| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ausgehende SMTP Verbindungen, Virus? Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.12.2006, 15:50
| #1 |
| |  Ausgehende SMTP Verbindungen, Virus? Trojaner? Also...am besten fang ich von vorne an...  Gestern war ich auf ner bestimmten page...diese page durchsucht andere pages...und auf dieser page hab ich mir dann eine zip file mit ner txt drin gesaugt...dazu lag noch ne exe drin...und da ich ja neugierig bin... Wen interessiert, was das für ne Page war, oder die datei haben möchte: PM! Hmyo...hab die file dann ma gestartet...erstmal sah man diese windows eieruhr und da ich den dsl speed manager installiert hab (bzw. hatte, is wohl nu auch kaputt), konnte ich auch sofort sehn, dass das teil was nachläd...Ausserdem hatte (JA HATTE!) ich norton antivirus installiert...es kam auch irgende warnung, aber da ich leicht in panik war, hab ich diese aus versehen weggeklickt, ohne zu sehn, was da stand, dann kamen zig von diesen kleinen fenstern, in dem norton ausgehende emails überprüft...erstmal hing das system ne weile, bis ich überhaupt was machen konnte... ich hab in C:\ einige 1kb große *.exe Dateien gefunden, welche irgendwelche Zeichen als Dateinamen hatten, sah stark nach Zufällig gewählten aus. Diese hab ich sofort gelöscht. Dann hab ichs noch hingekriegt mit norton nen kompletten Systemcheck zu machen (4 stunden!!), wobei auch noch ein Virus gefunden wurde, leider ist mir auch da der Name entfallen, ich glaub aber, das war eine von den Dateien, die ich sowiso schon gelöscht hatte. Dann wurds wieder etwas ruhiger...auch diese kleinen fenster waren weg und das system lief wieder...also hab ich mich ma getraut nen reboot zu machen...ging ansich ja auch ganz gut, bis auf das norton nich mehr lief... Naja...norton deinstallieren is ne lustige sache, sollte jeder mal gemacht haben...dann also nochmal ca. 3 stunden später und mein dsl speed manager lief auch nich mehr, lag wohl an norton...hab ich dann mal NOD32 installiert und nen kompletten system check gemacht (dauert das eigentlich immer so urlange?), da hab ich sogar nich die log von, der wurde gefunden: C:\WINDOWS\system32\install.exe - Win32/Rustock.NAU Trojaner - gelöscht Da war ich erstmal happy...aber nach dem nächsten reboot kam das böse erwachen...es kamen einige fehlermeldungen, dass svchost.exe beendet werden muss, sonst sah man eigentlich nix...aber ich fand er kam etwas schwer aus den socken und diese eieruhr...das sagt mir netstat nach jedem reboot: TCP keiner:epmap keiner:0 ABHÖREN TCP keiner:microsoft-ds keiner:0 ABHÖREN TCP keiner:netbios-ssn keiner:0 ABHÖREN TCP keiner:1038 smtpin2.net-temps.com:smtp WARTEND TCP keiner:1041 ms59a.hinet.net:smtp WARTEND TCP keiner:1045 mxs.pchome.com.tw:smtp WARTEND TCP keiner:1084 nwmailserver.hsbc.co.uk:smtp SCHLIESSEND TCP keiner:1130 smtp.novotech.ca:smtp SCHLIESSEND TCP keiner:1132 relayfour.serpro.gov.br:smtp WARTEND TCP keiner:1136 relay04.hk.linkage.net:smtp WARTEND TCP keiner:1137 mx6.daemonmail.net:smtp WARTEND TCP keiner:1139 relay.dsi.net:smtp WARTEND TCP keiner:1140 webpool.strohe.de:smtp SCHLIESSEND TCP keiner:1142 imi1.jpmchase.com:smtp SCHLIESSEND TCP keiner:1147 mail.charter.net:smtp WARTEND TCP keiner:1148 mx2.optonline.net:smtp WARTEND TCP keiner:1149 *.s8a2.psmtp.com:smtp SCHLIESSEND TCP keiner:1153 mx.ya.com:smtp SCHLIESSEND TCP keiner:1156 mail.fte.de:smtp WARTEND TCP keiner:1158 mail03.firstdatacorp.com:smtp SCHLIESSEND TCP keiner:1160 mx002.espn.com:smtp WARTEND TCP keiner:1161 cpe-70-112-225-195.austin.res.rr.com:smtp WARTEND TCP keiner:1162 mail4.inddc.com:smtp WARTEND TCP