| |
| |||||||
Log-Analyse und Auswertung: Ich werde (oder wurde) zum Spammails verschicken missbrauchtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.11.2006, 09:54
| #1 |
| |  Ich werde (oder wurde) zum Spammails verschicken missbraucht Hallo zuerst, ich werde oder wurde zum versenden von Spam Mails missbraucht  und da ich kein Profi bin, weiß ich nicht wie das zustande kommt.Zuerst mein System: AMD Athlon(tm) XP 3200+; 2,20 GHZ; 1,00 GB RAM Windows XP Professional Version 2002, Service Pack 2 Skydsl von Teles Virenwächter: Gdata Internet Security 2007 Firewall: Windows Netzwerk mit 3 PC's - der Problem-PC (s.o.) (aktuell habe ich sicherheitshalber das Netzwerkkabel gezogen) soll hauptsächlich zu Verbindung ins Internet dienen; die anderen sind unsere Arbeits-PC's Geschichte / Hinweise: a) Vor der Installation von Gdata habe ich den Lauf mit der Boot-CD probiert, der ist aber nie bis zu Ende gelaufen; der PC hat sich immer dabei aufgehängt. b) Auf dem PC lief (bis vorhin) KEN von AVM - habe ich vorhin deinstalliert Hauptproblem: Ich habe (mit Hilfe von Gdata) festgestellt, dass über diesen Rechner Spammails versendet wurden (gestern über 6.000 Stück). Ebenso habe ich festgestellt, dass diese Spams nur laufen, wenn der KEN läuft (darum deinstalliert). Wie oben gesagt, habe ich das Netzwerkkabel gezogen; trotzdem gingen weiter Spammails raus, wenn der KEN lief. Seit der Deinstalltion von KEN (vor ca. 2 Stunden) gingen keine SPAM Mails mehr raus. Könnt ihr mir bitte prüfen, ob mein System jetzt in Ordnung ist, oder ob ich immer noch gefährdet bin. Anbei hier meine HiJack Logfile1: Logfile of HijackThis v1.99.1 Scan saved at 09:23:16, on 13.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\Programme\TELES\skyDSL\Proxy\craxy.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\TELES\skyDSL\tskymtpc.exe C:\Programme\TELES\skyDSL\tclntservice.exe C:\Programme\TELES\skyDSL\tkpsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\TELES\skyDSL\tskyclnt.exe C:\Programme\TELES\skyDSL\tkpclnt.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\TELES\skyDSL PCI\DVBData.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.168.0.50:3128/ken.html R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://test.skydsl.de/proxytest/de/ O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [skyDSLClient] C:\Programme\TELES\skyDSL\tskyclnt.exe -q O4 - HKLM\..\Run: [Koppelpuls Client] C:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DVB Data (skyDSL PCI).lnk = C:\Programme\TELES\skyDSL PCI\DVBData.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2sky.exe O9 - Extra button: skyDSL- - - {F7522CA8-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2fon.exe O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.0.50:3128/ken.html O16 - DPF: {2DEF4530-8CE6-41C9-84B6-A54536C90213} (Crystal Report Viewer Control 9) - h**p://www.geadiva.de/viewer9/activeXViewer/activexviewer.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: skyDSL-Proxy (tntcraxy) - Unknown owner - C:\Programme\TELES\skyDSL\Proxy\craxy.exe" service (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe Sollten noch Informationen benötigt werden, sende ich diese natürlich gerne. Vorab besten Dank für Eure Hilfe. Micha PS: Ich habe gegoogelt und versucht, möglichst viel vorab über mein Problem zu finden; verzeiht mir bitte, aber ich habe mangels Verständnis bestimmt nicht alles verstanden. |
|
13.11.2006, 10:24
| #2 |
  | Ich werde (oder wurde) zum Spammails verschicken missbraucht Hallo,
__________________deinem Log kann ich nichts entnehmen das auf einen Spambot hindeuten würde.Ich halte es für sauber. Poste mal die genaue Meldung von G-Data. Dieses "Ken" ist Optimierungssoftware für das Satelitten-DSL ? Brauch man das ? Über die nötige Verbindungssoftware ließe sich vermutlich diese "Optimierung" genau so gut erreichen.... C:\Programme\TELES\skyDSL\ C:\Programme\TELES\skyDSL\ C:\Programme\TELES\skyDSL Allerdings fehlen mir für Satelitten-DSL die Kenntnisse.Die Erfahrung aber sagt,Optimierungstools" verschlimmbessern meistens nur.... Irrlicht |
|
13.11.2006, 12:10
| #3 |
| | Ich werde (oder wurde) zum Spammails verschicken missbraucht Hallo irrlicht,
__________________erstmal tausend dank für die superschnelle Antwort. 1. zu Gdata: Hier gibt es eine Statistik anzuschauen mit den Informationen: Ausgehende Mails (SMTP) Geprüft: Anzahl ( Anzahl infiziert ) zuletzt gesendete Mails (da seit dem letzten Start keine gesendet - kein Eintrag - aber gestern waren da 6.256 Mails oder so ähnlich und die letzte Mail war an ganz komische Adressen, die ich nicht kenne - richtige Spam Mails hatl (Ich möchte dich kennenlernen... und ähnliches) 2. KEN: war ursprünglich als Mailclient gedacht, hat aber mit T-online nicht mehr funktioniert, da ich mich über Teles einlogge. Also eigentlich brauche ich ihn nicht mehr. Hast Du vielleicht eine Idee, wie ich rausfinde, wo das Loch ist, durch das der Spammer an mich rankam ? Also ich weiß zum Beispiel, dass ich über T-online ein Haufen Spam-Mails bekommen habe - ich habe die aber immer gleich gelöscht - und ab jetzt kann ich meine email-Adresse dort auch löschen. Danke nochmal Micha |
|
| Themen zu Ich werde (oder wurde) zum Spammails verschicken missbraucht |
| adobe, amd athlon, arbeits-pc, bho, boot-cd, excel, explorer, firewall, g data, gdata, helper, hijack, hijackthis, installation, internet, internet explorer, internet security, konvertieren, logfile, netzwerk, pdf, pdf-datei, proxy, prüfen, rundll, security, sicherheitshalber, software, spam, spam mails, system, windows, windows xp |
Linear-Darstellung
