Mein Rechner als Spam Server... und nach Neuinstall immernoch

Falko21 · 07.02.2007, 16:39

Hi,

Wie scho in der Überschrift steht, mein Rechner wurde glaub ich als Spam Server verwendet. Mein neuinstalliertes Norton Antiviren Programm (2007) hat jede Sekunde über ausgehende Emails gemeckert.
Ok dann hab ich hier im Forum gelesen das es nich viel bringt da was zu löschen oder nach dem Backdoor dingens zu suchen (ihr mekrt ich hab keine Ahnung ^^)
Also hab ich meine Win XP CD genommen und die Systempartition formatiert (Fat) und dann neuinstalliert.
Direkt Norton Antivier 2007 draufinstalliert und eingeschaltet.. erst dann ans Netz gehängt.
Dann nur noch Grafiktreiber/Soundtreiber und Office und Acrobat Reader drauf. So und was is gnau 2h später ?
Die Mails werden scho wieder lösgeschickt oO

Wie kann das ein ? Kann sowas auch von ner anderen Partition aus gestartet werden ? Muss ich alle formatieren ?

Bitte sagt mir erstmal woran das liegen könnte. Kann doch nich sein das in dieser einen Sekunde zwischen Netzwerkstecker reinstecken und Aktivierung des Virusprogramms was Bösen reingekommen ist.

Hilfe

Hier mein Log falls es jemand braucht

Logfile of HijackThis v1.99.1
Scan saved at 16:49:26, on 07.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOKUME~1\Falko\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\Falko\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\PROGRA~1\ICQ\ICQLITE.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Falko\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p//www.the-unholy-inquisition.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQ\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQ\ICQLITE.EXE -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

irrlicht · 07.02.2007, 17:22

Hallo,

Zitat:

Muss ich alle formatieren ?

Mit formatieren beginnt man immer eine Neuinstallation.Das was du gemacht hast,vermutlich, nennt man drüberbügeln...
Als "Dankeschön" erhältst du dann kryptische Fehlermeldungen....
Warum "FAT" ?
Deinem Log fehlt der Kopf !
Daraus ist auch nicht ersichtlich ,ob du über mehrere Partitionen verfügst.
Richtig ist die Systempartition zu formatieren.
Wenn du von der eventuell anderen Partition was rüberholst,kann es natürlich sein,das dort der "böse Bube " drinn steckt.
Irrlicht

MightyMarc · 07.02.2007, 17:24

Zitat:

Zitat von Falko21

Also hab ich meine Win XP CD genommen und die Systempartition formatiert (Fat) und dann neuinstalliert.
Direkt Norton Antivier 2007 draufinstalliert und eingeschaltet.. erst dann ans Netz gehängt.
Dann nur noch Grafiktreiber/Soundtreiber und Office und Acrobat Reader drauf. So und was is gnau 2h später ?

Ich vermisse da die beiden Punkte habe alle Windows-Patches eingespielt und habe keine Software aus dubiosen Quellen installiert.

Zitat:

Hier mein Log falsl es jemand braucht

Mit dem vollständigen Log hätte man sogar noch etwas anfangen können...

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Lade die Datei bei virustotal.com hoch, lasse sie prüfen und poste den vollständigen Scanreportsamt Größenangaben hier.

Falko21 · 07.02.2007, 17:27

Zitat:

Zitat von irrlicht

Hallo,
Das was du gemacht hast,vermutlich, nennt man drüberbügeln...
Irrlicht

Header hab ich hinzugefügt.... smss.exe check folgt...

Und warum drüberbügeln ? Hab von der CD gestartet und die C partition gelöscht und formatier (in Fat) Warum FAT .. ka.. mal was anders klicken als immer NTFS.. kenn eh den Unterschied nicht.

Werde aus deiner Antwort nich schlau ob du nun meinst ob ich nu echt alle Partitionen löschen muss oider nicht.. Das ist doch mist.. wr kann scho all seine 500GB+ formatieren. Kanns doch nich sein

undoreal · 07.02.2007, 17:34

Halloele Falko:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

der muss weg. Hier im Forum findest du eine Anleitung zum sicheren Neuaufsetzen. Das wuerde ich in deinem Fall mit allen Partitionen tuen.

Wenn du da kein Bock drauf hast (was den Leuten in deinem Addi-Buch gegenueber allerdings nicht sehr fair waere >) ) dann fixe den oben genannten Eintrag. Am besten mit deaktivierter Systemwiederherstellung und im Abgesicherten Modus. Danach lass mal Lavasoft drueber gucken:

Ad-Aware SE Personal - Lavasoft

Gruss und viel Erfolg

irrlicht · 07.02.2007, 17:40

Hallo,

Zitat:

Warum FAT .. ka.. mal was anders klicken als immer NTFS.. kenn eh den Unterschied nicht.

