Spam-Versand durch services.exe
 

Hallo,

ich habe mir gestern wohl etwas eingefangen:

Gestern beim surfen durchs Internet (mit FF 3.5) kam ich auf eine Seite

VORSICHT! BESSER NICHT KLICKEN!
Auf dieser Seite geht es wohl um deutsche Städtenamen in den USA. Ich klickte auf eine Stadt (ich glaub es war Bamberg, bin mir aber nicht sicher) und öffnete auf dieser Seite einen Link zur Homepage von Bamberg in den USA.

Dann erschlug AntiVir mich mit Virenmeldungen. Welche genau weiß ich nicht mehr. Auf C:\ fanden sich 3 oder 4 neue Dateien, die offenbar automatisch im Hintergrund heruntergeladen wurden. Jedenfalls hatte danach ein paar Prozesse mehr im Taskmanager. Nachdem ich alle beendet hatte und die Meldungen von AntiVir mit "Löschen" bestätigte fühlte ich mich wieder sicher. Vorsichtshalber machte ich einen Virencheck. Keine außergewöhnlichen Funde (nur das übliche: Cookies).

Seit dem ist mein Internet ungewöhnlich langsam. Heute habe ich rausgefunden warum:

Der Systemprozess services.exe verschickt scheinbar spam.

Mit NetLimiter Monitor und netstat -a in der Konsole fand ich heraus, dass der Prozess sich zu verschiednen Rechner aber immer auf Port 25 (SMTP, Postausgangsserver) verbindet.

Ich habe bereits alles mögliche versucht um das Problem zu beheben (Virenscann mit verschiedenen Virenscannern, Hosts-Datei angeguckt, verdächtige Dateien gelöscht, Systemstart + Registrierungsdatenbank durchforstet, etc). Ich konnte leider noch keine Ursache finden.

Auch habe ich hier im Forum einen Thread mit den scheinbar gleichen Problem gefunden (allerdings von 2007 und ohne Lösung):
http://www.trojaner-board.de/42877-s...ickt-spam.html

Hier mein Hijackthis-Log:

Zudem habe ich noch eine Liste Prozesse inklusive der DLLs, die von services.exe geladen werden:

Hier noch ein Screenshot von NetLimiter Monitor:

http://web484.nextlogin.de/_images/n...ter_port25.PNG

Ich hoffe jemand weiß rat.

Danke schon mal im Voraus.


UPDATE:

So wie es aussieht handelt es sich um folgenden Trojaner:
Trojan.Win32.Agent.dwg

Jedenfalls hat(te) jemand das gleiche Problem -> http://forum.geizhals.at/t549200,4610963.html#4610963
Allerdings möchte ich nur sehr ungern mein System neuaufsetzen.

Hallo,

bekannter von mir hat seit 3 tagen genau das selbe problem aber er war definitiv nicht auf dieser dennisvoigt seite.

diverse viren und malware scanner finden nix auf dem rechner und ich habe sogar alle möglichen prozesse gekillt aber die original microsoft services.exe baut permanent smtp verbindungen auf und verschickt sicherlich reichlich spam.

krieg ich den rechner wieder sauber ohne alles neu zu installieren?


update:

bin schon ein stück weiter hab jetzt ein scanner der was gefunden hat

dr.web cureit identifiziert datei 62cc46e7.sys im verzeichnis c:\windows\system32\drivers als Trojan.Spambot.4527

hier das virustotal ergebnis
http://www.virustotal.com/de/analisi...141-1246911052

löschen der datei scheint nix zu bringen die is nach kurzer zeit wieder da.



greetz

!
 

Hallo,

also ich habe das Problem kurzfristig gelöst, in dem ich die Systemwiederherstellung von Windows XP genutzt habe.
Aber kurze Zeit später trat das Problem wieder auf.

Es gibt eine möglichkeit den Spamversand kurzfristig zu verhindern:

Mit einem Tool, dessen Name mir leider nicht mehr einfällt, konnte ich den Systemprozess services.exe beenden. Kurz nach dem beenden des Prozesses will Windows innerhalb einer Minute automatisch herunterfahren. Dies kann man mit dem Befehl "shutdown -a" in der Konsole abbrechen.
Nachteil der Sache ist, dass einige Programme gar nicht mehr starten (z.b. Firefox), einige sich beim Starten aufhängen und allgemein vorallem Internetanwendungen nicht mehr richtig funktionieren.

Nach einem Neustart sieht alles aber wie vorher aus.

Ich habe festgestellt, dass scheinbar eine Sicherheitslücke in Firefox 3.5 ausgenutzt wird, da ich eine Seite gefunden habe, die den scheinbar gleichen Virus verbreitet:

VORSICHT! WIEDER NICHT KLICKEN!!!
Ich habe diese Seite mit dem Firefox Browser geöffent und bekam direkt wieder zig Virenmeldung von AntiVir (die gleichen wie zuvor auch). Es spielte sich das exakt gleiche Szenario wie zuvor ab.
Die Folge war, dass ich schnell neugestartet habe und anschließend eine Systemwiederherstellung gemacht habe. Leider ohne nennenswerten Erfolg.
Der Spamversand ging weiter.

In Opera passiert rein gar nix, wenn ich die oben genannte Seite öffne.

So sah der Code aus, den ich entdeckte:


Noch etwas:

Ich habe diese Internetaddresse (s.o.) zufällig als Iframe in einer meiner Webseiten entdeckt. Da der Code garantiert nicht von mir ist, bin ich skeptisch geworden und habe den Link einfach mal aus neugier geöffnet. Ein großer Fehler wie sich herausgestellt ...
Der Virus verbreitet sich scheinbar auch per FTP, da ich mir nicht anders erklären kann wie der Code sonst da rein gekommen ist. Wer weiß wie er sich noch verbreitet.
Ich vermute, dass der Betreiber der Seite von Dennis Voigt ein ähnliches Problem mit dieser geframten Seite hat / hatte und ich mir den Virus so eingefangen habe.

Ich habe jetzt mein System jetzt wieder neu aufgesetzt, da ich keine Lösung gefunden habe.

Ich habe bestimmt 5 Anti-Virenprogramme ausprobiert, aber keins hat den Virus erkannt.

Wenn ich Neuigkeiten habe, melde ich mich wieder.

also ich denke mal ich habs beim bekannten wieder sauber bekommen nachdem cureit durch war hab ich nochmal asquared free laufen lassen.

im system32\drivers verzeichnis waren noch zwei andere sys dateien mit datum vom anfang diesen monats auf eine von beiden ist virustotal.com nicht angesprungen bei der anderen waren auch einige treffer. nachdem ich die auch gelöscht hatte und den rechner neu gestartet habe war der spamversand vorbei.

ich werde weiter beobachten ...

aber wenn das wirklich so einfach durch den firefox 3.5 eingeschleußt werden kann wär schon krass


greetz