Zuviele identische e-mails für diesen zeitraum

[iMaGiNaRy]

Nabend Leute.
Ihr seit meine letzte Hoffnung!
Mein Avast zeit mir immer die selbe Meldung an.

ZUVIELE IDENTISCHE E-MAILS FÜR DIE FESTGESETZTE ZEIT!!!

Habe adawra, spy-bot, avast, und und und laufen lassen jedoch ohne Erfolg.
Habe gesaht das hier diesen Problem schoneinmal aufgetreten ist, jedoch kann ich durch diese Problemlösung nicht das gewüschnste Ziel errichen.

Ich erbitte schnelle und erfolgreiche Hilfe.

HijackThis spuckt folgenes raus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:54:14, on 10.02.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Adaware\aawservice.exe
C:\WINDOWS\Explorer.EXE
D:\Avast\aswUpdSv.exe
D:\Avast\ashServ.exe
C:\Programme\avmwlanstick\wlangui.exe
D:\Avast\ashDisp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Glass2k\Glass2k.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WinFlip\WinFlip.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Alcohol 120%\StarWind\StarWindServiceAE.exe
D:\FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\wdfmgr.exe
D:\Avast\ashMaiSv.exe
D:\Avast\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
D:\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avast!] D:\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [Glass2k] C:\Programme\Glass2k\Glass2k.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TrueTransparency] "C:\Programme\TrueTransparency\TrueTransparency.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] D:\HijackThis\HijackThis.exe /startupscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WinFlip.lnk = C:\Programme\WinFlip\WinFlip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WinMain - {C231CF11-134F-3552-44AC-E685D962C63C} - C:\WINDOWS\system32\adduser32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Adaware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Avast\ashWebSv.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: NBService - Nero AG - D:\Nero7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Start BT in service - Unknown owner - D:\Bluesoleil\StartSkysolSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\WINDOWS\

--
End of file - 5832 bytes

 

[werkam]

ZUVIELE IDENTISCHE E-MAILS FÜR DIE FESTGESETZTE ZEIT

Da bekommst Du auf Dein Mailkonto wohl zuviele identische Mails, da solltest Du mal das Mailkonto prüfen, da hat der Rechner selbst doch nichts mit zu tun. Oder schickt Dein Rechner Dir selbst die ganzen Mails?

 

[HisN]

hast Du Dir das Log mal auf Hijackthis analysieren lassen?
Wenn ja, was sind die 3 Prozesse die die da nicht kennen?

O4 - HKCU\..\Run: [TrueTransparency] "C:\Programme\TrueTransparency\TrueTransparency.exe"
O21 - SSODL: WinMain - {C231CF11-134F-3552-44AC-E685D962C63C} - C:\WINDOWS\system32\adduser32.dll
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\WINDOWS\

 

[iMaGiNaRy]

Zuviele identische e-mails für die festgesetzte Zeit


Absender:  "Vojtek Fritsch" <deojb@ICOMCHINA.COM>
Empfänger:  www.essenxemagazine.com@magazines.com
Betreff:  Your package will be extra large this Valentine's DayZuviele identische e-mails für die festgesetzte Zeit


Absender:  "Jasan MacDougall" <_demarfes@ICOMCHINA.COM>
Empfänger:  www.essenxemagazine.com@magazines.com; www.enigma-187@excite.com
Betreff:  Being normal is not good enough, you need a bigger d1ck


------------------------------


Zuviele identische e-mails für die festgesetzte Zeit


Absender:  "Vojtek Fritsch" <deojb@ICOMCHINA.COM>
Empfänger:  www.essenxemagazine.com@magazines.com
Betreff:  Your package will be extra large this Valentine's Day


---------------------------------------

Zuviele identische e-mails für die festgesetzte Zeit


Absender:  "Fereidoon gazsi" <desroche@ICOMCHINA.COM>
Empfänger:  [email]rhrosenb@egy.com[/email]
Betreff:  Your Valentine's Day will be SPECIAL this year

-------------

Diese Meldung bekomme ich!
Immer anders wüsste nicht das ich ein E-mailkonto Aktiv habe da alles über web.de läuft





@ HisN
Wurde mit dieser Software noch nie konfrontiert, habe nur gesehen das sie euch weiterhilft.
Deswegen bitte ich um eine narrensichere Anweisung.
Wie kann ich diese überprüfen lasse?

 

[HisN]

Mach netstat -a in der Console, und dann siehste ja ob Dein Rechner ständig pop3-Verbindungen aufbaut

 

[werkam]

Und wie kommst Du dann an diese Mails, werden sie irgendwo abgerufen? Soviel ich erkennen kann sind das doch alles Spammails.

 

[HisN]

Überprüfen: Du kopierst das Log bei www.hijackthis.de ins Fenster und schaust Dir die Auswertung an.

