Rootkit.agent gefunden. Telekom meldet Spamversand.

[Speedy]

ok, sieht schon mal aufgeräumt aus.

mbam aktualisieren
avast update ziehen und
von dr. web das tool cureIT downloaden, installieren, update ziehen, beenden.

wechsle in das erweiterte auswahlmenü von windows:
pc einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8]. es erscheint ein start-menü im textmodus, wähle hier "abgesichert" bzw. "abgesicherter modus" und bestätige dies mit der [eingabe]-taste. im obigen link kannst du nachlesen, warum man in den abgesicherten modus wechselt.

scanne nun nacheinander mit avast, dann mit mbam und zum schluss mit cureIT, malwarefunde bereinigen lassen, logfile posten.
bitte die code tags verwenden und nicht quote!!!!

[totalegal]

Eigentlich dachte ich ich hätte am Freitag die nächste Antwort verfasst, hat aber wohl nicht funktioniert war ein bisschen unter Zeitdruck.

Avast wollte im abgesicherten Modus nicht starten, MBAM ist über Nacht durchgelaufen und cureit ist dann während des Suchens abgestürzt als ich gerade nicht am PC war.

Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4530

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

03.09.2010 13:06:56
mbam-log-2010-09-03 (13-06-56).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 506430
Time elapsed: 1 hour(s), 5 minute(s), 12 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\found.000\dir0145.chk\PremiereElementsLinkIndicatorTopBar.png (Extension.Mismatch) -> Quarantined and deleted successfully.
C:\found.000\dir0252.chk\en_US\binary\page\wa_07.png (Extension.Mismatch) -> Quarantined and deleted successfully.

Das cureit log ist zu lang um es hier zu posten ich kriege immer einen time-out. Deshalb hat es wohl am Freitag auch nicht geklappt.

[totalegal]

Also ungepackt 7MB gepackt 300kB.

Hier das cureit log als gepackter Anhang

cureitlog.zip

[Speedy]

hi, dann musst du das eben manuell reduzieren, alles wo ok steht, weg, nur die funde posten, danke.

überprüfe dein system mit mind.3 der folgenden onlinescanner
sollte bei einem tool nur die bezahlversion reinigen, rückmeldung erwünscht, dann wird die reinigung eben manuell durchgeführt.

• kaspersky
• housecall
• sophos
• bitdefender
• f-secure
• eset
• windows oncare
• panda-aktivscan
• mcafee
• symantec

poste die ergebnisse.

[totalegal]

Manuell reduzieren dauert ewig so eine 7MB Textdatei ist ziemlich groß... gibt es da einen einfacheren Weg?

Code:

   KASPERSKY ONLINE SCANNER 7.0: scan report
Thursday, September 16, 2010
Operating system: Microsoft Professional (build 7600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Wednesday, September 15, 2010 09:10:49
Records in database: 4213139
Scan settings
scan using the following database     extended
Scan archives     yes
Scan e-mail databases     yes
Scan area     My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
Scan statistics
Objects scanned     321991
Threats found     21
Infected objects found     42
Suspicious objects found     174
Scan duration     06:48:38

