Hallo purplerain,

DEFINITIV nicht GUT! Es sei denn du hast jede Menge Freunde in Frankreich

Erstell ein Hijacklog und poste es hier ins Forum!

Gruß
Daniel

Was heißt nicht gut? Was heißt freunde in Frankreich?
Wie kann ich das wieder loswerden???
Hilfe!

Hier mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:42:22, on 01.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\ati2evxx.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Mein Provider ist freenet. Die Email-adresse an die das alles geht ist jedoch von yahoo.

Im anhang der mailer-daemon mails sind auch meist 2 dateien

die eine heißt meistens irgendwie att00450.dat, die zweite heißt: Re (6):
(dies varieiert jedoch von mai zu mail)
beide dateien lassen sich jedoch nicht öffnen mit der angabe "OE hat die folgenden nicht sicheren anhänge aus der email gelöscht"...

Wenn ich das richtig interpretiere, dann spammt irgendjemand in Frankreich mit deiner E-Mail-Adresse rum. Dagegen kannst du nichts machen, außer Filtern.

Dein Log sieht mir sauber aus.

Gruß
Yopie

Das heißt kein trojaner? Wie kann jemand mit meiner email-adresse rumspamen? Und wie kann man herausfinden WER das ist? Und vorallem WIE man ihn davon abhält? Gibt es die möglichkeit aus der Email oder den quelltexten zu entnehmen wer der echte verursacher ist?

Davon abgesehen sind in den hunderten von emails nicht nur französiche adressen sondern so ziemlich jede nation wird mal behandelt....wie freundlich...ich trage sozusagen zur globalisierung bei...

Was kann ich denn dagegen tun?

Zitat:

Zitat von purplerain

Das heißt kein trojaner? Wie kann jemand mit meiner email-adresse rumspamen?

Zumindest spricht bislang nichts für einen Trojaner bei Dir!
Auch ich könnte Mails mit deiner Adresse versenden. Die Absendeadresse ist erstmal nur Text und muss nicht unbedingt vom SMTP-Server geprüft werden.

Zitat:

Und wie kann man herausfinden WER das ist? Und vorallem WIE man ihn davon abhält? Gibt es die möglichkeit aus der Email oder den quelltexten zu entnehmen wer der echte verursacher ist?

Vermutlich eine durch Würmer/Backdoors verseuchte Kiste, die nun ein offenes Mail-Relay darstellt. Die IP-Adressen des Senders der Original-Mail werden dir ja mitgeteilt! Wenn es immer die gleiche ist, kannst du darauf filtern.

Zitat:

Davon abgesehen sind in den hunderten von emails nicht nur französiche adressen sondern so ziemlich jede nation wird mal behandelt....wie freundlich...ich trage sozusagen zur globalisierung bei...

IP-Adressen oder E-Mail-Adressen?

Zitat:

Was kann ich denn dagegen tun?

S.o.

Zum Verständnis: Google nach Headerfaq!

Bitte editiere auch die E-Mail-Adressen in dem von dir geposteten Beispiel. Ersetze das @ mit (z.B.) [ät]. Wir wollen es den Spam-Harverstern nicht zu leicht machen.

Gruß
Yopie

daran:

Postausgangsserver: Received: from d****.cust.tele2.fr ([dessen IP-->213.103.212.184] verified)

Postfächer: Failed to deliver to 'tblly@ua.fm'
Failed to deliver to 'mr_grigoriy@ua.fm'

das @ua steht für account´s irgendwo in Russland...

EDIT: Yopie war schneller...

@Yopie

Besser gesagt ein Franzose, versucht über einen Deutschen einen Russen "vollzuspamen"!

Und das direkt aus der STADT der LIEBE! PARIS

woher erkennst du das ein franzose über einen deutschen (der ja wohl irgendwie ich bin) einen russen vollspamt????

Zitat:

Zitat von purplerain

woher erkennst du das ein franzose über einen deutschen (der ja wohl irgendwie ich bin) einen russen vollspamt????

Franzose: Siehe IP-Adresse
Russe: Mr. Grigoryi (E-Mail-Adresse aber in Mikronesien!)
Deutscher: Weiß man nicht.

Das einzige, was du damit zu tun hast, ist nach dem bisherigen Stand deine E-Mail-Adresse. "Über dich" ist also übertrieben.

Gruß
Yopie

i m sorry for this but i m french

i have seen your froum
i m the bob_34_mal66_@_tisc_al_i._fr

and i don t have spasm your mail

i make some web site and with some robots spasmers the mail are not mine.
sorry for the inconvenience

i make some website about command and conquer generals ans i have many mail on website ,principal website is :

http://www.warofgenerals.free.fr