Machst du das mit deinem Essen beispielsweise genau so ?
Mal essen was die Fliegen essen,ist mal was anderes und den Unterschied schmecke ich eh nicht....?

Zitat:

ob du nun meinst ob ich nu echt alle Partitionen löschen muss oider nicht

Dabei hätte ich geschworen mich deutlich ausgedrückt zu haben.....

Zitat:

Richtig ist die Systempartition zu formatieren

Damit ist bei dir C: gemeint.Die andere kannst du in Ruhe lassen.
Der Punkt ist,wenn du von deiner anderen Partition etwas nach C: rüberholst und das dann verseucht war,stehst du wieder dumm da.
Jetzt verstanden ?
Es dürfte übrigens recht lustig werden ,wenn du C: mit FAT formatiert hast und deine andere Partition NTFS hat.....
Irrlicht

Edit.
@undoreal
Ohne wissen was in der Datei steckt ist dein Tip höchst widersprüchlich,um nicht zu sagen dämlich.....

Falko21 · 07.02.2007, 17:42

Zitat:

Zitat von undoreal

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

der muss weg. Gruss und viel Erfolg

Wieso muss der weg.?

Zitat:

Zitat von irrlicht

Hallo,

Es dürfte übrigens recht lustig werden ,wenn du C: mit FAT formatiert hast und deine andere Partition NTFS hat.....
:

Hmmm meine anderen haben alle FAT.... Also ich nehme dann glaich NTFS wenn ich Windows neu drauf machen... versuche diesmal alles zu beachten

Hier der Scanbericht:

STATUS: FINISHEDComplete scanning result of "smss.exe", received in VirusTotal at 02.07.2007, 17:29:23 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.07.2007 no virus found
Authentium 4.93.8 02.07.2007 no virus found
Avast 4.7.936.0 02.07.2007 no virus found
AVG 386 02.07.2007 no virus found
BitDefender 7.2 02.05.2007 no virus found
CAT-QuickHeal 9.00 02.07.2007 no virus found
ClamAV devel-20060426 02.07.2007 no virus found
DrWeb 4.33 02.07.2007 no virus found
eSafe 7.0.14.0 02.07.2007 no virus found
eTrust-InoculateIT 30.4.3374 02.07.2007 no virus found
eTrust-Vet 30.4.3374 02.07.2007 no virus found
Ewido 4.0 02.06.2007 no virus found
Fortinet 2.85.0.0 02.07.2007 no virus found
F-Prot 4.2.1.29 02.07.2007 no virus found
F-Secure 6.70.13030.0 02.07.2007 no virus found
Ikarus T3.1.0.31 02.07.2007 no virus found
Kaspersky 4.0.2.24 02.07.2007 no virus found
McAfee 4957 02.06.2007 no virus found
Microsoft 1.2101 02.07.2007 no virus found
NOD32v2 2043 02.07.2007 no virus found
Norman 5.80.02 02.07.2007 no virus found
Panda 9.0.0.4 02.07.2007 no virus found
Prevx1 V2 02.07.2007 no virus found
Sophos 4.13.0 02.05.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.07.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 no virus found
UNA 1.83 02.06.2007 no virus found
VBA32 3.11.2 02.07.2007 no virus found
VirusBuster 4.3.19:9 02.07.2007 no virus found

Aditional Information
File size: 50688 bytes
MD5: f529c489bf4a8921dfed80638ecda656
SHA1: bc2b4adc622cfec52b424f3fe5fc48cbc5c270ad

irrlicht · 07.02.2007, 17:45

Hallo,

aufpassen !!
Du hast zwei davon...
Hier :

Zitat:

C:\WINDOWS\System32\smss.exe

und hier :

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Du bist dir absolut sicher die Richtige gescannt zu haben ?
Achte auf die Schreibweise...
Folge dem angegebenen Pfad....
Irrlicht

Falko21 · 07.02.2007, 17:48

Zitat:

Zitat von irrlicht

aufpassen !!
Du hast zwei davon...

Irrlicht

Achherje... hab die in system32 ordner gescannt... die im Systemordner folgt :P

MightyMarc · 07.02.2007, 17:50

Beachte bitte irrlichts Einwand. Sehr wichtig!

