Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mass Send Mail

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.05.2006, 08:32   #1
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Saut geraumer Zeit blockiert meine Firewall immer schubweise ausgehende smtp Verbindungen aur verschiedene Server.
Hier in kleiner Auszug aus der Logfile:

Zitat:
"Exception List Rule","22:13:16","TCP","KRAFTEDMOBILE","4531","194 .67.23.20","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE" ,"Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
"Exception List Rule","22:13:46","TCP","KRAFTEDMOBILE","4532","213 .180.204.38","25","C:\WINDOWS\SYSTEM32\SERVICES.EX E","Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
"Exception List Rule","22:14:17","TCP","KRAFTEDMOBILE","4533","131 .107.1.7","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE", "Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
Virenscanner ( Trend Micro, AdAware und Spybot Search&Destroy ) haben nichts gefunden und ich verzweifel langsam.

Anbei noch ein HijackThis log. Bin für jede Hilfe dankbar.
Angehängte Dateien
Dateityp: txt hijackthis.txt (4,6 KB, 302x aufgerufen)

Alt 18.05.2006, 08:56   #2
Markus1234
 
Mass Send Mail - Standard

Mass Send Mail



Zitat:
C:\PROGRA~1\INSTSRV\SRVANY.EXE
Kommt mir spanisch vor dass diese Datei die ja eigentlich zum einbinden neuer Dienste da ist im Programme-Verzeichnis läuft.
Lass sie mal bei Virustotal scannen

und wenn du schon dabei bist scannst du diese Datei auch noch
Zitat:
C:\Programme\Remote\remoterm.exe
mfg,
Markus
__________________


Alt 18.05.2006, 09:09   #3
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Hi Markus,
die beiden Dateien sind vertrauenswürdig, hab sie selber so Installiert.
SRVANY.EXE sorgt dafür, dass RMClock als Prozess läuft und remoteterm.exe ist ne kleine Anwendung die ich brauchen um die Fernbedienung meiner Fernsehkarte zu benutzen.

Files trotzdem mal gescannt:

SRVANY: kein treffer nur
Fortinet 2.77.0.0 05.17.2006 SrvAny
meckert rum.
remoteterm:
no virus found
__________________

Alt 18.05.2006, 09:14   #4
Markus1234
 
Mass Send Mail - Standard

Mass Send Mail



Nun denn ist mein Latein fast am Ende.

Scanne dein System noch mit Blacklight und Rootkitrevealer.

Sonst soll mal ein Netzwerkspezi von hier drüber fliegn - erübrigt sich meistens im Laufe des Tages von selbst.

mfg,
Markus

Alt 18.05.2006, 09:31   #5
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Zitat:
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\TrendMicro\PC-cillin\ScanInfo\LastScanFile 18.05.2006 10:23 54 bytes Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 15.01.2006 11:37 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\sysbus32 16.05.2006 14:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\sysbus32 16.05.2006 14:35 0 bytes Hidden from Windows API.
Autsch das sieht Böse aus


Alt 18.05.2006, 09:46   #6
Wildone
 
Mass Send Mail - Standard

Mass Send Mail



Hallo,
werde noch nicht vollkommen schlau aus dem Rootkitrevealer Log, ist auch nicht gerade meine Stärke.
Schau mal ob folgende Datei existiert:
C:\WINDOWS\System32\Drivers\sysbus32.sys

Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!


