Hallo, ich bin neu hier im forum und hab direkt mal eine frage:
Und zwar vermute ich das ich mir einen trojaner oder ähnliches eingefangen habe der sich als services.exe tarnt. Soweit ich weiß läuft die services.exe datei unter C:/windows/system meins ist aber unter C:/windows abgelegt.
Es wird auch als böse bei der HijackThis analyse eingestuft.
Nur da das teil im windows ordner ist wollt ich erst mal hier fragen wie ich vorgehen soll bevor ich noch meinen pc schrotte
[edit] Achso ich kamm auf die idee das dass ein trojaner oder so ist, weil mein antivir nicht mehr mit startet beim hochfahren und ich es auch nicht manuel anschalten kann es wird direkt wieder ausgeschaltet.

Also hier mein HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:21, on 04.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\aswUpdSv.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\ashServ.exe
C:\Dokumente und Einstellungen\xxxDesktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xx\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\services.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Dark Age of Camelot - Butterfly\DAoCButterfly\DAoCButterfly.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\DOKUME~1\xxx\Desktop\ALLEDA~1\AVANTB~1\iexplore.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\xxx\Desktop\ALLEDA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\DOKUME~1\xxx\Desktop\ALLEDA~1\Avast!\ashDisp.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: DAoCButterfly.lnk = C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Dark Age of Camelot - Butterfly\DAoCButterfly\DAoCButterfly.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\DOKUME~1\Michael\Desktop\ALLEDA~1\AVANTB~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\DOKUME~1\Michael\Desktop\ALLEDA~1\AVANTB~1\Highlight.htm
O8 - Extra context menu item: Suchen - C:\DOKUME~1\xxxl\Desktop\ALLEDA~1\AVANTB~1\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\DOKUME~1\xxx\Desktop\ALLEDA~1\AVANTB~1\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\DOKUME~1\xxx\Desktop\ALLEDA~1\AVANTB~1\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/Pes...r/pestscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25EC96C5-62CA-4AD4-8165-4B565ECEBE2E}: NameServer = 81.173.194.68 213.168.112.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{25EC96C5-62CA-4AD4-8165-4B565ECEBE2E}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Hoffe ihr könnt mir weiter helfen, wen ihr in dem log sonst noch waas anderes bösartiges oder so findet könnt ihr auch ruhig sagen.

Gruss Michael

P.S: Seit gestern ist mir das "problem" aufgefallen und seit gestern geht auch dieses "zelt" auf der taste links neben der 1

Hallo,

also auf jeden fall wäre mal ein update auf SP 2 machen.
da dein system im moment sehr anfällig ist.
desweiteren weiss ich nicht was dieser eintrag zu bedeuten hat:

C:\WINDOWS\services.exe

der läuft nämlich norml nicht da.

mal warten was andere noch sagen.

gruß

Hallo,

überprüfe bitte diese beiden Dateien online bei http://virusscan.jotti.org/de und kopiere das Ergebnis in diesen Thread.

Zitat:

C:\WINDOWS\services.exe
C:\WINDOWS\system32\fservice.exe

Update auf sp2 hab ich schon mehrmals probiert was aber nur probleme mit der firewall oder so nach sich zieht. Selbst wen ich die windows firewall ausschalte hab ich bei einem online game (was ich immer spiele) derbe probs (verzerte figuren und nach ein paar sekunden keine verbindung mehr zum server) dadrum hab ich das immer runter gelassen

Wegen dem C:\WINDOWS\services.exe
Das meinte ich ja, eigendlich darf das da doch garnicht sein sondern nur in einem anderen ordner (?). Dadrum meine vermutung auf viren etc.

[edit]
hab die beiden datein geprüft, kamm bei beiden folgende meldung:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file


Gruß Michael

Beende die beiden Prozesse vorher im Taskmanager bzw. mit dem Process Explorer.

Bei Process Explorer ist 2 mal services.exe drin. Bei einem steht bei Description Anwendung für Dienste und Controller beim anderen nichts. und fservices.exe ist da garnicht drin.
Hab jetz erst mal nur den services.exe beendet der keine description hatte. hab dan wieder versucht hoch zu laden ging nicht.

