also ich will hier mal ausführlich mein problem schildern:
seit mehreren tagen quilt mein t-online postfach über von mails.
es sind ca. pro tag zwischen 1500 und 2000.
es sind keine smamails im eigentlichen sinne, sonder replies auf spam mails.
das heisst: mailer-deamon oder sontige dienste teilen mir mit, das die accounts an die ich angeblich geschrieben habe nicht erreichbar sind.
daraus folgere ich, das jemand ANDERS über meinen account spammails verschickt, und ich die antworten drauf erhalte.
also gut dachte ich, ändere alle passwörter und der spuck müsste zu ende sein.
leider half das nicht.
es sind zwar seit der änderung weniger mails geowrden, aber weiterhin pro stunde immernoch so 20 - 30 stück.
dannach spekulierte ich auf einen virus oder trojaner.
anti-trojan, neuster mcAfee und das sober remove tool brachten aber kein ergebnis.
angeblich ist mein rechenr viren und trojaner und wurm FREI!
heute eerhilet ich dann eine mail, die vielen bekannt sein dürfte, und die auf einen sober hindeutet:

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner services.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.

BITTE beachtet, das da steht DATEI SYSTEM.EXE.
ich habe jetzt echt alles versucht, aber ich weiss nicht mehr weiter.
hat irgendjemand noch einen tipp oder eine idee für mich...???

ich danke euch allen im voraus...
gruss
theROLLE

Das ändern der Passwörter wird dir nicht viel nützen, wenn du Spyware auf deinen PC hast.

Lad dir doch mal Spybot und mache einen Scan: http://www.chip.de/downloads/c_downloads_8833199.html
Sprache kannst du auf Deutsch umstellen.
Vor dem Scan bitte nochmal Spybot updaten.

habe jetzt mit dem von ecuh empfohlenen online scan von bitdefender folgendes gefunden


C:\WINDOWS\memore.exe=>(FSG 1.33) infected: Trojan.Killav.BF
C:\WINDOWS\memore.exe=>(FSG 1.33) unable to disinfect
C:\WINDOWS\system32\x.exe=>(FSG 1.33) infected: Trojan.Killav.BF
C:\WINDOWS\system32\x.exe=>(FSG 1.33) unable to disinfect

werden jetzt probieren, das zeug los zu werden.
aber diesen spybot hau ich mir trotzdem mal drauf....ist der besser als ad-aware ???

zur weiteren info an euch hier mal mein log von HighJackThis


ogfile of HijackThis v1.97.7
Scan saved at 11:43:05, on 27.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\ICQ\ICQSRP.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\theROLLE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ROLGANG DE BUUR
O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF389544-EA6A-4D53-B48D-7CF6958D85A5}: NameServer = 62.225.252.244 194.25.2.129


bitte probiert mir zu helfen, ich bin mit meinem latein schon lange am ende...

Hier steht, wie man das Ding manuell entfernt:

http://securityresponse.symantec.com....killav.c.html

Andreas

Außerdem solltest du zukünftig über ein gescheites Anti-Viren-Programm nachdenken.

Moin, ich habe ebenfalls eine solche Mail bekommen. Allerdings habe ich Norton Internet Security drauf.

Laut NIS wurde ein Tronjaner entfernt, aber im Taskmanager ist die in der Mail benannte SERVICE.EXE immer noch vorhaben.

Ein Viren Scan mit:
NAV
ANIVIR

Liefen dann alle ohne Ergebnisse ab... Kommen wir jetzt zur entscheidenen Frage, habe ich einen Trojaner drauf oder nicht? :confused:

Ich würde sagen "nein", sofern du den Mailanhang nicht ausgeführt hast.

Andreas

Konnte ich garnicht, hatte NIS laut Meldung sofort gelöscht.

Moin theROLLE,

ich geh mal auf zwei Fragen von Dir ein, die noch nicht beantwortet wurden.

</font><blockquote>Zitat:</font><hr />...daraus folgere ich, das jemand ANDERS über meinen account spammails verschickt, und ich die antworten drauf erhalte...</font>[/QUOTE]Für mich stellt sich das folgendermaßen dar:
Irgendein Rechner in den unendlichen Weiten des Internets ist mit einem Virus/Wurm infiziert, der eine eigene Mail-Routine mit sich bringt und nicht nur die Empfänger-Adresse sondern auch die scheinbare Absenderadresse aus Adressbüchern, temporär gespeicherten Internetseiten (Cache), ... ausliest. Und auf diesem Rechner befindet sich imho unglücklicherweise auch Deine T-online-Adresse.