Grüße Wildone

Alt 18.05.2006, 09:57   #7
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Also die Datei existiert nicht. Hier die Logs

Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS\system32

16.05.2006 14:35 12.735 tablet.dat
14.05.2006 09:51 131.688 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe
23.04.2006 14:25 16.832 amcompat.tlb
23.04.2006 14:25 23.392 nscompat.tlb
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 10:55 410.460 perfh009.dat
26.03.2006 10:55 66.546 perfc009.dat
26.03.2006 10:55 423.522 perfh007.dat
26.03.2006 10:55 78.592 perfc007.dat
26.03.2006 10:55 990.052 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 14:54 1.158 wpa.dbl
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll
15.02.2006 18:25 526 ws848151.ocx
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp

18.05.2006 10:23 335.955 SJIVGKHOVAIV.exe
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS

16.05.2006 14:35 2.064.177 WindowsUpdate.log
16.05.2006 14:35 159 wiadebug.log
16.05.2006 14:35 50 wiaservc.log
16.05.2006 14:35 0 0.log
16.05.2006 14:35 2.048 bootstat.dat
16.05.2006 14:33 32.552 SchedLgU.Txt
16.05.2006 13:11 116 NeroDigital.ini
15.05.2006 03:00 48.903 iis6.log
15.05.2006 03:00 4.041 comsetup.log
15.05.2006 03:00 65.563 ntdtcsetup.log
15.05.2006 03:00 123.336 tsoc.log
15.05.2006 03:00 1.374 imsins.log
15.05.2006 03:00 16.959 ocmsn.log
15.05.2006 03:00 10.029 KB901190.log
15.05.2006 03:00 5.832 ocgen.log
15.05.2006 03:00 15.415 msgsocm.log
15.05.2006 03:00 308.365 FaxSetup.log
15.05.2006 03:00 4.933 setupapi.log
14.05.2006 16:17 524 my.ini
13.05.2006 13:25 1.218 wmsetup.log
11.05.2006 03:00 1.374 imsins.BAK
11.05.2006 03:00 11.751 KB913580.log
11.05.2006 03:00 0 setupact.log
11.05.2006 03:00 17.469 updspapi.log
06.05.2006 22:01 285 wmsetup10.log
27.04.2006 07:24 11.771 KB900485.log
24.04.2006 19:28 8.049 mozver.dat
23.04.2006 17:43 112 RelictEPG.INI
23.04.2006 14:01 2.737 spupdsvc.log
23.04.2006 13:58 37.288 KB911565.log
23.04.2006 12:21 316.640 WMSysPr9.prx
22.04.2006 23:22 1.752 ModemLog_Standard Modem over IR link.txt
16.04.2006 23:25 353.792 TrueCrypt Setup.exe
14.04.2006 09:27 15.597 KB908531.log
14.04.2006 09:26 14.782 KB911562.log
14.04.2006 09:26 16.746 KB912812.log
14.04.2006 09:24 10.665 KB911567.log
17.03.2006 08:05 13.159 KB911927.log
17.03.2006 08:05 12.147 KB911564.log
17.03.2006 08:04 6.628 KB913446.log
16.03.2006 16:43 145 WININIT.INI
24.02.2006 13:36 426 TMFilter.log
24.02.2006 13:29 2.452 EventSystem.log
19.02.2006 19:27 32 winamp.ini
15.02.2006 22:05 507 win.ini
15.02.2006 22:05 227 system.ini
15.02.2006 21:13 43 drsmartload2.dat
15.02.2006 21:12 0 winsysupd81.dat
15.02.2006 21:12 0 gimmygames1.dat
15.02.2006 21:10 3.054 secure32.html
15.02.2006 21:09 76.800 kl1.exe
15.02.2006 21:09 0 uniq
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\

18.05.2006 10:52 0 sys.txt
18.05.2006 10:52 8.578 system.txt
18.05.2006 10:52 296 systemtemp.txt
18.05.2006 10:50 102.444 system32.txt
18.05.2006 10:44 429 datFind.bat
17.05.2006 16:36 19.352 hpfr5550.log
16.05.2006 14:34 1.610.612.736 pagefile.sys
15.02.2006 22:05 211 boot.ini
15.02.2006 18:25 526 os930559.bin

Alt 18.05.2006, 10:11   #8
Wildone
 
Mass Send Mail - Standard

Mass Send Mail



Hallo,
hmm, ich kann nichts finden, bis auf diese alte Infektion vom 15.02., diese Dateien kannst du auf jeden Fall mal löschen, wird aber nichts an dem eigentlichen Problem ändern:

