Trojaner-Board - Mailversand, aber keine Lösung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mailversand, aber keine Lösung (https://www.trojaner-board.de/34544-mailversand-keine-loesung.html)

Mailversand, aber keine Lösung

Tach,

so als, mein Provider mein Internet gesperrt hatte, und ausgesagt hat das von meinen Rechner Spam mails ect. geschickt werden war mir eigendlich klar das ich meinen rechner auf den Kopf stelle. Jedoch hatte SuperAntivir, Avast, zone alarm, Kaspersky nichts gefunden.

Wenn das Netzwerk deaktiviert war, geschar auch nichts. Jedoch wenn dies der Fall war, wurde meine Internetverbindung konstant "missbraucht" und die CPU auslastung spielte verrückt.

Ich hab in den Topics:
http://www.trojaner-board.de/30156-s...hlight=mailbot
http://www.trojaner-board.de/24613-p...hlight=mailbot
nachgeschaut jedoch gaben sie über meine Situation kein Aufschluss meiner lage.

Hier die Logfile von hijackthis, die merkwürdigen CPU auslastung von von meinen Rechner wärend er Online ist.
Außerdem hatte sich Zone Arlarm gemeldet, dass sich die svchost.exe auf 81.173.194.68: DNS verbinden möchte.

Code:

Logfile of HijackThis v1.99.1

Scan saved at 16:31:29, on 19.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

D:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

D:\Programme\Winamp\winamp.exe

C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Startup: SpeedFan.lnk = D:\Programme\SpeedFan\speedfan.exe

O4 - Startup: Trillian.lnk = D:\Programme\Trillian\trillian.exe

O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe

O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe ihr könnt mir weiter helfen.. :(

MfG T2

niemand der mir helfen kann oder muss ich mal wieder alles platt machen ?!

Hallo

Zitat:

Außerdem hatte sich Zone Arlarm gemeldet, dass sich die svchost.exe auf 81.173.194.68: DNS verbinden möchte.

das passt schon, es dürfte sich hier um deinen I-Netanbieter handeln;)

Zitat:

Zitat von Whois

% Information related to '81.173.194.0 - 81.173.194.255'

inetnum: 81.173.194.0 - 81.173.194.255
netname: NETCOLOGNE
descr: Networking Infrastructure
descr: Netcologne GmbH
descr: Maarweg 163
descr: D-50825 Koeln
country: DE

lade dir Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

Lasse bitte auch folgende Datei :
D:\Programme\Winamp\winamp.exe
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

ok

winamp.exe:
File size: 1101824 bytes
MD5: 05a33da526fa7f80b2524abf9878ba6e
SHA1: e7ef320719afaebcd7403ec79d93ceee0e35a8be

und BlackLight:

Code:

12/21/06 15:08:23 [Info]: BlackLight Engine 1.0.47 initialized

12/21/06 15:08:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)

12/21/06 15:08:23 [Note]: 7019 4

12/21/06 15:08:23 [Note]: 7005 0

12/21/06 15:08:27 [Note]: 7006 0

12/21/06 15:08:27 [Note]: 7011 348

12/21/06 15:08:27 [Note]: 7026 0

12/21/06 15:08:27 [Note]: 7026 0

12/21/06 15:08:29 [Note]: FSRAW library version 1.7.1020

12/21/06 15:10:14 [Note]: 2000 1012

12/21/06 15:10:14 [Note]: 2000 1012

12/21/06 15:10:14 [Note]: 2000 1012

12/21/06 15:10:14 [Note]: 2000 1012

12/21/06 15:10:14 [Note]: 2000 1012

12/21/06 15:10:14 [Note]: 2000 1012

12/21/06 15:13:37 [Note]: 7007 0

MfG.. T2

Zusätzlich zu Blacklight, wäre ein Scan mit Rootkitrevealer nicht verkehrt.

Edit:

Im Zweifelsfall die Kiste platt machen. Wenn die Rootkitscanner nichts finden, wäre es interessant was ein Forensiker dazu sagt. Aber disen stress wirst Du Dir wohl nicht antun wollen.

so, mitlerweile weiß ich etwas mehr,
RootkitRevealer hat etwas gefunden, aber ich weiß nicht was es heißt, hier das ergebnis:

http://img303.imageshack.us/img303/2968/logcs7.th.jpg

ich kann jetzt auch wieder mit dem rechner ins Internet, da ich bemerkt habe das dieser unaufhörbare Datenstrom vom Rechner nur entsteht, wenn ich den Prozess "Generic Host Process for Win32 Services" erlaube als Sever zu fungieren, in ZoneArlam.

Jetzt kann ich immerhin im Internet surfen ohne das mein rechner als Sever dient oder wie auch immer -.-... ^^

Ich glaube die Situation hat sich erledigt. Nach der Reperatur der windows Firewall die nicht mehr funktionierte der und nach den neuen updates von Windows habe ich auch keine Probleme mehr. Desweiteren habe ich mit TcpView meine verbindungen kontrolliert. ZoneAlarm ist wieder runter Avast wieder drauf Windows und alle anderen dinge wieder auf den neusten Stand.

Außerdem bin ich sehr erfreut das ihr mir helfen konntet. Ach und jetzt kenn ich zumindesten mehr möglichkeiten und tools um bösewichte zu beseitigen ..

thx @ all http://home.arcor.de/tezwo/smilies/grenade.gif