File name     Threat     Threats count
C:\Programme\nnscript\mirc.exe    Infected: not-a-virus:Client-IRC.Win32.mIRC.631    1    
C:\Users\ebay\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\1a07d0cf-298a93ed    Infected: Exploit.Java.Agent.f    1    
C:\Users\ebay\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\1a07d0cf-298a93ed    Infected: Trojan-Downloader.Java.Agent.fi    2    
C:\Users\ebay\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\e830c79-74bc86ba    Infected: Exploit.Java.Agent.f    1    
C:\Users\ebay\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\e830c79-74bc86ba    Infected: Trojan-Downloader.Java.Agent.fi    2    
D:\linck\D\Eigene Dateien\mail\E-Mail Sicherung\Gelöschte Objekte.dbx    Infected: Trojan-Spy.HTML.Bankfraud.od    1    
D:\linck\D\mail\Junk    Suspicious: Trojan-Spy.HTML.Fraud.gen    21    
D:\linck\D\mail\Junk    Suspicious: Email-Worm.Win32.Bagle.mail    2    
D:\linck\D\mail\Junk    Infected: Email-Worm.Win32.Bagle.gen    2    
D:\linck\D\mail\Junk    Infected: Trojan-Downloader.Win32.Mutant.mx    1    
D:\linck\D\mail\Junk    Infected: Trojan.Win32.FraudPack.gen    1    
D:\linck\D\mail\local folders\Inbox    Suspicious: Trojan-Spy.HTML.Fraud.gen    31    
D:\linck\D\mail\local folders\Inbox    Infected: Worm.Win32.AutoRun.svl    1    
D:\linck\D\mail\local folders\Inbox    Infected: Trojan-Dropper.Win32.Agent.aara    1    
D:\linck\D\mail\local folders\Inbox.sbd\ebay    Suspicious: Trojan-Spy.HTML.Fraud.gen    23    
D:\linck\D\mail\local folders\Inbox.sbd\ebay    Infected: Backdoor.Win32.Turkojan.alm    2    
D:\linck\D\mail\local folders\Junk    Suspicious: Trojan-Spy.HTML.Fraud.gen    11    
D:\linck\D\mail\local folders\Junk    Infected: Backdoor.Win32.Turkojan.alm    2    
D:\linck\D\mail\Trash    Infected: Backdoor.Win32.Agent.akf    2    
D:\linck\D\mail\Trash    Suspicious: Trojan-Spy.HTML.Fraud.gen    1    
D:\linck\D\mail\Trash    Infected: Trojan-Downloader.Win32.Agent.bgd    3    
D:\linck\D\mail\Trash    Infected: Trojan-Downloader.Win32.Nurech.bh    1    
D:\linck\D\mail\Trash    Infected: Trojan-Downloader.Win32.Nurech.bi    2    
D:\linck\D\mail\Trash    Infected: Trojan-Downloader.Win32.Small.eok    3    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Inbox    Infected: Trojan.Win32.VBKrypt.zl    1    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Inbox.sbd\ebay    Suspicious: Trojan-Spy.HTML.Fraud.gen    32    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Inbox.sbd\ebay    Infected: Backdoor.Win32.Turkojan.alm    2    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Inbox.sbd\ebay    Infected: Trojan-Dropper.Win32.Delf.cnh    2    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Inbox.sbd\ebay    Infected: Trojan.Win32.VBKrypt.gf    2    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Inbox.sbd\ebay.sbd\paypal    Suspicious: Trojan-Spy.HTML.Fraud.gen    1    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Junk    Suspicious: Trojan-Spy.HTML.Fraud.gen    14    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Junk    Infected: Trojan-Spy.Win32.Zbot.rxp    1    
D:\Thunderbird\q0g29ev9.default\Mail\Local Folders\Sent    Suspicious: Trojan-Spy.HTML.Fraud.gen    6    
D:\Thunderbird\q0g29ev9.default\Trash.sbd\Mail\Local Folders\Inbox.sbd\ebay    Suspicious: Trojan-Spy.HTML.Fraud.gen    31    
D:\Thunderbird\q0g29ev9.default\Trash.sbd\Mail\Local Folders\Inbox.sbd\ebay    Infected: Backdoor.Win32.Turkojan.alm    2    
D:\Thunderbird\q0g29ev9.default\Trash.sbd\Mail\Local Folders\Inbox.sbd\ebay    Infected: Trojan-Dropper.Win32.Delf.cnh    2    
D:\Thunderbird\q0g29ev9.default\Trash.sbd\Mail\Local Folders\Inbox.sbd\ebay.sbd\paypal    Suspicious: Trojan-Spy.HTML.Fraud.gen    1    
H:\gud eig dat\mail\E-Mail Sicherung\Gelöschte Objekte.dbx    Infected: Trojan-Spy.HTML.Bankfraud.od    1    
Selected area has been scanned.

Code:

QuickScan Beta 32-bit v0.9.9.38
-------------------------------
Scan date:  Thu Sep 16 13:10:08 2010
Machine ID: 382E2B62

