[SWF/Dldr.Gida.A] eingefangen....droht Gefahr?

#1 Hallo!
Ich war gestern auf der Seite w*w.kwick.de, also ich nach dem Einloggen eine Virusmeldung von AntiVir bekam:

In der Datei 'C:\Users\Test\AppData\Roaming\Opera\Opera\profile \cache4\opr0892Y.swf'
wurde ein Virus oder unerwünschtes Programm 'SWF/Dldr.Gida.A' [SWF/Dldr.Gida.A] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Im selben Moment ging im Hintergrund ein Fenster auf, ich würde mein System nicht vollständig ausnutzen. Oben in der Adressleiste war dann die Site "w*w.diskretter.com" angegeben, welche nach SiteAdvisor.com Spyware-Progs verteilt. 10 Sekunden später kam nochmals eine VIrusmeldung mit der selben Warnung von AntiVir.

Die Dateien konnten irgendwie nicht in Quarantäne verschoben werden, daher habe ich den Cache von Opera, in welchen beide Viren vorhanden sein sollten, manuell und mit dem ATF-Cleaner gelöscht.

Kann immer noch der Trojaner auf meinem Rechner sein und wie kann es überhaupt zu der komischen Meldung von "diskretter" kommen?


Anbei mein HJT-LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:31:27, on 02.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Windows\sttray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
c:\program files\common files\installshield\updateservice\isuspm.exe
C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe
C:\Users\***\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3070619
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6656 bytes


Vielen Dank im Vorraus!

CVN

#2 CVN

wahrscheinlich hat dein Antivirus das Schlimmste verhindert
poste das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo! Danke für deine schnelle Antwort.
Ich wollte combofix ausführen, jedoch kommt eine Fehlermeldung. Trotz dessen kommt eine Meldung im cmd-Fenster, ob ich das Prog auch ausführen möchte, aber nicht wie auf der Site virus-protect beschrieben.
Ich tippte trotzdem die Zahl zum annhemen ein, aber combofix machte dann irgendwelche systempunkte zum Wiederherstellen. Danach suchte combofix nach infizierten Dateien, als mir dass zu bunt wurde und ich einfach Task beenden machte^^

Ist das Proggi einfach neu gemacht oder was habe ich falsch gemacht?

WICHTIGER EDIT: MEIN ANTIVIR hat im Moment eine neue Virusmeldung gemacht:
In der Datei 'C:\Windows\NirCmd.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.3' [APPL/NirCmd.3] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Was ist das?? Habe ich jetzt doch etwas schlimmes eingefangen??

#4 NirCmd.exe - ist von Combofix
du musst abwarten, bis Combofix zu Ende gescannt hat - dann erscheint ein log
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 OK, danke.
Hier mal der Log dann von combofix:

ComboFix 08-01-04.1 - Florian_Admin 2008-01-04 16:22:10.1 - NTFSx86
ausgeführt von:: C:\Users\Florian_Admin\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-04 bis 2008-01-04 ))))))))))))))))))))))))))))))
.

2008-01-04 16:21 . 2000-08-31 08:00 51,200 --a------ C:\Windows\NirCmd.exe
2008-01-02 16:10 . 2007-09-24 23:31 69,632 --a------ C:\Windows\System32\javacpl.cpl
2008-01-02 16:09 . 2008-01-02 16:10 <DIR> d-------- C:\Program Files\Java
2008-01-02 16:09 . 2008-01-02 16:09 <DIR> d-------- C:\Program Files\Common Files\Java
2007-12-13 16:12 . 2007-12-13 16:12 1,327,104 --a------ C:\Windows\System32\quartz.dll
2007-12-13 16:12 . 2007-12-13 16:12 223,232 --a------ C:\Windows\System32\WMASF.DLL
2007-12-13 16:12 . 2007-12-13 16:12 9,728 --a------ C:\Windows\System32\LAPRXY.DLL
2007-12-13 16:12 . 2007-12-13 16:12 2,048 --a------ C:\Windows\System32\asferror.dll
2007-12-13 16:10 . 2007-12-13 16:10 130,048 --a------ C:\Windows\System32\drivers\srv2.sys
2007-12-13 16:10 . 2007-12-13 16:10 101,888 --a------ C:\Windows\System32\drivers\mrxsmb.sys
2007-12-13 16:10 . 2007-12-13 16:10 84,992 --a------ C:\Windows\System32\drivers\srvnet.sys
2007-12-13 16:10 . 2007-12-13 16:10 58,368 --a------ C:\Windows\System32\drivers\mrxsmb20.sys
2007-12-13 16:08 . 2007-12-13 16:08 3,504,824 --a------ C:\Windows\System32\ntkrnlpa.exe
2007-12-13 16:08 . 2007-12-13 16:08 3,470,520 --a------ C:\Windows\System32\ntoskrnl.exe
2007-12-13 16:08 . 2007-12-13 16:08 2,048 --a------ C:\Windows\System32\tzres.dll
2007-12-08 13:16 . 2007-12-08 13:16 <DIR> d-------- C:\Users\All Users\SBT
2007-12-08 13:16 . 2007-12-08 13:16 <DIR> d-------- C:\ProgramData\SBT
2007-12-08 13:16 . 2007-12-08 13:16 <DIR> d-------- C:\Program Files\Snapshot Viewer
2007-12-08 13:12 . 2007-12-08 13:18 1,471 --a------ C:\Windows\ODBCINST.INI
2007-12-08 13:12 . 2007-12-08 13:38 400 --a------ C:\Windows\ODBC.INI
2007-12-08 13:08 . 2007-12-08 13:08 <DIR> d-------- C:\Users\Florian_Admin\AppData\Roaming\Microsoft Web Folders

