Hallo!

Gestern Abend hat mir meine FW (ZA Security Suite) mitgeteilt, dass
von smss.exe über 50 Emails verschickt werden sollen und ob ich damit
einverstanden bin. Ich hab natürlich geblockt und danach mal Emails
gecheckt. Ich habe da an die 10 Mails bekommen, wo mir berichtet wird,
dass meine Mailaddy geblockt wurde - Die Emails stammen alle von Domains
auf denen ich noch nie zuvor gewesen bin.

Da die erwähnte Emailaddy zu dem noch meine MSN Addy ist, kann ich seither
darunter auch nicht mehr zu MSN connecten.

Eben gerade bekomme ich laufend FW Warnungen, dass von smss.exe,
csrss.exe und services.exe Emails versendet werden sollen. Ich hab den
Diensten erstmal den Saft abgedreht und bekomm nun laufend Windows
Fehlermeldungen bezüglich der Interneterlaubnis dieser Dienste.

Was soll das bzw. was ist das?

Da ich nicht wirklich viel Erfahrung in Sachen Viren hab und mich auch
mit den hier genannten Diensten nicht auskenne hoffe ich hier Hilfe
zu finden! Wäre wirklich super klasse

lg erstmal

MCB

@MCB
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.

Kann es sein, dass Du den Anhang einer Wurmmail ausgeführt hast? Vielleicht von einer Mail, die von der WM2006 kam?

Wenn ja:

Du hast ja bestimmt ein aktuelles Antivirenprogramm, oder? Was ergibt ein Scan der Festplatte?

Gruß
Yopie

Zitat:

Zitat von Yopie

Kann es sein, dass Du den Anhang einer Wurmmail ausgeführt hast? Vielleicht von einer Mail, die von der WM2006 kam?

Redest du darüber: http://www.bsi.bund.de/av/vb/sobero.htm ?

Logfile of HijackThis v1.99.1
Scan saved at 18:27:56, on 03.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\MessengerPlus! 3\MsgPlus.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
D:\WINDOWS\Connection Wizard\Status\services.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\WINDOWS\Connection Wizard\Status\csrss.exe
D:\WINDOWS\System32\ZoneLabs\isafe.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Winamp\winamp.exe
D:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ WinStart] D:\WINDOWS\Connection Wizard\Status\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [_WinStart] D:\WINDOWS\Connection Wizard\Status\services.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - D:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Logfile

@Yopie
Beim Virenscan kam nichts heraus, ich habe tatsächlich eine Datei mit Anhang
geöffnet, ich weiss, dass ich das nicht machen hätte sollen, jedoch war das
nachdem ich die Warnung wegen der 50 Mails bekommen hab und bemerkt
hab das mein MSN nicht mehr läuft. Da war ich wohl etwas verwirrt und dachte ich find in dem Anhang was brauchbares *selbsthau*. Jedoch wie
gesagt den Anhang hab ich nachher erst geöffnet wo das Problem schon
bestand.

lg MCB

Zitat:

Zitat von Rene-gad

Redest du darüber: http://www.bsi.bund.de/av/vb/sobero.htm ?

Jupp. Schuß ins Blaue... Das mit den 50 Mails hab ich dem Zusammenhang mal gelesen.

Zitat:

O4 - HKLM\..\Run: [ WinStart] D:\WINDOWS\Connection Wizard\Status\services.exe

Treffer!

Gruß
Yopie

Whooooa!

Genau das ist bei mir geschehen nachdem ich die Datei geöffnet hatte.
Jedoch wunderts mich, dass ich das Problem schon vorher hatte. Ich
mach idR nie nen Anhang von Personen auf, die ich nicht kenn. Und obendrein
erinnere ich mich, den Anhang vorher gescannt zu haben...

MCB

EDIT: falscher Thread
EDIT 2:

Zitat:

O4 - HKLM\..\Run: [ WinStart] D:\WINDOWS\Connection Wizard\Status\services.exe
O4 - HKCU\..\Run: [_WinStart] D:\WINDOWS\Connection Wizard\Status\services.exe

Das dürfte der Sober sein

EDIT 3:
Hat Yopie schon geschrieben.

Also ich steh momentan etwas auf dem Gleis ^^

Ich bin etwas ratlos und verwirrt. Ich krieg laufend Mails mit dem Anhang,
erst gerade wieder 3, doch diesmal hat mein ZA den Anhang als Sobig
erkannt und gelöscht...

Komisch, warum hat der das nicht schon gestern gemacht? Ich hab
zwischenzeitlich kein Virendefinitionsupd gemacht weil es ohnehin aktuell
ist... *ratlosbin*

lg MCB

Zitat:

Zitat von MCB

Genau das ist bei mir geschehen nachdem ich die Datei geöffnet hatte.
Jedoch wunderts mich, dass ich das Problem schon vorher hatte.

Vielleicht noch ein anderer Wurm?

Zitat:

Zitat von MCB

mach idR nie nen Anhang von Personen auf, die ich nicht kenn. Und obendrein erinnere ich mich, den Anhang vorher gescannt zu haben...MCB

Man führt keine Mailanhänge aus, die man nicht angefordert hat! Nie! Die grundsätzliche Schwäche von AV-Programmen hast Du jetzt selbst erlebt, Du kannst Ihnen nie die letzte Entscheidung überlassen.

Dein System ist total veraltet. Ob dort noch ohne Neuinstallation was zu retten ist, kannst Du mit einem eScan feststellen. Beachte die Anleitung!
http://members.chello.at/pegasus2001/escan/Escan.html

Gruß
Yopie

Zitat:

Zitat von Haui45

EDIT:
EDIT 2:
EDIT 3:

Es ist peinlich, dass man so was nicht spurlos löschen kann, oder...?

Und ich bin wieder mal leer ausgegangen, obwohl ich bei web.de bin!
Gut, ich könnte mit dem Ding sowieso nichts anfangen, aber warum benutzen die Teile keine offenen Türen, wo sie doch eingeladen sind, aber nein, die gehen nur durch Türen, wo wenigstens ein Vorhang davor ist, irgendwie paranoid das Zeug!
LG, Charlie