![]() |
Avast Warnung "Zuviele mails mit gleichem ..." Hallo, ich erhalte von Avast in sehr kurzen Zeitabständen diese andauernde Meldung von zu vielen Mails mit gleichem Irgendwas, die mein Pc verschicken möchte. Mein Avast Virenscanner findet aber nichts und auch Spybot konnte bisher nichts finden. Meinen Pc habe ich ansonsten noch mit ZoneAlarm versucht zu schützen und bin nun recht ratlos, da auch die logfile-Auswertung nichts brachte. Wer oder was hat meinen Pc befallen und wie werde ich dies wieder los? Daanke schon mal für die Reaktionen auf mein Problem. Mein Hijack logfile noch zur Einsicht: Logfile of HijackThis v1.99.1 Scan saved at 09:22:26, on 14.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NILaunch.exe C:\Programme\CloneCD\CloneCDTray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\Ahead\InCD\InCD.exe C:\PROGRA~1\Antivir\Avast4\ashDisp.exe C:\Programme\Antivir\Avast4\aswUpdSv.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\Antivir\Avast4\ashServ.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Antivir\Avast4\ashMaiSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Antivir\Avast4\ashWebSv.exe C:\Dokumente und Einstellungen\S. Jung\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Antivir\Avast4\ashDisp.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVirPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6E718B7B-FD48-4679-ADD0-2C4A00088F2F}: NameServer = 192.168.1.1 O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Antivir\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Antivir\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Antivir\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Antivir\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe (file missing) |
Morgen, Dein LogFile ist unauffällig. Ich finde es nur seltsam, warum der Benutzerzugriffsprozess mit einem Zitat:
Überprüfe die Datei doch mal bitte bei Virustotal (siehe sig) und poste das komplette Ergebnis. Desweiteren mach folgendes: Arbeiten mit MWAV (eScan): * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) mfg Cleriker |
Hai, besten Dank für die Antwort. Zu den "file missing" Einträgen: Ich glaube die beiden Dateien C:\WINDOWS\devldr.exe und C:\WINDOWS\lsass.exe mal gelöscht zu haben. Das ist aber sehr wage, denn diese Meldungen stehen schon ewig im logfile. Sie lassen sich aber auch nicht entfernen. Ich hab sogar schon nach entsprechenden Einträgen in der Registry gesucht - vergebens. Ein ähnliches bzw. das gleiche Problem wird hier übrigens unter "Trojaner sendet Emails, s. Hijack Log" beschrieben. Die dabei erwähnten Einträge in der Registry sind bei mir unauffindbar wie auch die angeblich vom Trojaner erzeugten Dateien. Das bedeutet nun also erst einmal wieder Ratlosigkeit an dieser Stelle. Den weiteren Hinweisen werde ich noch nachgehen. Besten Dank nochmals. Ciao |
Hallo Zitat:
Zitat:
Ich rate dir, nehme deinen Rechner vom Netz und setze ihn neu auf, folge dazu dieser Anleitung zum neu aufsetzen und anschließenden Absicherung. Ich rate dir dies nicht, weil mir keine Lösung einfallen würde aber bei dir ist/war u.A. dieser Freund aktiv --> W32/Prex-J ist ein Backdoortrojaner (evtl. ist/war bei dir auch noch --> C:\WINDOWS\lsass.exe infected by "Backdoor.Win32.SdBot.xd) MFG |
Hai, Danke für die schockierende Nachricht. Gibt es denn keine Chance? Ich hab jetzt die beiden Scanner (eScan und Blacklight) durch den Rechner gejagt. Blacklight fand nix und eScan habe ich nach über 2 Stunden abgebrochen (mit meiner Bootplatte war er lange durch und fand schon ewig nichts mehr). Dank dem eScan bin ich nun um folgende Informationen reicher: C:\WINDOWS\SYSTEM32\WINLOGON.EXE infiziert von "Trojan.Win32.Patched.g" Virus. C:\WINDOWS\system32\wsys.dll infiziert von "Trojan.Win32.Agent.ady" Virus. C:\WINDOWS\TEMP\wuauclt.exe//PE_Patch.EPProt infiziert von "Trojan-Downloader.Win32.Small.ego" Virus. Object "rootkit.win32.agent.p Trojan-Downloader" in Dateisystem gefunden! Object "ezula Spyware/Adware" in Dateisystem gefunden! Object "spylax Corrupted Adware/Spyware" in Dateisystem gefunden! Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf 'ne Menge ungültige Objekte wie auch die folgenden: "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" "HKLM\Software\Microsoft\Shared Tools\DAO" "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" C:\WINDOWS\system32\reg.sys infiziert von "Trojan.Win32.Agent.ady" Virus. C:\WINDOWS\system32\wsys.dll infiziert von "Trojan.Win32.Agent.ady" Virus. C:\WINDOWS\system32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus. C:\WINDOWS\system32\winlogon.exe infiziert von "Trojan.Win32.Patched.g" Virus. C:\WINDOWS\system32\reg.sys infiziert von "Trojan.Win32.Agent.ady" Virus. C:\WINDOWS\system32\wsys.dll infiziert von "Trojan.Win32.Agent.ady" Virus. C:\WINDOWS\system32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus. C:\WINDOWS\system32\winlogon.exe infiziert von "Trojan.Win32.Patched.g" Virus. C:\WINDOWS\Temp\cel90xbe.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.dp" Virus. C:\WINDOWS\Temp\wuauclt.exe//PE_Patch.EPProt infiziert von "Trojan-Downloader.Win32.Small.ego" Virus. Nun, besteht vielleicht doch noch Hoffnung? Ich danke für weitere Hinweise und Ratschläge. |
Ach ja, die im /TEMP Verzeichnis befallenen Dateien sind nun umbenannt zu Textdateien und werden baldigst gelöscht. |
Ähm... Zitat:
hat deine Behandlung beschleunigt. Nutze die Zeit für das NeuAufsetzen und vergesse das Ändern der Passwörter nicht, bevor du wieder Online gehst. mfg Cleriker |
Nochdigger hat meine Behandlung beschleunigt??? erklär mal bitte ... |
Ich habe es nicht sofort gesehen, aber du hast offensichtlich mindestenz einen Backdoortrojaner auf deinem System. Das heißt, wir können nicht mehr gewährleisten, dass dein System sicher wird. Auch ein Scanner oder Cleaner bietet keine Gewährleistung mehr. Es besteht sogar die Möglichkeit, dass deine Passwörter geloggt wurden. Deshalb Passwörter ändern nach dem Neu aufsetzen. mfg Cleriker |
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board