|
Von meiner KUndenNr. bzw IP Adresse werden Spam Mails verschickt Hi Leute! Hab letzte Woche ein Mail von meinem Provider erhalten wo drinnen steht das von meiner IP Adresse Spam Mails verschickt werden. Nachdem ich den Avast Virenscanner verwende und da ein Mail Scanner mit dabei ist aktivierte ich ihn einmal. Siehe da es werden ca. 50 Mails pro Minute bei mir rausgehauen.... Habe jetzt mit dem Avast alles gescannt und verdächtiges in quarantäne geschoben. jetzt noch mit emisoft anti malware gescannt und verdächtiges in quarantäne geschoben. aber er verschickt immer noch fleissig. sobald ich wieder das modem aktiv schalte sendet er munter weiter. Ich hatte sowas vor Jahren schon mal da hab ich es irgendwie wieder hinbekommen aber jetzt weiss ich nicht mehr wirklich weiter. Hab nämlich keine Lust mir das Internet deswegen abdrehen zu lassen. Als letzte alternative seh ich die Neuinstallation was ja nicht so ungelegen kommen würde allerdings sehr zeitraubend und viell. besteht das Problem ja weiterhin noch dann war alles für die Katz!! Viell. könnt ihr mir ja weiterhelfen mit welchem Prog ich viell. noch drübergehen sollte. Hier mal mein HJT Log lg, master Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:10:39, on 25.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\runservice.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\CTHELPER.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NETGEAR\WG111v2\WG111v2.exe C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.DLL O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {78EB94FB-29AC-4A7B-9117-04C8D5C3BCD9} - (no file) O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM O4 - HKLM\..\Run: [Steganos Mail CleanUp] E:\PROGRA~1\STEGAN~1\SMC.EXE O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Policies\Explorer\Run: [{44FD5EFE-06D5-1031-0308-051031020031}] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm O8 - Extra context menu item: Download &Flash Movies - C:\Programme\Flash2X\Flash Hunter\save.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file) O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU) O9 - Extra 'Tools' menuitem: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe -- End of file - 6870 bytes |
Hallo. Zitat:
Zitat:
Zitat:
Mach mal bitte einen Systemcheck mit Blacklight und escan (siehe Signatur), poste die Logfiles. |
okay werd ich mal machen. blacklight spuckte gar nichts aus. jetzt bin ich grad dabei escan durchlaufen zu lassen. hab grad festgestellt das die Mails immer noch massenweise verschickt werden und ich vom outlook nichts mehr verschicken kann da ich schon "blacklistet" bin!!! :heulen: meld mich dann wenn er fertig gescannt hat nochmal mit dem log!! lg, master |
so mein problem ist jetzt folgendes. Der Scan mit escan läuft ca. 2,5 stunden und dann hängt sich jedesmal mein pc auf. hab es 3 mal versucht aber jetzt lass ich es, warum auch immer. er hat was ich noch gesehen habe einiges gefunden allerdings hätte ich mit escan nichts daran ändern können da ja keine quarantäne oder lösch funktion integriert ist. hab jetzt eine andere firewall auf den pc geschmissen ob jetzt immer noch mails verschickt werden weiss ich nicht, beim avast mail scanner zeigt er keine prüfungen mehr an, bei der firewall ist allerdings das symbol aufgezeigt und die ports die anscheinend verwendet werden. Das Problem ist leider noch nicht behoben und ich fürchte das es nur ein neu aufsetzen des systems nicht ändern wird. Kann jetzt nur noch mit dem firewall integrierten spyware programm scannen lassen und hoffen das ich da viell. noch was finde. obwohl wenn ich bei der firewall aktiviert habe das keine mails ohne bestätigung raus gehen dürfen, dann sollte das auch nicht passieren, oder irre ich mich da!!? hab bei den einstellungen alles blockiert was ich nicht benötige. ins inet kann ich und die wichtigen programme können sich updaten. hoffe die mails werden dadurch aufgehalten und es macht mir das ganze ein bisschen leichter, denn immer ins WZ laufen um modem zu aktivieren oder deaktivieren ist ziemlich lästig... viell. könnt ihr mir ja noch tipps geben was ich noch versuchen kann denn wenn nicht mal neuaufsetzen was bringt ist das ein sehr leidiges thema... thx lg, master |