keiner:1163 66.236.7.70.ptr.us.xo.net:smtp WARTEND TCP keiner:1166 svr2642.scmp.com:smtp WARTEND TCP keiner:1167 crmediahost.com:smtp WARTEND TCP keiner:1170 wddx002.wddx.net:smtp SCHLIESSEND TCP keiner:1178 62.37.236.140:smtp SCHLIESSEND TCP keiner:1184 mgate.chello.at:smtp SCHLIESSEND TCP keiner:1185 hera.omc.net:smtp SCHLIESSEND TCP keiner:1187 antispam3.lst.se:smtp WARTEND TCP keiner:1193 mail.global.frontbridge.com:smtp WARTEND TCP keiner:1198 smtp.iol.pt:smtp SCHLIESSEND TCP keiner:1206 store1-1.netvisao.pt:smtp WARTEND TCP keiner:1211 bureau23.ns.utoronto.ca:smtp SCHLIESSEND TCP keiner:1215 jands.bayer.com:smtp WARTEND TCP keiner:1219 mta-v1.bt.level3.mail.ukl.yahoo.com:smtp WARTEND UDP keiner:microsoft-ds *:* UDP keiner:isakmp *:* UDP keiner:1025 *:* UDP keiner:1029 *:* UDP keiner:1030 *:* UDP keiner:1031 *:* UDP keiner:1032 *:* UDP keiner:1033 *:* UDP keiner:1034 *:* UDP keiner:1035 *:* UDP keiner:1036 *:* UDP keiner:1037 *:* UDP keiner:1333 *:* UDP keiner:1342 *:* UDP keiner:1343 *:* UDP keiner:1350 *:* UDP keiner:1351 *:* UDP keiner:4500 *:* UDP keiner:1239 *:* UDP keiner:1405 *:* UDP keiner:1406 *:* UDP keiner:1900 *:* UDP keiner:netbios-ns *:* UDP keiner:netbios-dgm *:* UDP keiner:1238 *:* UDP keiner:1900 *:* ich denke, da stimmt was nicht :/ Das is nach jedem reboot so, aber immer nur fürn paar minuten...also, ich will echt nich als spam bot umfunktioniert werden  Der Vollständigkeithalber noch ne HijackThis log (hoffe, das is richtig so, hab das tool noch nie benutzt): Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] Ich hoffe, mir kann hier noch jemand helfen...ich hab echt schon überall gesucht :/ Achja, bin neu hier, Hi =) PS: Ich hab die Dateien in dem Archiv, welches ich gesaugt hab jetzt nochmal mit NOD32 überprüft, da zeigt er mir Folgende infectionen an: Win32/Agent.NFF Trojaner Win32/TrojanDownloader.Small.EBJ Trojaner Hab davon aber nur eine gestartet, weiß jetzt aber nich mehr welche. Geändert von Kr4SSiMiR (09.12.2006 um 16:10 Uhr) |
|
09.12.2006, 16:08
| #2 | |
| Moderator, a.D.   | Ausgehende SMTP Verbindungen, Virus? Trojaner?Zitat:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll Vermutlich: CastleCops rpcc rpcc.dll --> Backdoor; siehe Signatur. Setz die Anleitung schnell um, bevor dein Provider dich abklemmt. Lass es dir eine Lehre sein! Gruß  Yopie |
|
09.12.2006, 16:20
| #3 |
| | Ausgehende SMTP Verbindungen, Virus? Trojaner? Hmyo...dass daraus son spass wird, hab ich mir schon fast gedacht...werden denn nur system dateien infiziert? Also, ich hab hier noch einige Platten Partitionen und Netzwerkfreigeben in denen ich eigentlich nix löschen kann...
__________________Wenns nur das is, sollte es kein Problem sein, System neu aufsetzen war sowiso mal wieder fällig... aber sonst gibts da echt keine möglichkeit? weil heute hab ich da nich mehr so wirklich lust zu :/ Ahso und was isses n nu fürn Trojaner und was macht der? Geändert von Kr4SSiMiR (09.12.2006 um 17:00 Uhr) |
|
11.12.2006, 18:04
| #4 |
| | Ausgehende SMTP Verbindungen, Virus? Trojaner? soo, system neu aufgesetzt, dabei direkt ma nen neuen style angetestet...war ma ne sau arbeit den dsl speed manager mitm hex editor daran anzupassen... ^^ naja, thx für die hilfe |
|
| Themen zu Ausgehende SMTP Verbindungen, Virus? Trojaner? |
| antivirus, black, bot, datei, dateien, dsl, eieruhr, exe, file, folge, hijack, hijackthis, hijackthis log, install.exe, kaputt, links, log, microsoft-ds, netbios-ns, netstat, smtp, svchost.exe, system, system check, system32, systemcheck, trojaner, trojaner?, virus, virus gefunden, virus?, warnung, windows, zufällig |
Linear-Darstellung
