Hi
Heute habe ich von der T-online diese mail bekommen
Sehr geehrte Telekom Kundin,
sehr geehrter Telekom Kunde,
für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei
Ihnen bedanken.
Leider haben wir jedoch weiterhin Kenntnis erhalten, dass über Ihren
Telekom Zugang unerwünschte Werbemails (Spam-Mails) versendet wurden,
worauf wir mit einer Beschränkung der Mailversandmöglichkeiten
reagieren mussten.
Dies bedeutet für Sie, dass Sie über eMail-Programme wie z. B. Microsoft
Outlook Express weiterhin eMails empfangen können, jedoch wurde der
Versand von eMails auf T-Online Mailserver beschränkt. Davon unbeschadet
und selbstverständlich weiterhin möglich ist der Versand von eMails über
Webportale wie z. B. das T-Online eMail Center, welches unter der URL
http://www.t-online.de/email erreichbar ist.
Wir haben den Laufweg der fraglichen Spam-Mails anhand der Headerdaten
ausgewertet und über die IP-Adresse Ihren Telekom Zugang als Einlieferer
ermittelt. Die eMails wurden nicht über Ihren Telekom eMail-Account,
sondern per Direkteinlieferung über Ihren Telekom Zugang gesendet. Die
Direkteinlieferung ist ein typisches Indiz für ein Sicherheitsproblem,
nämlich häufig eine Infektion Ihres Rechners mit Schadsoftware wie
Viren, Trojanischen Pferden oder Botnetzen.
Wir möchten Sie aus diesem Anlass auf unsere Allgemeinen
Geschäftsbedingungen hinweisen und bitten Sie, auch in Ihrem eigenen
Interesse dafür Sorge zu tragen, dass Ihr Telekom Zugang nicht
missbräuchlich genutzt werden kann.
Was kann ich jetzt machen ausser Formatieren?Habe Kaspersky 2009 und hat nichts gefunden.Danach habe ich Norton Anti Bot und NIS2009 installiert wieder nichts gefunden.Muß ich nach der Formatirung noch etwas beachten?Komme ich aus diesem Botnetz wieder weg?
gruße und Danke
Hallo poste mal ein Hijackthis Log hier mit rein, bitte.
Info´s dazu findest du http://www.rokop-security.de/index.php?showtopic=6235 hier.
Catweazle
Klasse , die Beschränkungen über den Internet Service Provider sind seit 2004 in den AGB´s drin , schön das sowas auch mal zur Anwendung kommt.
@biri37
Du könntest 2 Sachen machen , ein Hijackthis Log anfertigen und dies hier einstellen und du könntest noch einmal GMER ausführen und uns genau Bericht erstatten ob das Programm etwas gefährliches meldet.
Hijackthis findest du hier http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
GMER findest du hier http://www.gmer.net/ , Auf den Button Download EXE drücken.
Und wie hast du dein Kaspersky 2009 eingestellt ?
Mach mal bitte was Voyager, dir geraten hatte zu erst.
Eine Anleitung zu den Kaspersky 2009 einstellungen, findest du hier: http://www.trojaner-board.de/61465-anleitung-kaspersky-internet-security-2009-a.html
Vielleicht geht noch eine schärfere Einstellung als dort beschrieben ist.
Aber mache Bitte, mal was Voyager dir angeraten hat.
Catweazle
Hi danke euch beiden Hijackthis hat glaube ich nichts gefunden.Hier der Log
Catweazle habe danach NIS2009 und Antibot installiert nachdem Kaspersky nichts gefunden hat.Aber NIS und Norton anti bot haben auch nichts gefunden?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:16, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ESB.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NABMonitor.exe
C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6d53ec84-6aae-4787-aeee-f4628f01010c} - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {d27cdb6e-ae6d-11cf-96b8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus (norton antivirus) - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: SymantecAntiBotAgent (symantecantibotagent) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher (symantecantibotwatcher) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
O24 - Desktop Component 0: (no name) - http://bd.lilypie.com/IdI3p1.png
O24 - Desktop Component 2: (no name) - http://<a%20href="http://lilypie.com"><img%20src="http://bd.lilypie.com/IdI3p1.png"%20alt="Lilypie%20Ich%20erwarte%20ein%20Baby%20Ticker"%20border="0"%20%20/></a>
--
End of file - 6062 bytes
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen.
Und mache bitte noch einmal die GMER Anleitung .
ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet .
Viel kann ich nicht dazu sagen, zu dein Hijackthis Log, ABER dir fehlt der SP3 für Windows XP. Und alle nachvolgenden Updates nach SP3 !!!