Was jetzt passiert ist folgendes:
Dieser infizierte Rechner 'ballert' Virus/Wurm-Mails raus an alles, was wie eine Mailadresse aussieht und das ganze solange wie der Rechner online ist, bzw. der Rechner gesäubert worden ist. Da natürlich nicht alles, was ein '@' in der Zeichenfolge hat eine gültige Mailadresse ist, bzw. einfach schon veraltet und somit unbekannt 'unknown' ist, bekommt der vermeindliche Absender (in diesem Fall Du) eine automatische Mail, das die ursprüngliche Mail (also die infizierte) nicht zustellbar ist.
Je mehr ungültige Mailadressen auf dem infizierten Rechner sind, umso mehr 'Unzustellbarkeitsmeldungen' gibt es logischerweise auch. Wenn Du jetzt zu den 'Pechvögeln' gehören solltest, bei denen die Mailadresse auf mehreren infizierten Rechnern vorhanden ist, vervielfachen sich natürlich auch die o.g. Rückläufer.

Hier kannst Du leider Deine Passworte so oft ändern, wie Du willst - ohne den geringsten Erfolg. Solange es Deine Mailadresse gibt, solange bekommst Du leider auch die Rückläufer in Dein Postfach. Du kannst natürlich versuchen, diese Mails über einen Spammfilter herauszufiltern, bzw. direkt auf dem Server zu löschen, aber den Eingang dieser Mails kannst Du nicht verhindern.

Ich kenne ja nicht Deine 'gänige Praxis', aber ich empfehle Dir, für evtl. Einträge in Gästebücher, Foren, Newsletterverteiler nicht die Hauptmailadresse zu nehmen, sondern Dir hierfür extra eine Adresse zuzulegen (z.B. gmx, WEBde, freenet, ...). Wenn dann mal wieder änliches passiert, kannst Du es sicherlich leichter verschmerzen, so eine Adresse zu löschen.

****

</font><blockquote>Zitat:</font><hr /> aber diesen spybot hau ich mir trotzdem mal drauf....ist der besser als ad-aware ??? </font>[/QUOTE]Ich würde mich nicht festlegen, welches der beiden Tools besser ist. Manche Sachen erkennt das eine nicht, dafür aber das andere und umgekehrt. Ich habe schon seit einiger Zeit beide Tools auf dem Rechner und sie sind sich bisher nie in die Quere gekommen.

tschööö, DerBilk

danke an euch alle.
ich scheine die sache weitstgehend in den griff bekommen zu haben.
das letzte bestehende problem sind die mails,
und die tatsache, dass
der McAfee immer anzeigt, er haette einen virus endteckt und ich solle einen scan machen.
mache ich dann einen scan, bleibt dieser ergebnislos....

</font><blockquote>Zitat:</font><hr />Original erstellt von *Christian*:
Außerdem solltest du zukünftig über ein gescheites Anti-Viren-Programm nachdenken. </font>[/QUOTE]welches denn ???

</font><blockquote>Zitat:</font><hr />welches denn ??? </font>[/QUOTE]Prinzipiell eines, dass mit der KAV Engine arbeitet. Wobei ich persönlich KAV selbst empfehlen würde, da die einfach am schnellsten Updates an den Mann/Frau bringen.
Kaspersky

Matane
Ryuu


[edit]
Oops Nachtrag: Habe es gerade erst in deinem Posting gelesen. McAfee ist bis auf die Signaturqualität eine ebenfalls gute AV-Lösung. (Was Erkennung anbelangt.)
Meine Empfehlung bleibt aber trotzdem. ;)

[ 28. Dezember 2003, 18:31: Beitrag editiert von: Ryuu ]

Hallo theRolle!
Für mich sieht das ganze nach einer ziemlich perfiden Sache aus.
Ich denke, TheBilk hat sicher recht, wenn er sagt, daß das keine richtigen Viren oder Trojaner sind, die da auf deinem Rechner wüten.
Dafür spricht allein die Anzahl der Rückläufer, die du pro Stunde bekommst.
T-Online hat nämlich die Anzahl der Versand-E-Mails auf 100 pro Tag begrenzt!
Wenn du also 2000 pro Tag zurück erhältst, dann muß jemand auch weit über 2000 pro Tag versenden.