Solltest Du wirklich C:\WINDOWS\system\smss.exe gescannt haben und ein negatives Ergebniss bekommen haben, musst Du die Datei an newvirus@kaspersky.com senden, am besten kommentarlos, nur mit der Zeile

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Edith:

Bis ich heute meine Beiträge getippt habe, ist der Thread schon ein paar Seiten weiter....

Falko21 · 07.02.2007, 17:52

Zitat:

Zitat von MightyMarc

Beachte bitte irrlichts Einwand. Sehr wichtig!

Solltest Du wirklich C:\WINDOWS\system\smss.exe gescannt haben und ein negatives Ergebniss bekommen haben, musst Du die Datei an newvirus@kaspersky.com senden, am besten kommentarlos, nur mit der Zeile

Ow man ich seh jetzt schon das da alles rot ist... also total verseucht...
Also ich würde dann gerne die Systemplatte C wieder formatieren... sollt ich dann nochwas vorher beachten oder reicht das (natürlich beachten dass ich nix von anderen platten nach C hole...

Hier der Scan:

STATUS: FINISHEDComplete scanning result of "smss.exe", received in VirusTotal at 02.07.2007, 17:47:55 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.07.2007 TR/Proxy.Horst.Gen
Authentium 4.93.8 02.07.2007 Possibly a new variant of W32/HLLI-MewOrleans-based!Maximus
Avast 4.7.936.0 02.07.2007 no virus found
AVG 386 02.07.2007 Proxy.26.AN
BitDefender 7.2 02.05.2007 DeepScan:Generic.Horst.6393DD9F
CAT-QuickHeal 9.00 02.07.2007 TrojanProxy.Horst.wm
ClamAV devel-20060426 02.07.2007 no virus found
DrWeb 4.33 02.07.2007 Trojan.DownLoader.17600
eSafe 7.0.14.0 02.07.2007 suspicious Trojan/Worm
eTrust-InoculateIT 30.4.3374 02.07.2007 Win32/Boxed.Variant!Trojan
eTrust-Vet 30.4.3374 02.07.2007 Win32/Boxed!generic
Ewido 4.0 02.06.2007 no virus found
Fortinet 2.85.0.0 02.07.2007 no virus found
F-Prot 4.2.1.29 02.07.2007 W32/HLLI-MewOrleans-based!Maximus
F-Secure 6.70.13030.0 02.07.2007 Trojan-Proxy.Win32.Horst.wm
Ikarus T3.1.0.31 02.07.2007 IM-Worm.Win32.Sumom.C
Kaspersky 4.0.2.24 02.07.2007 Trojan-Proxy.Win32.Horst.wm
McAfee 4957 02.06.2007 no virus found
Microsoft 1.2101 02.07.2007 no virus found
NOD32v2 2043 02.07.2007 probably a variant of Win32/Genetik
Norman 5.80.02 02.07.2007 W32/Suspicious_M.gen
Panda 9.0.0.4 02.07.2007 Suspicious file
Prevx1 V2 02.07.2007 no virus found
Sophos 4.13.0 02.05.2007 Mal/Behav-080
Sunbelt 2.2.907.0 02.02.2007 VIPRE.Suspicious
Symantec 10 02.07.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 no virus found
UNA 1.83 02.06.2007 no virus found
VBA32 3.11.2 02.07.2007 suspected of Trojan-Proxy.Horst.86 (paranoid heuristics)
VirusBuster 4.3.19:9 02.07.2007 novirus:Packed/MEW

Aditional Information
File size: 40683 bytes
MD5: 801cafdd21cbeb857d8d2977b2836e14
SHA1: b1b7f13f4a79f3e16ab8d8dfbb28df8517ed3749
packers: MEW
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

undoreal · 08.02.2007, 11:07

Hey.

Also wie schon mal gesagt. Ich wuerde alle Partitionen nach dieser guten Anleitung neuaufsetzen. Oder weisst du zu 99% dass du/oder dein System nichts rueber geholt hast?

http://www.trojaner-board.de/12154-a...sicherung.html

Eine new virus meldung brauchst du nicht zu machen. Waere wie MMarc schon meinte super wichtig gewesen wenn virustotal den Schaedling nicht gefunden haette.

@ irrlicht: ja ich weiss doch;

aber jedesmal wenn man den Scheiss scannt kommt eh immer das Selbe bei raus..
Brauchst mir trotzdem kein daemlich an den Kopf haemmer.

Aber klar du hast Recht!
Erst scannen, dann fixen. Bin vielleicht etwas zu unkompliziert veranlagt.

Gruss Undoreal