Services.Exe macht Smtp Verbindungen auf und legt alles lahm.

rkrueger75 · 10.12.2007, 14:11

Hallo,

ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen PC verschickt ist das richtig?
Habe dann mal mit Active Ports geguckt welches Programm da mein Internet vollpumpt und habe gesehen, das es die services.exe ist. Die remote Adressen sind dann solche teile: p3presmtp01-v01.prod.phx3.secureserver.net:smtp und noch ca. 200 andere.

Könnt ihr mir sagen, wie ich den Müll wieder weg kriege.

Hier mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:31, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Lexmark 3400 Series\lxcymon.exe
C:\Programme\Lexmark 3400 Series\ezprint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\odbcasvc.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\lxcycoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Bärbel\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Flkbtxqb\clahoffs.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\xxyyyvt.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [lxcymon.exe] "C:\Programme\Lexmark 3400 Series\lxcymon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 3400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [uhcporgx] rundll32.exe "C:\Programme\uhcporgx\gpebuzyd.dll",Init
O4 - HKLM\..\Run: [dgfubwpo] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfubwpo.dll"
O4 - HKLM\..\Run: [wnytabob] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnytabob.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll
O20 - Winlogon Notify: xxyyyvt - C:\WINDOWS\SYSTEM32\xxyyyvt.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6156 bytes

cosinus · 11.12.2007, 16:51

Hi.

Zitat:

ja wie schon gesagt die services.exe macht einen Haufen Smtp Verbindungen auf und lähmt das Internet. Habe davon gehört, dass es möglich ist, dass jemand jetzt Spam über meinen PC verschickt ist das richtig?

Das klingt bei dir schon ziemlich nach Rootkit/Backdoorbefall. Hatte letztens erst hier einen ähnlichen Fall gehabt. Ein paar Schädlingseinträge sind auf jeden Fall schonmal da:

Code:

ATTFilter

O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Flkbtxqb\clahoffs.dll
O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\xxyyyvt.dll
O4 - HKLM\..\Run: [uhcporgx] rundll32.exe "C:\Programme\uhcporgx\gpebuzyd.dll",Init
O4 - HKLM\..\Run: [dgfubwpo] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfubwpo.dll"
O4 - HKLM\..\Run: [wnytabob] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnytabob.dll"
O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll
O20 - Winlogon Notify: xxyyyvt - C:\WINDOWS\SYSTEM32\xxyyyvt.dll

Sehr fraglich, ob sich überhaupt noch eine Bereinigung lohnt. Eher nicht würde ich sagen. Mach erstmal nen Check mit Blacklight und poste das Logfile.

rkrueger75 · 11.12.2007, 19:53

Hallo, danke für deine Antwort. Hab das mit dem Blacklight gemacht. So wie ich das sehe ist das Logfile ziemlich nichtssagend aber du kannst ja mal gucken.

HTML-Code:

12/12/07 19:50:10 [Info]: BlackLight Engine 1.0.67 initialized
12/12/07 19:50:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/12/07 19:50:10 [Note]: 7019 4
12/12/07 19:50:10 [Note]: 7005 0
12/12/07 19:50:12 [Note]: 7006 0
12/12/07 19:50:12 [Note]: 7011 1844
12/12/07 19:50:12 [Note]: 7026 0
12/12/07 19:50:12 [Note]: 7026 0
12/12/07 19:50:13 [Note]: FSRAW library version 1.7.1024
12/12/07 19:51:39 [Note]: 7007 0

Vielen Dank

cosinus · 14.12.2007, 17:25

Na, so schlimm scheints nicht zu sein. Jedenfalls wird kein Rootkit bei dir gefunden.

Führ dann jetzt mal diese Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Services.Exe macht Smtp Verbindungen auf und legt alles lahm.

Log-Analyse und Auswertung: Services.Exe macht Smtp Verbindungen auf und legt alles lahm.