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-02 20:29 --------- d-----w C:\Program Files\Steam
2007-12-23 17:02 --------- d-----w C:\Program Files\PokerStars
2007-12-21 17:56 --------- d-----w C:\Program Files\Common Files\Steam
2007-12-21 17:52 --------- d---a-w C:\Program Files\Opera
2007-12-13 15:11 56,320 ----a-w C:\Windows\System32\iesetup.dll
2007-12-13 15:11 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2007-12-13 15:11 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2007-11-28 19:38 --------- d-----w C:\Users\Test\AppData\Roaming\teamspeak2
2007-11-28 19:37 --------- d-----w C:\Users\Florian_Admin\AppData\Roaming\teamspeak2
2007-11-28 19:37 --------- d-----w C:\Program Files\Teamspeak2_RC2
2007-11-28 14:45 --------- d---a-w C:\Program Files\Valve
2007-11-23 20:15 --------- d-----w C:\Program Files\Windows Mail
2007-11-23 18:24 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr
2007-11-23 18:24 67,584 ----a-w C:\Windows\System32\wlanhlp.dll
2007-11-23 18:24 542,720 ----a-w C:\Windows\System32\sysmain.dll
2007-11-23 18:24 502,784 ----a-w C:\Windows\System32\wlansvc.dll
2007-11-23 18:24 47,104 ----a-w C:\Windows\System32\wlanapi.dll
2007-11-23 18:24 297,984 ----a-w C:\Windows\System32\wlansec.dll
2007-11-23 18:24 290,816 ----a-w C:\Windows\System32\wlanmsm.dll
2007-11-23 18:24 28,344 ----a-w C:\Windows\system32\drivers\battc.sys
2007-11-23 18:24 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
2007-11-23 18:24 24,064 ----a-w C:\Windows\System32\wtsapi32.dll
2007-11-23 18:24 20,920 ----a-w C:\Windows\system32\drivers\compbatt.sys
2007-11-23 18:24 2,923,520 ----a-w C:\Windows\explorer.exe
2007-11-23 18:24 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2007-11-23 18:24 14,208 ----a-w C:\Windows\system32\drivers\CmBatt.sys
2007-11-23 18:24 11,264 ----a-w C:\Windows\system32\drivers\wmiacpi.sys
2007-11-23 18:21 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2007-11-23 18:21 7,680 ----a-w C:\Windows\System32\spwmp.dll
2007-11-23 18:21 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2007-11-23 18:21 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2007-11-23 18:17 84,480 ----a-w C:\Windows\System32\INETRES.dll
2007-11-23 18:17 737,792 ----a-w C:\Windows\System32\inetcomm.dll
2007-11-23 18:17 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2007-11-23 18:16 788,992 ----a-w C:\Windows\System32\rpcrt4.dll
2007-11-23 18:10 --------- d-----w C:\Users\Florian_Admin\AppData\Roaming\Lavasoft
2007-11-23 18:05 --------- d-----w C:\Users\Test\AppData\Roaming\Lavasoft
2007-11-23 18:05 --------- d-----w C:\Program Files\Lavasoft
2007-11-17 23:59 --------- d-----w C:\Program Files\Ferrero
2007-11-17 16:21 --------- d-----w C:\Program Files\Web Publish
2007-11-13 15:13 --------- d-----w C:\Users\Test\AppData\Roaming\ICQ
2007-11-13 14:50 --------- d-----w C:\Users\Florian_Admin\AppData\Roaming\ICQ
2007-11-11 18:12 --------- d---a-w C:\Users\Test\AppData\Roaming\AdobeUM
2007-11-06 15:01 --------- d-----w C:\Users\Test\AppData\Roaming\Roxio
2007-11-05 19:20 --------- d-----w C:\Program Files\ICQ6
2007-09-04 16:21 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-06-23 21:50 1006264]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-18 00:52 815104]
"SigmatelSysTrayApp"="sttray.exe" [2007-02-08 06:11 303104 C:\Windows\sttray.exe]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 17:12 90112]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 11:37 81920]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 11:22 221184]
"PCMService"="C:\Program Files\Dell\MediaDirect\PCMService.exe" [2006-10-13 11:31 184320]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 11:35 221184]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:32 249896]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport]
C:\Program Files\DellSupport\DSAgnt.exe /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Program Files\ICQ6\ICQ.exe silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Program Files\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MskAgentexe]
C:\Program Files\McAfee\MSK\MskAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Program Files\Steam\Steam.exe -silent