[edti] Kurz nach dem ich den einen services.exe beendet hatte kam folgende meldung:

C:\Windows\system32\fservice.exe
Auf dem angegebenen Gerät, bzw. dem Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Objekt zugreifen zu können.

Die meldung kommt auch wen ich den pc starte

Der Process Explorer zeigt dir auch den Dateipfad an.

Dann versuchen wir's eben so:
Erstelle einen neuen Ordner "Neu" direkt auf C:
Sieht dann so aus "C:\Neu"
Start-> Ausführen-> "cmd" -> [Enter]
Gib in der erscheinenden Eingabeaufforderung folgendes ein:
copy C:\WINDOWS\services.exe C:\Neu\services.exe_alt --> [Enter]
copy C:\WINDOWS\system32\fservice.exe C:\Neu\fservice.exe_alt --> [Enter]

Prüfe die Dateien aus C:\Neu


BTW: Ich will eigentlich nur auf Nummer sicher gehen. Es dürfte sich um einen Vertreter der Prorat-Familie handeln. Sollte sich mein Verdacht bewahrheiten, bleibt dir als einzig sichere Lösung leider nur ein Neuaufsetzen des Betriebssystems.

Geht nicht, das System kann die datei nicht finden

Zitat:

Zitat von Maximus

Geht nicht, das System kann die datei nicht finden

Welche? Beide? Eigentlich müssen beide vorhanden sein.
Poste mal schnell ein Silent Runners-Log, damit man sieht ob die Dateien vorhanden sind.
Oder verwende den Security Task Manager und die Dateien in Quarantäne zu stecken und dann zu überprüfen.



Du kannst das System natürlich auch gleich neu aufsetzen, denn die Sophos-Beschreibung ist eigentlich eindeutig -> http://www.sophos.de/virusinfo/analy...ojprorati.html

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"avast!" = "C:\DOKUME~1\Michael\Desktop\ALLEDA~1\Avast!\ashDisp.exe" [null data]
"WinDSL MTU-Adjust" = "WinDSL_MTU.exe" ["Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\Michael\Desktop\ALLEDA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\WinRar\rarext.dll" [null data]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Tune Up\sdshelex.dll" ["TuneUp Software GmbH"]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast!\ashShell.dll" ["ALWIL Software"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SmartFTP\smarthook.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "Explorer.exe C:\WINDOWS\system32\fservice.exe" [MS], [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast!\ashShell.dll" ["ALWIL Software"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Tune Up\sdshelex.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Tune Up\sdshelex.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast!\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\WinRar\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\MICHAEL\DESKTOP\ALLEDA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Michael" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart
"DAoCButterfly" -> shortcut to: "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Dark Age of Camelot - Butterfly\DAoCButterfly\DAoCButterfly.exe" [null data]


Enabled Scheduled Tasks:
------------------------

"WebReg 20051201155810" -> launches: "C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe /TaskName 20051201155810 /N "psc 1300 series" /M Q3501A /S MY42KCB1X99F /AP 303 /F /T " ["Hewlett-Packard Co."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast!\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Avast!\aswUpdSv.exe"" [null data]
Kerio Personal Firewall 4, KPF4, "C:\Dokumente und Einstellungen\Michael\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 41 seconds, including 12 seconds for message boxes)

Damit haben wir's dann wohl leider schriftlich

Zitat:

Zitat von Sophos

roj/Prorat-I fügt folgende Einträge zur Registrierung hinzu, damit er beim Start aktiviert wird:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe C:\WINDOWS\system32\fservice.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run\ {++}
"DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "Explorer.exe C:\WINDOWS\system32\fservice.exe" [MS], [null data]

Passt leider perfekt...

Zur Schadroutine sagt Sophos folgendes:

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Verändert Daten auf dem Computer
# Legt Malware ab
# Fälscht die E-Mail-Adresse des Senders
# Verwendet seine eigene E-Mail-Engine

Du solltest das System asap vom Netz trennen und neu aufsetzen, es befindet sich in fremder Hand.

*seufs*
Ok dank euch für die schnelle hilfe