15.02.2006 21:13 43 drsmartload2.dat
15.02.2006 21:12 0 winsysupd81.dat
15.02.2006 21:12 0 gimmygames1.dat
15.02.2006 21:10 3.054 secure32.html
15.02.2006 21:09 76.800 kl1.exe
15.02.2006 21:09 0 uniq
(alle auf C:\Windows)

Mache mal noch zwei Sachen, erstens suche mal allgemein auf deinem system ob die Datei sysbus32.sys zu finden ist.
Außerdem scannst mal noch mit Blacklight und postest das Log(wird automatisch im selben Pfad erstellt, fsbl**.txt).

Außwerdem überprüfst du mal folgende Dateien hier unsd postest das jeweilige Ergebnis:
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll
(alle System32 Ordner)

Und poste danach nochmal die vier Logfiles, dieseas mal alle Einträge von diesem Jahr.


Grüße Wildone

Alt 18.05.2006, 10:38   #9
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Danke schonma für deinen Einsatz:

Also hier nochma die 4 Logfiles:

Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS\system32

16.05.2006 14:35 12.735 tablet.dat
14.05.2006 09:51 131.688 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe
23.04.2006 14:25 16.832 amcompat.tlb
23.04.2006 14:25 23.392 nscompat.tlb
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 10:55 410.460 perfh009.dat
26.03.2006 10:55 66.546 perfc009.dat
26.03.2006 10:55 423.522 perfh007.dat
26.03.2006 10:55 78.592 perfc007.dat
26.03.2006 10:55 990.052 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 14:54 1.158 wpa.dbl
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll
15.02.2006 18:25 526 ws848151.ocx
27.01.2006 21:34 34.064 lhacm.acm
24.01.2006 19:58 49.152 CompiledAdapter
19.01.2006 15:53 2.194.324 MSDELog.log
15.01.2006 13:22 7.006 jupdate-1.5.0_06-b05.log
12.01.2006 23:46 0 $winnt$.inf
04.01.2006 05:35 68.096 webclnt.dll
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS

16.05.2006 14:35 2.064.177 WindowsUpdate.log
16.05.2006 14:35 159 wiadebug.log
16.05.2006 14:35 50 wiaservc.log
16.05.2006 14:35 0 0.log
16.05.2006 14:35 2.048 bootstat.dat
16.05.2006 14:33 32.552 SchedLgU.Txt
16.05.2006 13:11 116 NeroDigital.ini
15.05.2006 03:00 48.903 iis6.log
15.05.2006 03:00 4.041 comsetup.log
15.05.2006 03:00 65.563 ntdtcsetup.log
15.05.2006 03:00 123.336 tsoc.log
15.05.2006 03:00 1.374 imsins.log
15.05.2006 03:00 16.959 ocmsn.log
15.05.2006 03:00 10.029 KB901190.log
15.05.2006 03:00 5.832 ocgen.log
15.05.2006 03:00 15.415 msgsocm.log
15.05.2006 03:00 308.365 FaxSetup.log
15.05.2006 03:00 4.933 setupapi.log
14.05.2006 16:17 524 my.ini
13.05.2006 13:25 1.218 wmsetup.log
11.05.2006 03:00 1.374 imsins.BAK
11.05.2006 03:00 11.751 KB913580.log
11.05.2006 03:00 0 setupact.log
11.05.2006 03:00 17.469 updspapi.log
06.05.2006 22:01 285 wmsetup10.log
27.04.2006 07:24 11.771 KB900485.log
24.04.2006 19:28 8.049 mozver.dat
23.04.2006 17:43 112 RelictEPG.INI
23.04.2006 14:01 2.737 spupdsvc.log
23.04.2006 13:58 37.288 KB911565.log
23.04.2006 12:21 316.640 WMSysPr9.prx
22.04.2006 23:22 1.752 ModemLog_Standard Modem over IR link.txt
16.04.2006 23:25 353.792 TrueCrypt Setup.exe
14.04.2006 09:27 15.597 KB908531.log
14.04.2006 09:26 14.782 KB911562.log
14.04.2006 09:26 16.746 KB912812.log
14.04.2006 09:24 10.665 KB911567.log
17.03.2006 08:05 13.159 KB911927.log
17.03.2006 08:05 12.147 KB911564.log
17.03.2006 08:04 6.628 KB913446.log
16.03.2006 16:43 145 WININIT.INI
24.02.2006 13:36 426 TMFilter.log
24.02.2006 13:29 2.452 EventSystem.log
19.02.2006 19:27 32 winamp.ini
15.02.2006 22:05 227 system.ini
15.02.2006 22:05 507 win.ini
27.01.2006 12:28 98 WirelessFTP.INI
27.01.2006 12:23 0 tosOBEX.INI
24.01.2006 19:59 7.053 KB891220.log
23.01.2006 13:50 136 graphedt.INI
19.01.2006 15:55 22.845 KB904706.log
16.01.2006 16:04 506 GEARInstall.log
14.01.2006 16:38 772 hpinfo.lnk
12.01.2006 23:45 2.741 sessmgr.setup.log
12.01.2006 23:44 2.750 regopt.log
12.01.2006 23:41 8.192 REGLOCS.OLD
12.01.2006 20:08 29.786 KB899587.log
12.01.2006 20:08 28.909 KB896422.log
12.01.2006 20:08 28.706 KB885835.log
12.01.2006 20:07 27.772 KB885836.log
12.01.2006 20:07 28.528 KB885250.log
12.01.2006 20:07 28.598 KB901017.log
12.01.2006 20:07 28.984 KB899591.log
12.01.2006 20:07 29.106 KB896424.log
12.01.2006 20:07 28.726 KB893756.log
12.01.2006 20:07 27.311 KB896423.log
12.01.2006 20:07 27.283 KB873339.log
12.01.2006 20:07 27.288 KB888113.log
12.01.2006 20:07 27.891 KB887742.log
12.01.2006 20:06 28.309 KB896358.log
12.01.2006 20:06 22.720 KB910437.log
12.01.2006 20:06 18.566 KB898458.log
12.01.2006 20:06 30.649 KB905915.log
12.01.2006 20:06 24.247 KB891781.log
12.01.2006 20:06 29.281 KB902400.log
12.01.2006 20:05 21.421 KB890046.log
12.01.2006 20:05 20.806 KB893066.log
12.01.2006 20:05 21.153 KB905414.log
12.01.2006 20:05 20.398 KB901214.log
12.01.2006 20:05 18.966 KB888302.log
12.01.2006 20:05 20.647 KB900725.log
12.01.2006 20:05 17.908 KB912919.log
12.01.2006 20:04 12.189 KB886185.log
12.01.2006 20:04 17.714 KB905749.log
12.01.2006 20:04 16.406 KB896428.log
12.01.2006 20:04 16.891 KB894391.log
12.01.2006 20:04 14.729 KB908519.log
12.01.2006 20:04 17.098 KB890859.log
12.01.2006 17:56 7.572 KB893803v2.log
12.01.2006 17:56 7.002 KB898461.log
12.01.2006 17:15 0 nsreg.dat
12.01.2006 17:15 107.132 UninstallThunderbird.exe
12.01.2006 17:14 107.132 UninstallFirefox.exe
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\

18.05.2006 11:25 0 sys.txt
18.05.2006 11:24 8.280 system.txt
18.05.2006 11:24 132 systemtemp.txt
18.05.2006 11:23 102.444 system32.txt
18.05.2006 10:44 429 datFind.bat
17.05.2006 16:36 19.352 hpfr5550.log
16.05.2006 14:34 1.610.612.736 pagefile.sys
15.02.2006 22:05 211 boot.ini
15.02.2006 18:25 526 os930559.bin
19.01.2006 15:53 211.596 MSDELog.log
16.01.2006 14:30 0 logwmemory.bin
Scannergebnisse der Files: volltreffer

