Hi Leute!

Hab letzte Woche ein Mail von meinem Provider erhalten wo drinnen steht das von meiner IP Adresse Spam Mails verschickt werden.

Nachdem ich den Avast Virenscanner verwende und da ein Mail Scanner mit dabei ist aktivierte ich ihn einmal. Siehe da es werden ca. 50 Mails pro Minute bei mir rausgehauen....

Habe jetzt mit dem Avast alles gescannt und verdächtiges in quarantäne geschoben. jetzt noch mit emisoft anti malware gescannt und verdächtiges in quarantäne geschoben. aber er verschickt immer noch fleissig. sobald ich wieder das modem aktiv schalte sendet er munter weiter.

Ich hatte sowas vor Jahren schon mal da hab ich es irgendwie wieder hinbekommen aber jetzt weiss ich nicht mehr wirklich weiter. Hab nämlich keine Lust mir das Internet deswegen abdrehen zu lassen.

Als letzte alternative seh ich die Neuinstallation was ja nicht so ungelegen kommen würde allerdings sehr zeitraubend und viell. besteht das Problem ja weiterhin noch dann war alles für die Katz!!

Viell. könnt ihr mir ja weiterhelfen mit welchem Prog ich viell. noch drübergehen sollte.


Hier mal mein HJT Log

lg, master


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:39, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {78EB94FB-29AC-4A7B-9117-04C8D5C3BCD9} - (no file)
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Steganos Mail CleanUp] E:\PROGRA~1\STEGAN~1\SMC.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [{44FD5EFE-06D5-1031-0308-051031020031}]
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Download &Flash Movies - C:\Programme\Flash2X\Flash Hunter\save.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU)
O9 - Extra 'Tools' menuitem: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe

--
End of file - 6870 bytes

Hallo.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"

Merkwürdig, was hat OE da als R1-Eintrag zu suchen?

Zitat:

O2 - BHO: (no name) - {78EB94FB-29AC-4A7B-9117-04C8D5C3BCD9} - (no file)
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)

Verdächtige und auf alle Fälle unnötige Einträge (wegen file missing). Kannste fixen.

Zitat:

O4 - HKCU\..\Policies\Explorer\Run: [{44FD5EFE-06D5-1031-0308-051031020031}]

Sieht auch sehr verdächtig aus!

Mach mal bitte einen Systemcheck mit Blacklight und escan (siehe Signatur), poste die Logfiles.

okay werd ich mal machen.

blacklight spuckte gar nichts aus.

jetzt bin ich grad dabei escan durchlaufen zu lassen.


hab grad festgestellt das die Mails immer noch massenweise verschickt werden und ich vom outlook nichts mehr verschicken kann da ich schon "blacklistet" bin!!!

meld mich dann wenn er fertig gescannt hat nochmal mit dem log!!

lg, master

so mein problem ist jetzt folgendes.

Der Scan mit escan läuft ca. 2,5 stunden und dann hängt sich jedesmal mein pc auf.
hab es 3 mal versucht aber jetzt lass ich es, warum auch immer.

er hat was ich noch gesehen habe einiges gefunden allerdings hätte ich mit escan nichts daran ändern können da ja keine quarantäne oder lösch funktion integriert ist.

hab jetzt eine andere firewall auf den pc geschmissen ob jetzt immer noch mails verschickt werden weiss ich nicht, beim avast mail scanner zeigt er keine prüfungen mehr an, bei der firewall ist allerdings das symbol aufgezeigt und die ports die anscheinend verwendet werden.

Das Problem ist leider noch nicht behoben und ich fürchte das es nur ein neu aufsetzen des systems nicht ändern wird.

Kann jetzt nur noch mit dem firewall integrierten spyware programm scannen lassen und hoffen das ich da viell. noch was finde.

obwohl wenn ich bei der firewall aktiviert habe das keine mails ohne bestätigung raus gehen dürfen, dann sollte das auch nicht passieren, oder irre ich mich da!!?

hab bei den einstellungen alles blockiert was ich nicht benötige. ins inet kann ich und die wichtigen programme können sich updaten.
hoffe die mails werden dadurch aufgehalten und es macht mir das ganze ein bisschen leichter, denn immer ins WZ laufen um modem zu aktivieren oder deaktivieren ist ziemlich lästig...

viell. könnt ihr mir ja noch tipps geben was ich noch versuchen kann denn wenn nicht mal Neuaufsetzen was bringt ist das ein sehr leidiges thema...

thx

lg, master

Hallo

kennst du dieses Programm
C:\WINDOWS\runservice.exe
wenn nicht lass diese Datei(en) hier Virustotal
hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

lade dir auch mal Silentrunners runter und lasse es dein System scannen, anschließend poste das Log.

