige Adresse Forwarden/Weiterleiten...

Schaue dir bitte die Datei sys.txt an, die sich unterhalb vom Ordner qoobox befinden muesste...
__________
MfG Ralf
SEO-Spam Hunter

#5 Hi

Hier das ergebniss nur mit dem HJT komm ich net klar,
ich als Laie sage mal wenn ich das Log sehe,verseucht...?

Service load:
0% 100%
File: slbiop32.dll
Status:
INFECTED/MALWARE
MD5: 9a0368eccebb6ab364c5ef8bc5e68661
Packers detected:
UPX
Bit9 reports: File not found
Scanner results
Scan taken on 04 Nov 2007 19:22:50 (GMT)
A-Squared
Found Adware.Win32.Stud.a
AntiVir
Found ADSPY/Stud.A.43
ArcaVir
Found Adware.Stud.A
Avast
Found Win32:Trojano-3384
AVG Antivirus
Found Generic2.AMI
BitDefender
Found Adware.Stud.Y
ClamAV
Found Trojan.BHO-83
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found not-a-virus:AdWare.Win32.Stud.a (4, 1, 400)
Fortinet
Found nothing
Kaspersky Anti-Virus
Found not-a-virus:AdWare.Win32.Stud.a
NOD32
Found a variant of Win32/Adware.BHO.AA application
Norman Virus Control
Found W32/Stud.AE
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found Trojan-Downloader.Agent.47 (probable variant)



Nach Neustart,ist die Datei noch da----Nach erneutem Ausführen und Neustart ist die Datei weg.
Ist noch was zu tun???

Danke
Kay

#6 Ja, ich brauche die rar Datei, denn das kann eigentlich nicht alles gewesen sein. Wenn du es schaffst, lade sie bei Spywarekiller hoch. Anleitung dazu findest du hier:

http://forum.hijackthis.de/showpost.php?p=157529&postcount=2
__________
MfG Ralf
SEO-Spam Hunter

#7 HI

Ich habe das versucht,aber scheinbar funktioniert das net.
Kann ich die Datei net über mail senden?

Gruß
Kay

#8 Das Passwort zu der Datei fehlt noch aber es scheint einfach eine mp3 Datei zu sein! Sonderbar, das ist doch eine Exe Datei nur mit Endung mp3!?
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo an alle,
bin ganz neu hier, weil ich über google nach dem o.a. Absender der Email gesucht habe. Das scheint ja eine recht neue Aktion zu sein.
Ich habe diese Email mit dem besagten Anhang zweimal bekommen. Habe die Datei aber nicht geöffnet, da ich an dem angeblichen Mitschnitttag meines Telefonates gar nicht zu Hause war.

Was soll ich tun ? Kann ich die Email einfach löschen und ist damit dann der Fall erledigt??

Vielen Dank für Eure Hilfe.

sunny15

#10 Ja, Mail loeschen sollte reichen. Das ist ein Tibs Downloader.

call123.xxx : W32/Malware (Signature: Malware.BFAC)
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK

[ General information ]
* Drops files in %WINSYS% folder.
* File length: 58231 bytes.
* MD5 hash: 414b946a69cfde03c0f162a61323e12c.

[ Changes to filesystem ]
* Creates directory C:\WINDOWS\TEMP\.
* Creates file C:\WINDOWS\TEMP\nsu8999.tmp.
* Deletes file C:\WINDOWS\TEMP\nsu8999.tmp.
* Creates directory C:\WINDOWS.
* Creates directory C:\WINDOWS\TEMP.
* Creates file C:\WINDOWS\TEMP\win321.exe.
* Deletes file C:\WINDOWS\TEMP\WIN321.EXE.
* Creates file C:\WINDOWS\SYSTEM32\kernelw.sys.

[ Changes to registry ]
* Creates key "HKLM\System\CurrentControlSet\Services\VxD\Driver".
* Sets value "ImagePath"="\??\C:\WINDOWS\SYSTEM32\kernelw.sys" in key "HKLM\System\CurrentControlSet\Services\VxD\Driver".
* Sets value "Type"="
" in key "HKLM\System\CurrentControlSet\Services\VxD\Driver".

[ Process/window information ]
* Checks if privilege "SeLoadDriverPrivilege" is available.
* Creates an event called ExitEvent.
* Creates an event called xInstalled.

[ Signature Scanning ]
* C:\WINDOWS\TEMP\win321.exe (27360 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\kernelw.sys (7712 bytes) : no signature detection.