d:\adobe\/adobe contribute cs4/contributeieplugin.dll - could not be accessed


No infection found.
-------------------



Processes
---------
 filezilla                              10772    C:\Program Files\FileZilla FTP Client\filezilla.exe
2007 Microsoft Office system            11020    C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
Acronis Scheduler Helper                 2080    C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
Acronis True Image                       3880    C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
AcroTray - Adobe Acrobat Distiller help  4040    D:\adobe\Acrobat 9.0\Acrobat\acrotray.exe
Adobe Illustrator CS4                   15888    D:\adobe\Adobe Illustrator CS4\Support Files\Contents\Windows\Illustrator.exe
Copy Handler 1.31 Final                  4084    C:\Program Files\Copy Handler\ch.exe
Firefox                                  1024    C:\Program Files\Mozilla Firefox\firefox.exe
Firefox                                 15688    C:\Program Files\Mozilla Firefox\plugin-container.exe
Java(TM) Platform SE 6 U20              11508    C:\Program Files\Java\jre6\bin\java.exe
Java(TM) Platform SE 6 U20               5272    C:\PROGRA~2\Java\jre6\bin\jp2launcher.exe
Microsoft® Windows® Operating System     4076    C:\Program Files\Windows Sidebar\sidebar.exe
Microsoft® Windows® Operating System      960    C:\Windows\explorer.exe
Microsoft® Windows® Operating System     9828    C:\Windows\explorer.exe
Microsoft® Windows® Operating System    10344    C:\Windows\explorer.exe
Microsoft® Windows® Operating System     4572    C:\Windows\System32\calc.exe
Microsoft® Windows® Operating System    15768    C:\Windows\System32\conhost.exe
Microsoft® Windows® Operating System     9564    C:\Windows\System32\dllhost.exe
Microsoft® Windows® Operating System      424    C:\Windows\System32\dwm.exe
Microsoft® Windows® Operating System     1792    C:\Windows\System32\taskhost.exe
Notepad++                                5004    C:\Program Files\Notepad++\notepad++.exe
Skype                                    6676    C:\Program Files\Skype\Phone\Skype.exe
Skype Extras Manager                     9944    C:\Program Files\Skype\Plugin Manager\skypePM.exe
Thunderbird                              1176    C:\Program Files\Mozilla Thunderbird\thunderbird.exe
Winamp                                  11580    C:\Program Files\Winamp\winamp.exe
wstreamripper.exe                       11772    C:\Program Files\Streamripper\wstreamripper.exe


Network activity
----------------
Process Skype.exe (6676) connected on port 26419 --> 95.155.247.140
Process winamp.exe (11580) connected on port 8000 (Internet Radio) --> 82.94.215.15

Process Skype.exe (6676) listens on ports: 80 (HTTP), 443 (HTTP over SSL), 52185


Autoruns and critical files
---------------------------
 Adobe Version Cue CS4                   C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4Tray.exe
Acronis Scheduler Helper                 C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
Acronis True Image                       C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
AcroTray - Adobe Acrobat Distiller help  D:\adobe\Acrobat 9.0\Acrobat\acrotray.exe
Adobe Acrobat                            D:\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe
Adobe CS4 Service Manager                C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
Adobe Reader and Acrobat Manager         C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
avast! Antivirus                         C:\PROGRA~2\ALWILS~1\Avast5\avastUI.exe
Copy Handler 1.31 Final                  C:\Program Files\Copy Handler\ch.exe
GrooveShellExtensions Module             C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
Logitech SetPoint                        c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
Logitech SetPoint                        C:\Program Files\Logitech\SetPointP\SetPoint.exe
Malwarebytes' Anti-Malware               C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
Microsoft® Windows® Operating System     C:\Program Files\Windows Sidebar\sidebar.exe
Microsoft® Windows® Operating System     C:\Windows\System32\DreamScene.dll
Microsoft® Windows® Operating System     C:\Windows\system32\oobefldr.dll
Microsoft® Windows® Operating System     c:\windows\system32\userinit.exe
Windows® Internet Explorer               c:\windows\system32\webcheck.dll


Browser plugins
---------------
AcroIEHelperShim Library                 c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
Adobe Acrobat                            C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
Adobe PDF Toolbar for IE                 c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
BitDefender QuickScan                    C:\Users\ebay\AppData\Roaming\Mozilla\Firefox\Profiles\bn8wq7ja.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
BitDefender QuickScan                    C:\Users\ebay\AppData\Roaming\Mozilla\Firefox\Profiles\bn8wq7ja.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
getPlusPlus for Adobe 16263              C:\Program Files\Mozilla Firefox\plugins\np_gp.dll
Java Deployment Toolkit 6.0.200.2        C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
Microsoft® Windows® Operating System     C:\Windows\System32\mswsock.dll
Microsoft® Windows® Operating System     C:\Windows\System32\NapiNSP.dll
Microsoft® Windows® Operating System     C:\Windows\System32\nlaapi.dll
Microsoft® Windows® Operating System     C:\Windows\System32\pnrpnsp.dll
Microsoft® Windows® Operating System     C:\Windows\System32\winrnr.dll
Mozilla Default Plug-in                  C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
nppdf32.DEU                              C:\Program Files\Mozilla Firefox\plugins\nppdf32.DEU
nppdf32.FRA                              C:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
NPSWF32.dll                              C:\Windows\System32\Macromed\Flash\NPSWF32.dll
Shockwave for Director                   C:\Windows\system32\Adobe\Director\np32dsw.dll
Silverlight Plug-In                      C:\Program Files\Microsoft Silverlight\3.0.40818.0\npctrl.dll
Windows® Internet Explorer               C:\Windows\System32\ieframe.dll


Missing files
-------------
File not found: F:\smartware.exe
  --> F:\autorun.inf

File not found: c:\windows\system32 acaptuser32.dll
  --> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs"


Scan
----


No file uploaded.