R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-11-12 00:10]
R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-11-07 02:37]
R3 btwavdt;Bluetooth AVDT Service;C:\Windows\system32\drivers\btwavdt.sys [2006-11-07 00:13]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-07 00:13]
R3 NETw4v32;Intel(R) Wireless WiFi Link Adapter-Treiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw4v32.sys [2006-12-11 14:05]
R3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-08 08:15]
S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2007-12-21 18:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalSystemNetworkRestricted REG_MULTI_SZ hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum
bthsvcs REG_MULTI_SZ BthServ

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 16:23:53
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-04 16:24:31
.
2008-01-04 15:18:52 --- E O F ---

#6 das Log ist in ordnung - du kannst noch mal mit sophos scannen
lade sdfix, im Normalmodus waehle Sophos - Option 6 - scanne und poste den Report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Ich denke, dass das soweit reicht und ich dann wieder beruhigt bin was meinen Rechner angeht.
Vielen Dank für deine Unterstützung und den Auswertungen der LogFiles.

#8 War bei dir im Hintergrundfenster ein grüner StatusBalken ?

#9 Nein, mir ist kein Statusbalken aufgefallen. Ich habe nach ca. 15 Sek sofort die Internetverbindung unterbrochen (WLan ausgemacht) und meinen Opera-Browser mit "Task Beenden" geschlossen.

Ich denke, wenn sich ein Proggi installiert hätte, dass ich das schon mitbekommen hätte (falsche Anzeigen in der Taskleiste o.ä.)

#10 Ich habe im Moment eine EMail erhalten, die von mir selbst geschreiben wurde (also meine EMailAdresse steht in der Absender- und Empfängerleiste), mit irgendwelchen Penispillen --> SPAM!

Kann das mit dem Virus zusammenhängen, also dass ich etwas eingefangen habe, der Spam-Nachrichten über meine E-Mail-Adresse versendet?

#11 Variante 1:
ja, es kann sein, das deine mail nun "öffentlich" ist....

Variante 2:
nicht, dass noch was drauf ist und er als Mailboot benutzt wird....
dann solltest du deinen Rechner noch einmal richtig durchchecken
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Habe Kaspersky Online Scan gemacht und es wurde absolut nichts gefunden; kein Virus, keine verdächtige Datei!
Habe auch noch im abgesicherten Modus einen Virenscan mit AntiVir gemacht, ebenfalls ohne Fund.

Bringt es was, wenn ich mein Passwort ändere?
Wie meinst du das, dass mein Mail-Acc. "öffentlich" ist?

#13 Hallo!

Erstmal Sorry für Doppelpost!

Ich habe nun wieder eine Mail an mich selbst geschickt zum Test.
Ich hab wieder 3 Tage später eine Nachricht bekommen, die als Absender wieder mich selbst hatte. Es handelte sich wieder um VIagraPillen.

Meine Frage: Muss mein PC dadurch infiziert sein oder wie kann das sein?

Mir ist das wichtig, weil ich es doch nicht verantworten kann, dass meine Freunde irgendwelche SPamMails von mir bekommen.


Ich kann auch einen neuen Threat aufmachen, wenn das hier nicht dazugehört!

#14 Hallo,

«
auf meiner Seite ist die Mail öffentlich - demnach bekomme ich pro Tag ca. 100 Spam-Mails.
Es kann gut sein, dass du selbst irgendwo deine Mail im Net hinterlassen hast, es gibt Mailsuch-Tools, die grasen das Net ab - und dann beginnt der Spam.
Man muss nicht unbedingt einen Trojaner auf dem Rechner haben....

«
Manchmal bekommt man auch Mails von verseuchten anderen Rechnern (von guten Freunden), welche die Mail im Adressbuch gespeichert hatte...

«
oder man hatte wirklich einen Wurm, das schlimmste: einen Wurm über email angeklickt...
Dann ist die Mail auch öffentliches Gut...

»
es gibt auch Seiten, wo die email nach dem Surfen ausgelesen werden kann, auch wenn man sich irgendwo anmeldet, gibt man die Mail raus...
es gibt soviele Varianten..
Und es ist ein Bombengeschäft (für die Mailabkassierer und die Spamversender), zu gut, als dass es mal enden wird....

seit du auf dieser Seite (siehe oben) warst - ist deine Mail bei den leuten dort bekannt - das kannst du nicht mehr rückgängig machen , auch wenn dein Rechner wieder sauber ist
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 Versuch mal RUBotted(Anhang) ist eine Bèta Version! von TrendMicro
Updaten und scannen

http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted


__________
MfG Argus