Trojaner-Board - Avast Warnung "Zuviele mails mit gleichem ..."

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Avast Warnung "Zuviele mails mit gleichem ..." (https://www.trojaner-board.de/36281-avast-warnung-zuviele-mails-gleichem.html)

Avast Warnung "Zuviele mails mit gleichem ..."

Hallo,
ich erhalte von Avast in sehr kurzen Zeitabständen diese andauernde Meldung von zu vielen Mails mit gleichem Irgendwas, die mein Pc verschicken möchte. Mein Avast Virenscanner findet aber nichts und auch Spybot konnte bisher nichts finden. Meinen Pc habe ich ansonsten noch mit ZoneAlarm versucht zu schützen und bin nun recht ratlos, da auch die logfile-Auswertung nichts brachte. Wer oder was hat meinen Pc befallen und wie werde ich dies wieder los? Daanke schon mal für die Reaktionen auf mein Problem. Mein Hijack logfile noch zur Einsicht:
Logfile of HijackThis v1.99.1
Scan saved at 09:22:26, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\Antivir\Avast4\ashDisp.exe
C:\Programme\Antivir\Avast4\aswUpdSv.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Antivir\Avast4\ashServ.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Antivir\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Antivir\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\S. Jung\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Antivir\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVirPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E718B7B-FD48-4679-ADD0-2C4A00088F2F}: NameServer = 192.168.1.1
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Antivir\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Antivir\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Antivir\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Antivir\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe (file missing)

Morgen,

Dein LogFile ist unauffällig.
Ich finde es nur seltsam, warum der
Benutzerzugriffsprozess mit einem

Zitat:

C:\WINDOWS\lsass.exe (file missing)

versehen ist.
Überprüfe die Datei doch mal bitte bei Virustotal (siehe sig)
und poste das komplette Ergebnis.

Desweiteren mach folgendes:

Arbeiten mit MWAV (eScan):
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:
* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Schädlinge im Ordner der Systemwiederherstellung:
* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

mfg Cleriker

Hai,
besten Dank für die Antwort. Zu den "file missing" Einträgen: Ich glaube die beiden Dateien C:\WINDOWS\devldr.exe und C:\WINDOWS\lsass.exe mal gelöscht zu haben. Das ist aber sehr wage, denn diese Meldungen stehen schon ewig im logfile. Sie lassen sich aber auch nicht entfernen. Ich hab sogar schon nach entsprechenden Einträgen in der Registry gesucht - vergebens.
Ein ähnliches bzw. das gleiche Problem wird hier übrigens unter "Trojaner sendet Emails, s. Hijack Log" beschrieben. Die dabei erwähnten Einträge in der Registry sind bei mir unauffindbar wie auch die angeblich vom Trojaner erzeugten Dateien. Das bedeutet nun also erst einmal wieder Ratlosigkeit an dieser Stelle. Den weiteren Hinweisen werde ich noch nachgehen. Besten Dank nochmals. Ciao

Hallo

Zitat:

Zu den "file missing" Einträgen: Ich glaube die beiden Dateien C:\WINDOWS\devldr.exe und C:\WINDOWS\lsass.exe mal gelöscht zu haben. Das ist aber sehr wage, denn diese Meldungen stehen schon ewig im logfile.

ich glaub nicht, dass du sie hast löschen können zumindest nicht ihre eventuellen Auswirkungen;) .

Zitat:

Die dabei erwähnten Einträge in der Registry sind bei mir unauffindbar wie auch die angeblich vom Trojaner erzeugten Dateien.

es soll Schädlinge geben die können sich und ihre aktivitäten verschleiern oder gar verstecken.