Scan report of: call123.xxx

AntiVir DR/Dldr.Tibs.OU
Avast! -
AVG -
BitDefender GenPack:Generic.Malware.SPYddld.40661FC7
ClamAV -
Command -
Dr Web -
eSafe -
eTrust-VET -
Ewido -
F-Prot -
F-Secure Trojan-Downloader.Win32.Tibs.ou
Fortinet -
Ikarus -
Kaspersky Trojan-Downloader.Win32.Tibs.ou
McAfee -
Microsoft -
Nod32 -
Norman W32/Tibs.AZBB.dropper (Sandbox)
Panda Suspicious file
QuickHeal -
Rising -
Sophos Mal/Packer
Sunbelt -
Symantec -
Trend Micro -
VBA32 -
VirusBuster Trojan.DR.Agent.WOU
WebWasher Trojan.Dldr.Tibs.OU
__________
MfG Ralf
SEO-Spam Hunter

#11 Hallo

hier die logs

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04, on 2007-11-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\WTMKM.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Tnaf\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HJT.zip\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\ComboFix\vfind.cfexe
C:\ComboFix\vfind.cfexe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SWClient] C:\Programme\SoftActivity\AMSys\swsys.exe
O4 - HKLM\..\Run: [MacroKeyManager] WTMKM.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 10196 bytes



ComboFix 07-11-01.1 - Tnaf 2007-11-04 22:04:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1557 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-04 bis 2007-11-04 ))))))))))))))))))))))))))))))
.

2007-11-02 12:18 512 --a------ C:\WINDOWS\system32\WTCY9853.dat
2007-10-24 15:01 <DIR> d-------- C:\Programme\Power Presenter RE
2007-10-24 15:01 <DIR> d-------- C:\Programme\Free Notes & Office Ink
2007-10-24 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tablet
2007-10-21 21:25 <DIR> d-------- C:\totalcmd
2007-10-21 21:25 545 --a------ C:\WINDOWS\UC.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\RAR.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\PKZIP.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\LHA.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\ARJ.PIF
2007-10-21 11:40 <DIR> d-------- C:\Programme\Google
2007-10-18 12:14 818 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat
2007-10-18 12:14 54 --a------ C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\amopn.dat
2007-10-14 22:48 <DIR> d-------- C:\Programme\SoftActivity
2007-10-14 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AM
2007-10-14 22:48 1,588 --ah----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amprm.dat
2007-10-14 22:48 674 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\awmsg.dat
2007-10-14 22:48 16 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amguid.dat
2007-10-14 22:48 4 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\winam.dat
2007-10-12 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2007-10-12 15:54 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-10-12 15:54 <DIR> d--h----- C:\Programme\CanonBJ
2007-10-12 15:53 <DIR> d-------- C:\Programme\Canon
2007-10-12 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-10-12 15:42 197,632 --a------ C:\WINDOWS\system32\CNMLM86.DLL
2007-10-11 14:39 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-10-10 17:09 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-10-09 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage(2)
2007-10-09 21:54 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-09 17:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Contacts
2007-10-08 18:03 <DIR> d-------- C:\Programme\iPod
2007-10-08 18:02 <DIR> d-------- C:\Programme\iTunes
2007-10-07 19:51 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK
2007-10-06 15:20 <DIR> d-------- C:\Programme\Calamus
2007-10-06 15:20 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-02 11:17 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat!
2007-10-24 14:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-12 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2007-10-12 10:51 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\teamspeak2
2007-10-09 16:49 --------- d-----w C:\Programme\MSN Messenger
2007-10-08 16:59 --------- d-----w C:\Programme\Apple Software Update
2007-09-30 16:34 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-09-30 16:34 --------- d--h--r C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\SecuROM
2007-09-22 20:34 --------- d-----w C:\Programme\eMule
2007-09-22 16:34 --------- d-----w C:\Programme\Reality Pump
2007-09-21 08:50 --------- d-----w C:\Programme\Microsoft.NET
2007-09-13 03:04 --------- d-----w C:\Programme\CCleaner
2007-09-12 18:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-12 18:37 --------- d-----w C:\Programme\AGEIA Technologies
2007-09-11 15:21 --------- d-----w C:\Programme\Easy CD-DA Extractor 9
2007-09-10 02:09 --------- d-----w C:\Programme\NetAnts
2007-09-09 10:08 --------- d-----w C:\Programme\LucasArts
2007-09-08 21:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-09-08 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Vbox
2007-09-08 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-08 08:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2007-09-08 08:18 --------- d-----w C:\Programme\Bonjour
2007-09-08 08:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-09-06 23:02 45,056 ----a-w C:\WINDOWS\system32\drivers\CBUSB.SYS
2007-09-06 23:02 43,520 ----a-w C:\WINDOWS\system32\CBNDLL.DLL
2007-09-06 23:02 364,544 ----a-w C:\WINDOWS\system32\MPIWIN32.DLL
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys
2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys
2006-05-03 09:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:28]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 02:20]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"SWClient"="C:\Programme\SoftActivity\AMSys\swsys.exe" [2007-10-10 11:16]
"MacroKeyManager"="WTMKM.exe" [2006-12-26 13:02 C:\WINDOWS\system32\WTMKM.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2006-11-23 16:46]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-21 16:39]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Alcmtr"=ALCMTR.EXE
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe"