Zitat:
Complete scanning result of "rYsauto.dll", received in VirusTotal at 05.18.2006, 11:26:39 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 ADSPY/Look2Me.ab
Avast 4.6.695.0 05.17.2006 no virus found
AVG 386 05.17.2006 Look2me
BitDefender 7.2 05.18.2006 Adware.Dinky.A.Trojan
CAT-QuickHeal 8.00 05.17.2006 Adware.Look2Me
ClamAV devel-20060426 05.16.2006 Adware.Lookme-26
Zitat:
File "rJssapi.dll" received on 05.18.2006 at 11:30:49 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 ADSPY/Look2Me.ab
Avast 4.6.695.0 05.17.2006 no virus found
AVG 386 05.17.2006 Look2me
BitDefender 7.2 05.18.2006 Adware.Dinky.A.Trojan
Zitat:
File "bztsprx2.dll" received on 05.18.2006 at 11:33:29 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 ADSPY/Look2Me.ab
Avast 4.6.695.0 05.17.2006 no virus found
AVG 386 05.17.2006 Look2me
BitDefender 7.2 05.18.2006 Adware.Dinky.A.Trojan
CAT-QuickHeal 8.00 05.17.2006 Adware.Look2Me
Zitat:
File "msnscps.dll" received on 05.18.2006 at 11:36:20 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 TR/PSW.Agent.FG.2
Avast 4.6.695.0 05.17.2006 Win32:Small-TA
AVG 386 05.17.2006 PSW.Agent.AYE
BitDefender 7.2 05.18.2006 Trojan.PWS.Agent.FG
Zitat:
File "barseek.dll" received on 05.18.2006 at 11:37:08 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 TR/Proxy.Small.DU.1
Avast 4.6.695.0 05.17.2006 Win32:Trojano-3153
AVG 386 05.17.2006 Proxy.BHI
BitDefender 7.2 05.18.2006 Trojan.Proxy.Small.DU
CAT-QuickHeal 8.00 05.17.2006 TrojanProxy.Small.du
Blacklight lässt sich nicht installieren:

... could not acquire necessary privileges (SeDebugPrivilege )

Alt 18.05.2006, 10:45   #10
Wildone
 
Mass Send Mail - Standard

Mass Send Mail



Hallo,
das sind zwar alles Trojaner, aber höchstwahrscheinlich auch nicht die Ursache für dein Problem.
Lösche mal noch diese Dateien:
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll

Blacklight Log kommt noch?
Edit
Bist du als Administrator angemeldet?



Grüße Wildone

Alt 18.05.2006, 10:48   #11
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Nein. Aber hab die Datei als Admin gestartet.

barseek lässt sich nicht löschen.

Alt 18.05.2006, 10:55   #12
Wildone
 
Mass Send Mail - Standard

Mass Send Mail



Hallo,
lösche sie mit killbox, mit der Option "delete on reboot".

Versuche es mal mit diesem Programm und, falls möglich, poste danach das Log.


Grüße Wildone

Alt 18.05.2006, 11:00   #13
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



unhackme hat das mit sysbus32 entfernt. Kille jetzt die barseek und starte neu. Was ist mit den InprocServer32 Einträgen?

Alt 18.05.2006, 11:07   #14
Wildone
 
Mass Send Mail - Standard

Mass Send Mail



Hallo,
Zitat:
Was ist mit den InprocServer32 Einträgen?
die sind harmlos.
Zitat:
unhackme hat das mit sysbus32 entfernt.
Kannst du mal genau sagen was unhackme entfernt hat? auch Dateien? Falls es ein Log gibt poste es.