Catweazle
Hi ich nochmal also Virustotal hat in ESB.exe nichts gefunden
http://www.virustotal.com/de/analisis/1fd352ee4ab30f00b6e4225dd49d112efa109d094e8f085186a8031701b7b979-1247509294
Und Gmer hat eine Warnung Rootkit Activity gemeldet in
Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** )
Komplett log
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-13 20:56:45
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT 843EA370 ZwAlertResumeThread
SSDT 843525E0 ZwAlertThread
SSDT 831849F0 ZwAllocateVirtualMemory
SSDT 843B6ED0 ZwAssignProcessToJobObject
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwClose [0xF50638A0] <-- ROOTKIT !!!
SSDT 84560C80 ZwConnectPort
SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwCreateEvent [0xF12828FD] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xF1415020] <-- ROOTKIT !!!
SSDT 83183F38 ZwCreateMutant
SSDT 83183A20 ZwCreateSymbolicLinkObject
SSDT 83187D70 ZwCreateThread
SSDT 844899C8 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xF14152A0] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF1415800] <-- ROOTKIT !!!
SSDT 83184B48 ZwDuplicateObject
SSDT 83184850 ZwFreeVirtualMemory
SSDT 84325668 ZwImpersonateAnonymousToken
SSDT 843EA480 ZwImpersonateThread
SSDT 84373108 ZwLoadDriver
SSDT 83184770 ZwMapViewOfSection
SSDT 84489630 ZwOpenEvent
SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwOpenKey [0xF12809C5] <-- ROOTKIT !!!
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwOpenProcess [0xF50638D0] <-- ROOTKIT !!!
SSDT 843EE538 ZwOpenProcessToken
SSDT 84368290 ZwOpenSection
SSDT 83184C18 ZwOpenThread
SSDT 83183AF0 ZwProtectVirtualMemory
SSDT 845389D8 ZwResumeThread
SSDT 843CD1D0 ZwSetContextThread
SSDT 83184618 ZwSetInformationProcess
SSDT 843B8248 ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xF1415A50] <-- ROOTKIT !!!
SSDT 84353290 ZwSuspendProcess
SSDT 843D14B0 ZwSuspendThread
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateProcess [0xF5063980] <-- ROOTKIT !!!
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateThread [0xF5063A20] <-- ROOTKIT !!!
SSDT 84537748 ZwUnmapViewOfSection
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwWriteVirtualMemory [0xF5063AC0] <-- ROOTKIT !!!
---- Kernel code sections - GMER 1.0.15 ----
? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\System32\drivers\ef1b7fdd.sys Das System kann die angegebene Datei nicht finden.
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs ef1b7fdd.sys
AttachedDevice \FileSystem\Ntfs \Ntfs AntiBotFilter.sys (NAB Application Activity Monitor Filter Driver./Symantec Corporation. )
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp ef1b7fdd.sys
Device \Driver\symtdi \Device\SymTDI ef1b7fdd.sys
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device EB714C8A
AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** ) [SYSTEM] ef1b7fdd <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Text Allow paste operations via script
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@PlugUIText @inetcpl.cpl,-4854
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Text Prompt
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@PlugUIText @inetcpl.cpl,-4804
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@CheckedValue 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@PlugUIText @inetcpl.cpl,-4912
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Text Allow websites to prompt for information using scripted windows
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@ValueName 2105
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@ValueName 2105
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@PlugUIText @inetcpl.cpl,-4867
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Text Allow status bar updates via script
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@ValueName 2103
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@ValueName 2103
---- Files - GMER 1.0.15 ----
File C:\Dokumente und Einstellungen\daniele.manuela\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr0QZ9K 366 bytes
---- EOF - GMER 1.0.15 ----
Weiss aber nicht was ich jetzt machen soll?[color="#FF0000"][/color]
Starte GMER bis zur Meldung "Rootkit endeckt Vollscan Ja oder Nein" , drücke hier auf NEIN.
jetzt drückst du bei der rot-markierten Erkennung mit der rechten Maustaste das Kontextmenü auf und drückst auf DISABLE SERVICE , bestätigen mit YES und rebootest dein PC .
Nach dem Reboot schaust du mit deinem Dateimanager ob du die Datei C:\WINDOWS\System32\drivers\ef1b7fdd.sys löschen kannst.
Meines Wissens sollte Norton die Art des Rootkit als Trojan Pandex erkennen , Frage hast du die NIS Signatur Updates überhaupt eingespielt ?
Das Problem ist jetzt auch, das Rootkit dient in der Regel dazu Malware auf dem PC unsichtbar zu machen und zu verstecken . Wenn du das Rootkit erfolgreich entfernt hast müssen wir mit der Hijackthis Untersuchung des PC nochmal von vorne beginnen.
Edit:
@Raman
die ESB.exe sieht mir trotzdem nicht koscher aus, was meinst du ?
Die ESB sollte sauber sein http://www.processlibrary.com/de/directory/files/esb/
Ein Virustotal.com ERgebniss von C:\WINDOWS\System32\drivers\ef1b7fdd.sys waere interessant...
Der Rechner ist hinüber. Eine Bereinigung aufgrund der veralteten Sicherheitsupdates und dem fehlenden SP3 ist ein "Neu Aufsetzen" dringend anzuraten.