Scan finished - communication took 2 sec
Total traffic - 0.10 MB sent, 2.07 KB recvd
Scanned 1680 files and modules - 94 seconds

==============================================================================

Code:

Scanbericht
Donnerstag, September 16, 2010 13:19:32 - 13:25:16

Name des Computers: EBAY1
Scantyp: Quick-Scan
Ziel: System
4 Malware gefunden
TrackingCookie.Advertising (Spyware)

    * System (Desinfiziert) 

TrackingCookie.Doubleclick (Spyware)

    * System (Desinfiziert) 

TrackingCookie.Atwola (Spyware)

    * System (Desinfiziert) 

TrackingCookie.Yieldmanager (Spyware)

    * System (Desinfiziert) 

Statistik
Gescannt:

    * Dateien: 4519
    * System: 4519
    * Nicht gescannt: 0 

Aktionen:

    * Desinfiziert: 4
    * Umbenannt: 0
    * Gelöscht: 0
    * Nicht bereinigt: 0
    * Übermittelt: 0 

Optionen
Scan-Engines:

      Copyright © 1998-2009 Produktsupport | Virusbeispiel an F-Secure senden
      F-Secure übernimmt keine Verantwortung für Material, das von Drittparteien erstellt oder veröffentlicht wurde, die mit den WWW-Seiten von F-Secure verlinkt sind. Falls von Ihnen nicht ausdrücklich anders angegeben, stimmen Sie durch das Übermitteln von Material auf einen unserer Server, zum Beispiel per E-Mail oder über F-Secure CGI E-Mail, zu, dass das von Ihnen zur Verfügung gestellte Material auf den WWW-Seiten von F-Secure oder in gedruckten Publikationen von F-Secure veröffentlicht werden darf. Sie gelangen auf die öffentliche Website von F-Secure, indem Sie auf unterstrichene Links klicken. Dabei wird Ihr Zugriff in unserer privaten Zugriffsstatistik mit Ihrem Domänennamen protokolliert. Diese Informationen werden nicht an Dritte weitergeleitet. Sie erklären sich damit einverstanden, in Zusammenhang mit von Ihnen übermitteltem Material keine rechtlichen Schritte gegen uns einzuleiten. Falls von Ihnen nicht ausdrücklich anders angegeben, berechtigen Sie F-Secure durch die Übermittlung von Material, alle darin beschriebenen Konzepte in Produkten oder Publikationen von F-Secure zu veröffentlichen, ohne dass F-Secure dafür verantwortlich zeichnet.