Hallo kennst du dieses Programm C:\WINDOWS\runservice.exe wenn nicht lass diese Datei(en) hier Virustotal hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. lade dir auch mal Silentrunners runter und lasse es dein System scannen, anschließend poste das Log. MFG |
HIer mal das Logfile von Virustotal, aber mit dem Silentrunners kenn ich mich ned ganz aus! is das ne virendatenbank für mein virenprogramm?? Oder seh ich mich nur nicht ganz durch um die uhrzeit?? Rising hat was entdeckt der Rest nicht!!! Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.28.0 2007.08.27 - AntiVir 7.4.1.63 2007.08.27 - Authentium 4.93.8 2007.08.26 - Avast 4.7.1029.0 2007.08.27 - AVG 7.5.0.484 2007.08.27 - BitDefender 7.2 2007.08.28 - CAT-QuickHeal 9.00 2007.08.25 - ClamAV 0.91 2007.08.28 - DrWeb 4.33 2007.08.27 - eSafe 7.0.15.0 2007.08.26 - eTrust-Vet 31.1.5088 2007.08.27 - Ewido 4.0 2007.08.27 - FileAdvisor 1 2007.08.28 - Fortinet 2.91.0.0 2007.08.27 - F-Prot 4.3.2.48 2007.08.26 - F-Secure 6.70.13260.0 2007.08.28 - Ikarus T3.1.1.12 2007.08.28 - Kaspersky 4.0.2.24 2007.08.28 - McAfee 5106 2007.08.27 - Microsoft 1.2803 2007.08.28 - NOD32v2 2487 2007.08.28 - Norman 5.80.02 2007.08.27 - Panda 9.0.0.4 2007.08.28 - Prevx1 V2 2007.08.28 - Rising 19.38.10.00 2007.08.28 Trojan.Mmfs.Runservice Sophos 4.21.0 2007.08.28 - Sunbelt 2.2.907.0 2007.08.25 - Symantec 10 2007.08.28 - TheHacker 6.1.9.173 2007.08.27 - VBA32 3.12.2.3 2007.08.27 - VirusBuster 4.3.26:9 2007.08.27 - Webwasher-Gateway 6.0.1 2007.08.27 - weitere Informationen File size: 2560 bytes MD5: 29fab5363138f6e322f4cd780ed9d337 SHA1: a8b494d736c665b463b71c44ca99f248fd938d6d |
Die runservices.exe schein o.k. zu sein... Silentrunners ist wichtig und du könntest die runservices.exe vorsichtshalber mal hier einschicken... PS: Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Gruß Undoreal |
okay danke werd ich mal machen!! hat das nichts zu bedeuten wenn er da was gefunden hat?? Rising 19.38.10.00 2007.08.28 Trojan.Mmfs.Runservice lg, master PS: hab das grad mit silentrunners versucht allerdings schreibt er mir diese meldung bei doppelklick auf die vbs: Der ZUgriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen. Ich bin der Admin und nun?? lg, master |
Ohne den Beitrag in Gänze gelesen zu haben: Zum script host Start-Ausführen: (reg add "hklm\Software\Microsoft\Windows script host\settings" /v enabled /t reg_dword /d 1 /f) eingeben, ohne Klammer!, aber mit Quotes ""! Gruß, hoffe es hilft. Nebenbei: Meist stellen XP-Antispy oder andere "tools" so einen Blödsinn an. |
Windows akzeptiert auf manchen Rechnern VBS-Skripte nur, wenn man sie erlaubt. Man loggt sich als Adminstrator (Windows XP und 2000) ein, geht auf → Systemsteuerung → Ordneroptionen → Zuordnungsliste zeigen lassen, mit was Dateien geöffnet werden sollen, darunter gibt es auch → VBS. Klicke im unteren Teil des Fensters "Details über die Erweiterung VBS" auf die Schaltfläche "Ändern". Weise die Dateiendung dem "Microsoft Windows Based Script Host" zu, damit sie wieder ausgeführt werden können. Edit: Ups, Ordell war schneller :) |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board