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys
R1 GhPciScan;GhostPciScanner;\??\C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys
R3 SAgentDriver;SAgent Driver;\??\C:\Programme\SoftActivity\AMSys\sagendrv.sys
S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys
S3 musbehco;musbehco;\??\C:\DOKUME~1\Tnaf\LOKALE~1\Temp\musbehco.sys
S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys
S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\system32\DRIVERS\usbsermptxp.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-11-04 16:16:45 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-10-29 10:06:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-04 22:06:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-04 22:06:56
C:\ComboFix-quarantined-files.txt ... 2007-04-21 23:09
C:\ComboFix2.txt ... 2007-11-04 19:57
C:\ComboFix3.txt ... 2007-04-21 23:09
.
--- E O F ---


Besten Dank
Kay

#12 Das sieht eigentlich sauber aus. Wenn dieser Downloader aktiv wurde, erscheinen andere Meldungen/Eintraege.

Es wird eine kernelw.sys und eine kernelwind32.exe gedroppt. Die kernelwind32.exe wird in den Autostart eingebunden und gibt beim Start ein Popup aus( mit russischem Text). Es sieht so aus, das diese Datei mit einer Trailversion eines kommerziellen Packers gepackt wurde. Obige beiden Dateien werden von fast allen AV Programen erkannt...

Fix nochmal das:
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

Achja, mache bitte ein Update via www.windowsupdate.com!
__________
MfG Ralf
SEO-Spam Hunter

#13 Alles klar,besten Dank für Eure Hilfe.
Derzeit keine Anzeichen das irgendwas nicht stimmt.Falls etwas auftaucht würde ich mich nochmals melde

Viele Grüße und nochmals vielen Dank

Kay

#14 Hallo Freisler,

für die Zukunft ein kleiner Hinweis:

Wenn man eMails von unbekannten Menschen bzw. Oranisationen, Firmen, etc, erhält, dann kann es sich meist nur um SPAM handeln, denn:

- Warum sollte jemand, den Du nicht kennst, Dir eine eMail senden, außer Du hast vorher in einer eMail an irgend jemanden darum gebeten und erwartest eine Antwort ? Dann ist Dir dieser Jemand allerdings nicht mehr ganz unbekannt.

- Woher sollte der Unbekannte Deine eMail-Adresse haben ?
Normalerweise ist der Personenkreis, mit dem man per eMail verkehrt, also die Personen/Firmen/etc., von denen man eMails erwartet, relativ begrenzt.

Mit einem geeignetem Filterprogramm (z.B. MailWasher) läßt sich fast alles Unerwünschte direkt vom Mail-Server löschen, ohne dass davon irgendwelche gefährlichen Teile auf den eigenen Rechner gelangen.

Das Vorgehen von Outlook und Co., die eMails erst vom Mail-Server herunter zu laden und anschließend per definierter Regel in einen definierten Ordner zu verschieben, halte ich für absolut ungeeignet, da die in einer eMail evtl. enthaltene Malware definitiv irgendwohin auf Deinen PC gelangt.

Also besser, eMails erst einmal durch einen Filter laufen und unerwünschte Mails bereits auf dem eMail-Server löschen lassen, bevor so etwas überhaupt über das eMail-Programm auf den eigenen PC geladen wird.

Das o.g. Filter-Programm zeigt nur den Text-Inhalt der auf dem eMail-Server lagernden Mail an, es kann also beim Anschauen nichts schädliches passieren.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#15 Also, ich hab den text nur mal überflogen, aber die Datei scheint ja was an der Registry zu ändern! Deshalb empfehle ich euch mal den Spybot Search&Destroy (Freeware)!!
ok, machts gut
Bye