Code:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-09-17 13:34:05
PROTECTIONS: 1
MALWARE: 24
SUSPECTS: 9
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! Antivirus                                                           Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@doubleclick[2].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\anwendungsdaten\mozilla\profiles\default\723feth7.slt\cookies.txt[.doubleclick.net/]
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           d:\linck\c\documents and settings\m\cookies\m@atdmt[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@atdmt[2].txt
00145731  Cookie/Tribalfusion                TrackingCookie      No        0         Yes            No           c:\users\administrator\appdata\roaming\microsoft\windows\cookies\administrator@tribalfusion[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@mediaplex[3].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@mediaplex[2].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@statcounter[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@ad.yieldmanager[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           d:\linck\c\documents and settings\m\cookies\m@ad.yieldmanager[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@apmebf[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@apmebf[3].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@apmebf[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@serving-sys[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@bs.serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@bs.serving-sys[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@adtech[1].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@bluestreak[1].txt
00462462  W32/Autorun.JCR                    Virus               No        1         Yes            No           d:\linck\d\mail\local folders\inbox[abrechnung.zip][scann/scann.a]
00467753  Trj/Agent.LAJ                      Virus/Trojan        No        0         Yes            No           d:\linck\d\mail\local folders\inbox[sperrung.zip][sperrung.exe]
00502713  Trj/Cimuz.CY                       Virus/Trojan        No        1         Yes            No           c:\dokumente und einstellungen\ebay1\anwendungsdaten\thunderbird\profiles\q0g29ev9.default\mail\local folders\inbox[rechnung.zip][amazon.pdf.exe]
03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           c:\users\public\desktop\amc\tools\wintuning.7.incl.patch\wintuning-7-for-windows-7.exe[wintuning7client.exe]
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           d:\linck\d\mail\local folders\junk[transfer001.zip][transfer001/transfer001.exe]
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           d:\linck\d\mail\local folders\inbox.sbd\ebay[transfer001.zip][transfer001/transfer001.exe]
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[transfer.zip][transfer.exe]
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\users\public\desktop\amc\tools\patch to use more than 4gbram\4gb-7600.rtm.x86.04.08.2009.exe
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\users\public\desktop\amc\tools\wintuning.7.incl.patch\wintuning-7-for-windows-7.exe
06026516  Trj/Downloader.XKX                 Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[postal_label_nr1744.zip][postal_label_nr1744.exe]
06062817  Trj/Sinowal.WXJ                    Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[dhl_label_521.zip][dhl_label_521.exe]
06184169  Rootkit/Agent.NMS                  HackTools           No        1         Yes            No           c:\windows\system32\drivers\gwebmwit.sys
06194855  Trj/Agent.NNC                      Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[ups_invoice_2845.zip][ups_invoice_2845.exe]
06205118  Trj/Agent.NNC                      Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[ups_invoice_9538.zip][ups_invoice_9538.exe]
06235224  Trj/Sinowal.WEZ                    Virus/Trojan        No        0         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[dhl_label_2487.zip][dhl_label_2487.exe]
06510340  Trj/Sinowal.WZZ                    Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\mail\local folders\inbox[contract_02_06_2010.zip][contract_02_06_2010_doc.exe]
07322992  Trj/Downloader.XVT                 Virus/Trojan        No        1         Yes            No           c:\users\ebay\appdata\locallow\sun\java\deployment\cache\6.0\57\e830c79-74bc86ba[quote/skypeqd.class]
07322992  Trj/Downloader.XVT                 Virus/Trojan        No        1         Yes            No           c:\users\ebay\appdata\locallow\sun\java\deployment\cache\6.0\15\1a07d0cf-298a93ed[quote/skypeqd.class]
07326279  Trj/Downloader.XVT                 Virus/Trojan        No        1         Yes            No           c:\users\ebay\appdata\locallow\sun\java\deployment\cache\6.0\57\e830c79-74bc86ba[quote/twitters.class]
07326279  Trj/Downloader.XVT                 Virus/Trojan        No        1         Yes            No           c:\users\ebay\appdata\locallow\sun\java\deployment\cache\6.0\15\1a07d0cf-298a93ed[quote/twitters.class]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\dokumente und einstellungen\ebay1\desktop\progs\msd 0.655\plugins\ycplugins\usercashcom.dll
No        c:\dokumente und einstellungen\ebay1\desktop\progs\msd 0.655\plugins\ycplugins\xvidznet.dll
No        c:\users\ebay\desktop\combofix.exe
No        c:\users\public\desktop\amc\tools\patch to use more than 4gbram\4gb-7600.rtm.x86.04.08.2009.exe[(c)staforce-4gb.exe]
No        c:\users\public\desktop\amc\tools\reserve 7 activators\7600_rtm_v7.0 (10.08.2009).exe
No        c:\users\public\desktop\amc\tools\reserve 7 activators\7loader.exe
No        c:\users\public\desktop\amc\tools\reserve 7 activators\hazar7loader 1.6.rar[7loader.exe]
No        d:\thunderbird\q0g29ev9.default\inbox[transfer.zip][transfer.exe]
No        d:\thunderbird\q0g29ev9.default\inbox[transfer.zip][transfer.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

[Speedy]

du musst einmal in deinen emails gehörig aufräumen, was sich da so alles tummelt

C:\Programme\Java\j2re1.Y.X_XX\bin\jusched.exe
dein java ist nicht aktuell, deinstalliere die alte version über
start->programmzugriff und standards->programme ändern oder deinstallieren
J2SE Runtime Environment ......
wiederhole diesen vorgang, sollten noch mehrere alte versionen am rechner sein. lösche nun folgende ordner und leere den mistkübel

• C:\Programme\JAVA
• C:\Windows\Sun
• C:\Dokumente und Einstellungen\*Profil1*\Anwendungsdaten\Sun
• C:\Dokumente und Einstellungen\*Profil2*\Anwendungsdaten\Sun