 

[iMaGiNaRy]

Mach netstat -a in der Console, und dann siehste ja ob Dein Rechner ständig pop3-Verbindungen aufbaut

Tut mir leit das sagt mir soweit nichts!





Also Spam triffts auf Wort!
Alle 30 bis 60 sek blickt sowas bei mir auf.
Habe jedoch nicht die leiseste Ahnung wo das herkommt!

 

[werkam]

Dein Mailkonto rufst Du wie ab? Outlook, Outlook Express, Thunderbird oder wie?
CMD unter Start ausführen eigeben, dann in der Console netstat -a eingeben.

 

[iMaGiNaRy]

mozilla richtig

den log dort jetzt auswerten lassen und nun? welche info brauchst du?

und das mit der console habe ich auch was muss ich damit tun?

 

[HisN]

Start-Ausführen-CMD und dann in das Fenster das aufgeht "netstat -a" eintippen. Dann erscheint eine Liste die Anzeigt mit wievielen Rechnern Dein Rechner zur Zeit eine Verbindung hat, und deren Namen werden angezeigt. Wenn Dein Browser zu ist, ist diese Liste nur ein paar Einträge lang, hast Du einen Schädling auf dem Rechner, dann können es fix ein paar Seiten werden und die NAMEN die Du da siehst geben Aufschluss an welche Rechner da Daten abgehen, wenn es viele POP-Namen sind, dann schickst Du gerade viel Spam :-)

 

[iMaGiNaRy]

og bei www.hijackthis.de zeigt nur die Sachen an das was nicht stimmen könnte
Der Rest soll sicher sein

Analysedetails
D:\Adaware\aawservice.exe

Art



Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\lavasoft\ad-aware.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Part of Lavasoft Ad-Aware


D:\Avast\aswUpdSv.exe

Art



Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\alwil software\avast4\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.



D:\Avast\ashServ.exe

Art

Sehr sicher
Sehr sicher

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\alwil software\avast4\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Avast Antivirus-Scanner

 

[iMaGiNaRy]

Console sagt folgendes siehe bild:

 

[AndrewPoison]

Das ist definitiv ungesund, dein Rechner scheint als Bot für Spammer zu fungieren. Mit SpyBot oder Adaware bekommst du das echt nicht los?

 

[iMaGiNaRy]

Nein alles schon laufen lassen und gefundendes Romovt.
kaum die internet verbindung wieder aktiviert ging es von vorne los.

 

[AndrewPoison]

Wie siehts im abgesicherten Modus aus?

 

[iMaGiNaRy]

hm.. jetzt wo man es ließt...
ich probiere es mal

 

[HisN]

Format C:
Für Deine und unsere Sicherheit^^

 

[iMaGiNaRy]

Genau das, ist das was ich verhindern möchte und der Grund warum ich nun hier bin.
Gibt es keine Möglichkeit dieses Problem zu beheben, außer Format c:?



Abgesicherter Modus bringt auch nicht viel

Nun kommt jedoch Folgendes:
Ein trjanisches Pferd gefunden

DateiName c:\Dokumente..... \ imaginary \ temp \ wvbvyydx.dll
Malware Name : win-32 tratBHO (Trj)
Malware Typ: trojanisches Pferd
VPS Version: 080210-0, 10.02.2008

 

[HisN]

Ist in meinen Augen eine Zeit-Frage
Ich brauche 12 Minuten um ein Windows zu installieren (es sei denn die Kiste ist echt uralt). Mit ein bisschen Vorbereitung (nlite) braucht man keine Update-Orgie fahren, und wenn man nicht sofort jeden Registry-Tweak installiert den man glaubt zu brauchen und jedes Software-Paket installiert das man glaubt zu brauchen, dann kann man nach 30 Minuten wieder arbeiten.

Du ackerst schon deutlich länger an Deinem Problem. Meine Zeit wäre mir dafür einfach zu kostbar, aber so hat halt jeder seine Präferenzen.

Nicht konstruktiv, ich weiß. Ich hab leider keine Ahnung wie Du die Ursache Deines Problem findest, ich bin besser im Hinweise deuten^^ und klinke mich dann hier aus dem Fred aus.
Und nur für Deinen Hinterkopf: Eine Ursache finden, und sie auch so beseitigen dass Dein System nicht mehr kompromitiert ist, das sind zwei verschiedene Paar Schuhe, und ich würde mich aus Faulheit gar nicht erst darauf einlassen, Du kannst Dir nämlich ab jetzt nicht mehr sicher sein, dass Dein System sicher ist. Nur darum gibt es so viele Zombie-PCs. Ausserdem würde ich über Deine Sicherheits-Einstellungen im Kopf nachdenken (Deine Sicherheits-Software hat ja schon versagt, über die brauchen wir keine Worte verlieren). Wer ein bisschen Disziplin im Netz zeigt, dem passiert sowas auch nicht.

Viel Erfolg.