Grüße Wildone

Alt 18.05.2006, 11:11   #15
smakr2
 
Mass Send Mail - Standard

Mass Send Mail



Zitat:
Zitat von Wildone
Hallo,

die sind harmlos.
Sicher? Googlen sagt, dass das nen Trojaner ist.
Log gabs leider nicht, aber es wurde nur der Registry Eintrag gelöscht.

Antwort

Themen zu Mass Send Mail
adaware, anwendung, ausgehende, blockiert, c:\windows, c:\windows\system32\services.exe, firewall, gen, hijack, hijackthis, hijackthis log., logfile, mail, micro, scan, scanner, services.exe, smtp, spybot, system, system32, tcp, trend, trend micro, verbindungen, windows



Ähnliche Themen: Mass Send Mail


  1. Seltsame E-Mail zurück bekommen (failure notice) beim E-Mail-Versand
    Überwachung, Datenschutz und Spam - 14.09.2015 (7)
  2. Mail Delivery System <mailer-daemon@kundenserver.de> mailrücklauf auf nicht gesendete mail
    Überwachung, Datenschutz und Spam - 26.03.2015 (4)
  3. IMAC OS X Version 10.8.6 Safari 5.1.10: Trojaner durch Mail & Media GmbH e-mail ?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2015 (3)
  4. Android: ELSTER-Spam-Mail geöffnet (angebliche Mail v. Finanzamt)
    Plagegeister aller Art und deren Bekämpfung - 24.09.2014 (3)
  5. Wörter blau und doppelt unterstrichen + mass Werbung
    Log-Analyse und Auswertung - 04.08.2014 (13)
  6. Zip Datei geöffnet - anschließend Fehlermeldung Outlook & T-Online: 550 5.7.1 Send quota exceeded
    Plagegeister aller Art und deren Bekämpfung - 02.06.2014 (3)
  7. Mail account gesperrt: Mailer daemon - undeliverable mail massenhaft
    Log-Analyse und Auswertung - 29.04.2014 (10)
  8. E-mail Account verschickt Spam Mail mit Viren Anhang an alle Kontakte
    Log-Analyse und Auswertung - 29.10.2013 (16)
  9. E-Mail-Problem bei WEB.DE (Mail delivery failed: returning message to sender - keineantwortadresse@web.de )
    Plagegeister aller Art und deren Bekämpfung - 12.10.2013 (11)
  10. (2x) BKA Trojaner ; Trojan.Java.Mail.Send.B keine Keine Zugriffe in Windows XP 32 Bit mehr möglich
    Mülltonne - 29.05.2012 (1)
  11. Spam-Mail von meiner web.de-E-Mail-Adresse an alle Kontakte gesendet
    Log-Analyse und Auswertung - 22.02.2012 (27)
  12. Bluescreens + Fehlermeldungen en mass + Pc friert ein
    Alles rund um Windows - 12.10.2011 (11)
  13. Mass malling Virus - Highjack this Logfile
    Log-Analyse und Auswertung - 19.01.2010 (3)
  14. Mass Effect funktioniert nicht!!
    Netzwerk und Hardware - 24.06.2009 (2)
  15. services.exe -> mass mailer software
    Plagegeister aller Art und deren Bekämpfung - 24.02.2008 (8)
  16. Windows spinnt rum Bluescreens on mass..
    Alles rund um Windows - 10.01.2008 (1)
  17. svchost.exe mass-mailer Software
    Plagegeister aller Art und deren Bekämpfung - 04.09.2007 (2)

Zum Thema Mass Send Mail - Saut geraumer Zeit blockiert meine Firewall immer schubweise ausgehende smtp Verbindungen aur verschiedene Server. Hier in kleiner Auszug aus der Logfile: Zitat: "Exception List Rule","22:13:16","TCP","KRAFTEDMOBILE","4531","194 .67.23.20","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE" ,"Anwendung für Dienste und - Mass Send Mail...
Archiv
Du betrachtest: Mass Send Mail auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.