MFG

HIer mal das Logfile von Virustotal, aber mit dem Silentrunners kenn ich mich ned ganz aus! is das ne virendatenbank für mein virenprogramm?? Oder seh ich mich nur nicht ganz durch um die uhrzeit??

Rising hat was entdeckt der Rest nicht!!!


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.28.0 2007.08.27 -
AntiVir 7.4.1.63 2007.08.27 -
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.27 -
AVG 7.5.0.484 2007.08.27 -
BitDefender 7.2 2007.08.28 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.28 -
DrWeb 4.33 2007.08.27 -
eSafe 7.0.15.0 2007.08.26 -
eTrust-Vet 31.1.5088 2007.08.27 -
Ewido 4.0 2007.08.27 -
FileAdvisor 1 2007.08.28 -
Fortinet 2.91.0.0 2007.08.27 -
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13260.0 2007.08.28 -
Ikarus T3.1.1.12 2007.08.28 -
Kaspersky 4.0.2.24 2007.08.28 -
McAfee 5106 2007.08.27 -
Microsoft 1.2803 2007.08.28 -
NOD32v2 2487 2007.08.28 -
Norman 5.80.02 2007.08.27 -
Panda 9.0.0.4 2007.08.28 -
Prevx1 V2 2007.08.28 -
Rising 19.38.10.00 2007.08.28 Trojan.Mmfs.Runservice
Sophos 4.21.0 2007.08.28 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.28 -
TheHacker 6.1.9.173 2007.08.27 -
VBA32 3.12.2.3 2007.08.27 -
VirusBuster 4.3.26:9 2007.08.27 -
Webwasher-Gateway 6.0.1 2007.08.27 -
weitere Informationen
File size: 2560 bytes
MD5: 29fab5363138f6e322f4cd780ed9d337
SHA1: a8b494d736c665b463b71c44ca99f248fd938d6d

Die runservices.exe schein o.k. zu sein...

Silentrunners ist wichtig und du könntest die runservices.exe vorsichtshalber mal hier einschicken...

PS:

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Gruß

Undoreal

okay danke werd ich mal machen!!

hat das nichts zu bedeuten wenn er da was gefunden hat??

Rising 19.38.10.00 2007.08.28 Trojan.Mmfs.Runservice

lg, master

PS: hab das grad mit silentrunners versucht allerdings schreibt er mir diese meldung bei doppelklick auf die vbs:
Der ZUgriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.

Ich bin der Admin und nun??

lg, master

Ohne den Beitrag in Gänze gelesen zu haben: Zum script host

Start-Ausführen: (reg add "hklm\Software\Microsoft\Windows script host\settings" /v enabled /t reg_dword /d 1 /f) eingeben, ohne Klammer!, aber mit Quotes ""! Gruß, hoffe es hilft.

Nebenbei: Meist stellen XP-Antispy oder andere "tools" so einen Blödsinn an.

Windows akzeptiert auf manchen Rechnern VBS-Skripte nur, wenn man sie erlaubt. Man loggt sich als Adminstrator (Windows XP und 2000) ein, geht auf → Systemsteuerung → Ordneroptionen → Zuordnungsliste zeigen lassen, mit was Dateien geöffnet werden sollen, darunter gibt es auch → VBS. Klicke im unteren Teil des Fensters "Details über die Erweiterung VBS" auf die Schaltfläche "Ändern". Weise die Dateiendung dem "Microsoft Windows Based Script Host" zu, damit sie wieder ausgeführt werden können.

Edit: Ups, Ordell war schneller

Zitat:

Zitat von ^Petra

Edit: Ups, Ordell war schneller

Schadet nix , beides ergänzt sich. Gruß