Ich rate dir, nehme deinen Rechner vom Netz und setze ihn neu auf, folge dazu dieser Anleitung zum neu aufsetzen und anschließenden Absicherung.
Ich rate dir dies nicht, weil mir keine Lösung einfallen würde aber bei dir ist/war u.A. dieser Freund aktiv --> W32/Prex-J ist ein Backdoortrojaner
(evtl. ist/war bei dir auch noch --> C:\WINDOWS\lsass.exe infected by "Backdoor.Win32.SdBot.xd)

MFG

Hai, Danke für die schockierende Nachricht. Gibt es denn keine Chance? Ich hab jetzt die beiden Scanner (eScan und Blacklight) durch den Rechner gejagt. Blacklight fand nix und eScan habe ich nach über 2 Stunden abgebrochen (mit meiner Bootplatte war er lange durch und fand schon ewig nichts mehr). Dank dem eScan bin ich nun um folgende Informationen reicher:

C:\WINDOWS\SYSTEM32\WINLOGON.EXE infiziert von "Trojan.Win32.Patched.g" Virus.
C:\WINDOWS\system32\wsys.dll infiziert von "Trojan.Win32.Agent.ady" Virus.
C:\WINDOWS\TEMP\wuauclt.exe//PE_Patch.EPProt infiziert von "Trojan-Downloader.Win32.Small.ego" Virus.
Object "rootkit.win32.agent.p Trojan-Downloader" in Dateisystem gefunden!
Object "ezula Spyware/Adware" in Dateisystem gefunden!
Object "spylax Corrupted Adware/Spyware" in Dateisystem gefunden!
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden!

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf 'ne Menge ungültige Objekte wie auch die folgenden:
"HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders"
"HKLM\Software\Microsoft\Shared Tools\DAO"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts"
"HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache"

C:\WINDOWS\system32\reg.sys infiziert von "Trojan.Win32.Agent.ady" Virus.
C:\WINDOWS\system32\wsys.dll infiziert von "Trojan.Win32.Agent.ady" Virus.
C:\WINDOWS\system32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus.
C:\WINDOWS\system32\winlogon.exe infiziert von "Trojan.Win32.Patched.g" Virus.
C:\WINDOWS\system32\reg.sys infiziert von "Trojan.Win32.Agent.ady" Virus.
C:\WINDOWS\system32\wsys.dll infiziert von "Trojan.Win32.Agent.ady" Virus.
C:\WINDOWS\system32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus.
C:\WINDOWS\system32\winlogon.exe infiziert von "Trojan.Win32.Patched.g" Virus.
C:\WINDOWS\Temp\cel90xbe.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.dp" Virus.
C:\WINDOWS\Temp\wuauclt.exe//PE_Patch.EPProt infiziert von "Trojan-Downloader.Win32.Small.ego" Virus.

Nun, besteht vielleicht doch noch Hoffnung? Ich danke für weitere Hinweise und Ratschläge.

Ach ja, die im /TEMP Verzeichnis befallenen Dateien sind nun umbenannt zu Textdateien und werden baldigst gelöscht.

Ähm...

Zitat:

Ich rate dir, nehme deinen Rechner vom Netz und setze ihn neu auf, folge dazu dieser Anleitung zum neu aufsetzen und anschließenden Absicherung.
Ich rate dir dies nicht, weil mir keine Lösung einfallen würde aber bei dir ist/war u.A. dieser Freund aktiv --> W32/Prex-J ist ein Backdoortrojaner
(evtl. ist/war bei dir auch noch --> C:\WINDOWS\lsass.exe infected by "Backdoor.Win32.SdBot.xd)

Verschwende die Zeit bitte nicht mit dem Scannen. Nochdigger
hat deine Behandlung beschleunigt. Nutze die Zeit für das
NeuAufsetzen und vergesse das Ändern der Passwörter nicht,
bevor du wieder Online gehst.

mfg Cleriker

Nochdigger hat meine Behandlung beschleunigt??? erklär mal bitte ...

Ich habe es nicht sofort gesehen, aber du hast
offensichtlich mindestenz einen Backdoortrojaner
auf deinem System. Das heißt, wir können nicht mehr gewährleisten, dass dein System sicher wird. Auch
ein Scanner oder Cleaner bietet keine Gewährleistung mehr. Es besteht sogar die Möglichkeit, dass deine Passwörter geloggt wurden. Deshalb Passwörter ändern
nach dem Neu aufsetzen.

mfg Cleriker