Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich werde (oder wurde) zum Spammails verschicken missbraucht (https://www.trojaner-board.de/33518-wurde-spammails-verschicken-missbraucht.html)

Rabenaus 13.11.2006 09:54
Ich werde (oder wurde) zum Spammails verschicken missbraucht
 
Hallo zuerst,

ich werde oder wurde zum versenden von Spam Mails missbraucht :mad: und da ich kein Profi bin, weiß ich nicht wie das zustande kommt.

Zuerst mein System:
AMD Athlon(tm) XP 3200+; 2,20 GHZ; 1,00 GB RAM
Windows XP Professional Version 2002, Service Pack 2
Skydsl von Teles
Virenwächter: Gdata Internet Security 2007
Firewall: Windows
Netzwerk mit 3 PC's - der Problem-PC (s.o.) (aktuell habe ich
sicherheitshalber das Netzwerkkabel gezogen) soll hauptsächlich zu
Verbindung ins Internet dienen; die anderen sind unsere Arbeits-PC's
Geschichte / Hinweise:
a) Vor der Installation von Gdata habe ich den Lauf mit der Boot-CD probiert,
der ist aber nie bis zu Ende gelaufen; der PC hat sich immer dabei
aufgehängt.
b) Auf dem PC lief (bis vorhin) KEN von AVM - habe ich vorhin deinstalliert

Hauptproblem:
Ich habe (mit Hilfe von Gdata) festgestellt, dass über diesen Rechner
Spammails versendet wurden (gestern über 6.000 Stück). Ebenso habe ich
festgestellt, dass diese Spams nur laufen, wenn der KEN läuft (darum
deinstalliert).
Wie oben gesagt, habe ich das Netzwerkkabel gezogen; trotzdem gingen
weiter Spammails raus, wenn der KEN lief.
Seit der Deinstalltion von KEN (vor ca. 2 Stunden) gingen keine SPAM Mails
mehr raus.

Könnt ihr mir bitte prüfen, ob mein System jetzt in Ordnung ist, oder ob ich
immer noch gefährdet bin.

Anbei hier meine HiJack Logfile1:
Logfile of HijackThis v1.99.1
Scan saved at 09:23:16, on 13.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\TELES\skyDSL\Proxy\craxy.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\TELES\skyDSL\tskymtpc.exe
C:\Programme\TELES\skyDSL\tclntservice.exe
C:\Programme\TELES\skyDSL\tkpsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TELES\skyDSL\tskyclnt.exe
C:\Programme\TELES\skyDSL\tkpclnt.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\TELES\skyDSL PCI\DVBData.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.168.0.50:3128/ken.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://test.skydsl.de/proxytest/de/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [skyDSLClient] C:\Programme\TELES\skyDSL\tskyclnt.exe -q
O4 - HKLM\..\Run: [Koppelpuls Client] C:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DVB Data (skyDSL PCI).lnk = C:\Programme\TELES\skyDSL PCI\DVBData.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2sky.exe
O9 - Extra button: skyDSL- - - {F7522CA8-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2fon.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.0.50:3128/ken.html
O16 - DPF: {2DEF4530-8CE6-41C9-84B6-A54536C90213} (Crystal Report Viewer Control 9) - h**p://www.geadiva.de/viewer9/activeXViewer/activexviewer.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: skyDSL-Proxy (tntcraxy) - Unknown owner - C:\Programme\TELES\skyDSL\Proxy\craxy.exe" service (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

Sollten noch Informationen benötigt werden, sende ich diese natürlich gerne.

Vorab besten Dank für Eure Hilfe.
Micha

PS: Ich habe gegoogelt und versucht, möglichst viel vorab über mein Problem zu finden; verzeiht mir bitte, aber ich habe mangels Verständnis bestimmt nicht alles verstanden.

irrlicht 13.11.2006 10:24
Hallo,
deinem Log kann ich nichts entnehmen das auf einen Spambot hindeuten würde.Ich halte es für sauber.
Poste mal die genaue Meldung von G-Data.
Dieses "Ken" ist Optimierungssoftware für das Satelitten-DSL ?
Brauch man das ?
Über die nötige Verbindungssoftware ließe sich vermutlich diese "Optimierung" genau so gut erreichen....
C:\Programme\TELES\skyDSL\
C:\Programme\TELES\skyDSL\
C:\Programme\TELES\skyDSL
Allerdings fehlen mir für Satelitten-DSL die Kenntnisse.Die Erfahrung aber sagt,Optimierungstools" verschlimmbessern meistens nur....
Irrlicht

Rabenaus 13.11.2006 12:10
Hallo irrlicht,

erstmal tausend dank für die superschnelle Antwort.

1. zu Gdata: Hier gibt es eine Statistik anzuschauen mit den Informationen:
Ausgehende Mails (SMTP)
Geprüft: Anzahl ( Anzahl infiziert )
zuletzt gesendete Mails (da seit dem letzten Start keine gesendet - kein
Eintrag - aber gestern waren da 6.256 Mails oder so ähnlich und
die letzte Mail war an ganz komische Adressen, die ich nicht kenne -
richtige Spam Mails hatl (Ich möchte dich kennenlernen... und ähnliches)

2. KEN: war ursprünglich als Mailclient gedacht, hat aber mit T-online nicht
mehr funktioniert, da ich mich über Teles einlogge. Also eigentlich
brauche ich ihn nicht mehr.

Hast Du vielleicht eine Idee, wie ich rausfinde, wo das Loch ist, durch das der Spammer an mich rankam ? Also ich weiß zum Beispiel, dass ich über T-online ein Haufen Spam-Mails bekommen habe - ich habe die aber immer gleich gelöscht - und ab jetzt kann ich meine email-Adresse dort auch löschen.

Danke nochmal

Micha


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131