Dazu braucht er sich aber nicht in deinem T-Online-Account einzuloggen. Es genügt ein ganz einfaches Skript, daß es ermöglicht, eine beliebige (gültige) Mailadresse einzusetzen.
Schau mal hier unter www.anomail.net und schick mal spaßeshalber an deine eigene Mailaddy eine Mail mit der Absenderadresse: schroeder@bundesregierung.de.

Du erhältst diese Mail tatsächlich, obwohl sie nie von einem Rechner der Bundesregierung versendet wurde.
Genau das macht jemand mit deiner Mailadresse im großen Stil. Und wenn er den Empfänger nicht erreicht, dann kriegst DU die Rückläufer.

Der einzige wirksame Schutz, der möglich wäre, ist eine zentrale Datenbank ALLER Mailanbieter, die abgleicht, ob eine versandte Mail auch tatsächlich von den Servern des jeweiligen Mailanbieters kommt.
Bsp.: GMX prüft bei einer ankommenden Mail, ob diese die IP 172.x.x.x hat und somit wirklich von AOL ist; falls nicht, kommt sie von einem Anonymizer und wird abgelehnt. Leider steht eine solche Realisierung noch in den Sternen und wird wahrscheinlich nicht zu machen sein, denn dazu gibt es einfach zu viele Mailanbieter bzw. Versandmöglichkeiten.

Was allerdings in deinem Fall auch noch sein könnte, ist eine neue perfide Masche mit der Dir zugesandten Mail:

</font><blockquote>Zitat:</font><hr />
Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte ich deinen rechner sehen und einsteigen. deine mail adresse hab ich auch auf deinem pc gefunden.</font>[/QUOTE]Die Datei system.exe sollte eigentlich kein Virus sein, oder? Hier sollten sich besser Experten zu äußern.
Wahrscheinlich will dieser W....., der Dir diese Mail geschickt hat, daß Du diese Datei löschst und dann dein Rechner nicht mehr funktioniert.
Ganz mies wird es, wenn Dir dann auch noch ein Link angeboten wird, wo Du "Patches und Virenschutz" dagegen downladen kannst - da kannste sicher sein, daß das dann ein echter Wurm ist.

Es kommt mir nämlich ziemlich spanisch vor, daß Rado ebenfalls sagt, er hätte eine solche Mail bekommen. Also scheint es doch ein Massenversand zu sein.

Als Lösung kann ich nur Updates von Anti-Virenprogrammen vorschlagen, die alles unregelmäßige auf Deinem Rechner (Skripte, etc.) stoppen sollten. Gegen die Rückläufer kann man praktisch nichts machen, außer die Mailadresse ändern.

Alle diese Mails mit ähnlichem Inhalt und irgendwelchen Programmen *.exe,*.com, usw. im Anhang haben nur ein Ziel und zwar selber einen Virus damit ins System zu schleusen!

Allein die Phrasen:
</font><blockquote>Zitat:</font><hr />
Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.</font>[/QUOTE]Welcher Depp gibt denn zu, in einen anderen Rechner eingestiegen zu sein?

</font><blockquote>Zitat:</font><hr />
bei dir ist der trojaner services.exe am wüten. deshalb kann jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.du wirst aber feststellen, das er sich nicht beenden lässt.
</font>[/QUOTE]Sicher, weil services.exe i.d.R. kein Trojaner ist sondern ein Systemdienst über den weitere Dienste gestartet werden.

</font><blockquote>Zitat:</font><hr />
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!
</font>[/QUOTE]LOL, wenn dieser Depp in dein System einsteigen konnten, sollte er eigentlich wissen welches Betriebssystem du fährst!

Und Windows98/ME hat diesen Startdienst services.exe gar nicht, denn dort werden auf herkömmliche Weise die nötigen Systemdateien über die Registry bzw. ini Dateien gestartet.

Hier wird einfach versucht mit der Unwissenheit und Unsicherheit der 'normalen' PC User, Schadsoftware zu verbreiten.