EDIT: Mich würde jetzt noch interessieren, wie sich http://www.prevx.com/freescan.asp hier schlägt.
aido
Ins blaue gefragt, warum hat ein scan mit Kaspersky 2009, nicht angeschlagen ?
Catweazle
Hi Danke euch allen Voyager,Catweazle ... dank eurer hilfe
habe die Datei ef1b7fdd.sys gelöscht gekriegt.Habe diesen PC eigentlich meinen Kindern übergeben gehabt .Und dachte für die Kinder langts.Da mein PC einen Defekt hat und im moment nicht so schnell es Reparieren kann(Finanziell)habe ich es seit 1 Woche benutzt.Bis ich die Mail von t-online bekam.Werde meinen PC gleich morgen richten lassen und dann den verseuchten PC für die Kinder formatieren und auf denm neuesten stand bringen (sp3).
Hätte nie gedacht das mal sowas passiert.
So Virustotal hat ne menge gefunden:
http://www.virustotal.com/de/analisis/ce2bb68e918d44245f76b0aafef049cb3acf5e91d51384b1344c3e3c17da10b0-1247393058
Norton hat alle updates erst vor 10 min erst.Hat aber auch bei Virustotal nichts gefunden.Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden?Habe erst KIS 2010 drauf gehabt
Habe jetzt mal PREVX 3.0 installiert scannen lassen und hat prompt gleich 3 sachen gefunden :
[color="#FF0000"][/color]THREAT ef1b7fdd.sys in C:/windows/system32/drivers
THREAT /REGISTRY/Machine/System/ControlSet001/Services/ef1b7fdd
THREAT /Registry/Machine/System/CurrentControlSet7sERVICES/ef1....
leider tut es nicht säubern da ich kein Key habe.
Danke euch
mfg
PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes. Versuche nochmal die Sys Datei zu löschen .
Vermutlich müssten wir hier aber auch noch die Systemwiederherstellung bereinigen und alle Punkte löschen.
Okay Danke euch .
grueße mfg
@ biri37
Was machst du jetzt ?
Catweazle
@biri37
Mache jetzt bitte nochmal eins und zwar gehst du auf Start -> Ausführen und gibst cmd ein , Enter drücken.
Jetzt öffnet sich ein schwarzes Kommandofenster , dort gibst du netstat ein und drückst Enter .
Jetzt zeigt es dir eine Reihe Netzwerkverbindungen an . Sage uns bitte mal ob du jeweils hinter dem "Doppelpunkten" eine Zahl 25 siehst. Die Zahl 25 wäre ein Indiz das du "immernoch" Spam versendest.
Ändere doch einfach die Ausgangsverbindung deines Mail Accounts.
Möglich ist hier zb. ein Einrichten von einem Proxy-Port oder die Nutzung über einen anderen Anbieter zb. Portnutzung 446 etc.
Den 25 Port solltest Du aber trotzdem in der Firewall dichtmachen.
Ich persönlich würde auch ein Antiviren-Programm + Firewall eines neutralen Herstellers wie Online Armor free oder Outpost nutzen.
Dafür sollte es nach Säuberung nicht zu spät sein, sofern du beim Entfernen auch das Abschalten der Systemwiederherstellung abgestellt hast und aus dem Reboot gelöscht hast wie hier schon beschrieben wurde.
Nach allen Patches SP3 und neu aufgesetzter Sicherheitsrichtlinie sollte bei Proxy-Einrichtung über IE die generelle Abfrage des Passwortes
bei jeder zu verschickenden Mail auftauchen ! Somit ist ein automatisierter Spammer nicht mehr möglich.
Das formatieren wuerde ich mir sparen, wenn SMART schon meldet, das die Festplatte bald einen Schaden erleiden koennte, waere mir ein neu Aufspielen auf dieser Platte zu heikel.....
Du willst doch aber nicht weiterhin damit ins Netz gehen, oder?
Verwendest du einen Router oder Modem?
Auf jeden Fall ist ein Router allemal sinnvoller als jede Schutzsoftware. Wenn du an einen güntigen mit Content Management herankommst, kannst du dir auch die Kinderschutzsoftware sparen. Mit CM kannst du im Router per Klick betreffende Inhalte einfach Sperren lassen.
Auf jeden Fall solltest du deine Zugangspasswörter ändern.
aido
@J4U
du vergisst dass es auch 1+1 komlplettanschlüsse gibt ... oder kann man da das auch nutzen?
Hallo, allen noch ein gutes neues Jahr.
Das BKA hat sich wieder einmal mit den Botnetzen beschäftigt. An die 11.000 Computersysteme, die Hälfte davon waren angeblich in Deutschland betroffen.
http://www.golem.de/news/sicherheit-bka-schaltet-botnetz-mit-tausenden-rechnern-ab-1412-111393.html
http://www.chip.de/downloads/RUBotted_61472426.html
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)