Achtung: nicht C:\Windows\Java
download nun java von Oracle (Windows Offline Installation, Multi-language) durchführen, installieren.
alternativ kannst das tool javara verwenden, um auf deinem system die aktuellen version zu installieren und alte versionen zu deinstallieren!

vor der neuinstallation aber wirklich die ordner löschen
C:\Users\ebay\AppData\LocalLow\Sun\

du brauchst dir nur das kaspersky log ansehen und solltest wissen, was zu tun ist.

p.s. wenn du den cache von thunderbird oder sonstige emails gelöscht hast, mistkübel leeren und jenen ordner, in dem du emails gelöscht hast, komprimieren!

danach neuerlich mit kaspersky und panda scannen, das logfile von kas sollte so einzustellen sein, das nur die "bösen" dateien mitgeloggt werden.

[totalegal]

Hallo Speedy, entschuldige für die drei Monate Sendepause. Aber ist denk ich mal mein Problem.

Es ist auf jeden Fall noch nicht ausgestanden, die Telekom meldete schon wieder Spamversand.

Ich habe jetzt Java so wie du es beschrieben hast entfernt und dann neuinstalliert.

Danach wollte ich mit kaspersky scannen, das meldet aber "Lizenz abgelaufen".

Panda Scan hat folgende Ergebnisse geliefert:

Code:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-12-01 17:09:42
PROTECTIONS: 1
MALWARE: 20
SUSPECTS: 3
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Windows Defender                                                           Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@doubleclick[2].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\anwendungsdaten\mozilla\profiles\default\723feth7.slt\cookies.txt[.doubleclick.net/]
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@atdmt[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           d:\linck\c\documents and settings\m\cookies\m@atdmt[1].txt
00145731  Cookie/Tribalfusion                TrackingCookie      No        0         Yes            No           c:\users\administrator\appdata\roaming\microsoft\windows\cookies\administrator@tribalfusion[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@mediaplex[3].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@mediaplex[2].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@statcounter[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           d:\linck\c\documents and settings\m\cookies\m@ad.yieldmanager[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@ad.yieldmanager[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@apmebf[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@apmebf[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@apmebf[3].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@serving-sys[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@bs.serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@bs.serving-sys[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\ebay1\cookies\ebay1@adtech[1].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\system@bluestreak[1].txt
00502713  Trj/Cimuz.CY                       Virus/Trojan        No        1         Yes            No           c:\dokumente und einstellungen\ebay1\anwendungsdaten\thunderbird\profiles\q0g29ev9.default\mail\local folders\inbox[rechnung.zip][amazon.pdf.exe]
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[transfer.zip][transfer.exe]
06026516  Trj/Downloader.XKX                 Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[postal_label_nr1744.zip][postal_label_nr1744.exe]
06062817  Trj/Sinowal.WXJ                    Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[dhl_label_521.zip][dhl_label_521.exe]
06184169  Rootkit/Agent.NMS                  HackTools           No        1         Yes            No           c:\windows\system32\drivers\gwebmwit.sys
06194855  Trj/Agent.NNC                      Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[ups_invoice_2845.zip][ups_invoice_2845.exe]
06205118  Trj/Agent.NNC                      Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[ups_invoice_9538.zip][ups_invoice_9538.exe]
06235224  Trj/Sinowal.WEZ                    Virus/Trojan        No        0         Yes            No           d:\thunderbird\q0g29ev9.default\inbox[dhl_label_2487.zip][dhl_label_2487.exe]
06510340  Trj/Sinowal.WZZ                    Virus/Trojan        No        1         Yes            No           d:\thunderbird\q0g29ev9.default\mail\local folders\inbox[contract_02_06_2010.zip][contract_02_06_2010_doc.exe]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\dokumente und einstellungen\ebay1\desktop\progs\msd 0.655\plugins\ycplugins\xvidznet.dll
No        d:\thunderbird\q0g29ev9.default\inbox[transfer.zip][transfer.exe]
No        d:\thunderbird\q0g29ev9.default\inbox[transfer.zip][transfer.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Da habe ich nun alle angegebenen cookie Ordner geleert und auch meinen Junk Ordner bei Firefox aufgeräumt. Wo ich nicht weiß was ich machen soll ist bei diesem Eintrag: 06184169 Rootkit/Agent.NMS HackTools No 1 Yes No c:\windows\system32\drivers\gwebmwit.sys

Ich hatte diese Datei bereits auf meinem Rechner hatte sie entfernt, jetzt ist sie wieder da.