SVCHOST Versendet bösartig Mails

[Recounter]

Hallo zusammen,

Seid gestern habe ich auf meinen Host-PC, nach ZoneAlarm nun die Outpost Firewall installiert, nachdem T-Online mir per Mail mitteilte das von meinem Anschluss aus Spam Mails versendet wurden.
Ich musste erstaunt feststellen, dass über svchost, welcher sich mit Sites wie mail.*.com oder ähnlichem verbindet und warscheinlich darüber auch anscheinend erfolgreich versucht Mails zu verschicken.
Ich habe etliche Programme wie AntiVir, Spybot, Windows Tool zum entfernen bösartiger Software, den Avert Stinger, und und und durchlaufen lassen, aber keines hat irgendwas gefunden.
Die Outpost Firewall blockt jetzt alle Verbindungen zu diesen Sites ab, da svchost aber weiterhin im Sekundentakt versucht sich mit diesen Sites zu verbinden (pro Min ca 300 Verbindungsversuche) steigt die Prozessorauslastung damit erheblich und daher für längere Zeit nicht die Lösung des Problems. Ich kenne mich auf diesem Gebiet auch nicht sooo dolle aus, weshalb ich jetzt hier hoffe Tipps oder vlt. sogar eine Lösung zu dem Problem zu finden.

Danke für jede Antwort schonmal im Voraus

 

[Insanic]

da svchost ja als windows task erscheint, vielleicht hilft dir dieses programm:

http://www.neuber.com/taskmanager/deutsch/

 

[Recounter]

Aber das Prog hilft ja auch nicht wirklich weiter...
Ich kann den Prozess ja auch nicht einfach beenden oderso.
Denn sonst funzt die hälfte der Services net mehr.

 

[Insanic]

ja, es gibt den windows dienst svchost, den du natürlich nicht ausschalten darfs/kannst/ect.

es gibt den dienst svchost auch nichtnur einmal, sondern mehrfach, paar davon sind normale windows dienste, manches kann auch dann ein trojaner/virus sein.

 

[Recounter]

Ich habe mir das Ding jetzt mal runtergeladen und alles was läuft angeguckt.
Alle angezeigten Prozesse sind mir bekannt und gehören zu vertrauenswürdigen Programmen.
Der Dienst svchost erscheint garnicht in der Liste des Programms, dass ist normal.

Weiss denn niemand was man noch machen könnte?

 

[Andy4]

Das schwierige ist nur, heraus zu finden um welche svchost es sich handelt. Was sagt dir denn z. B. Hijackthis zu der Datei?

WinTotal Spywareliste: Dort bitte "svchost" eingeben. Wie sieht es mit Online-Virenscannern aus?

Edit: Hijackthis, wie funktionierts?

Gruß Andy

 

[Woogie]

Probier mal einen Onlinevirenscan ! ZB. HIER!

 

[Nebulus Jones]

Falls du das noch nicht gemacht hast, zieh dir die neusten windows updates und lass dann mal das Anti Spy Tool von Microsoft laufen.

 

[Recounter]

Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:12:06, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
F:\Program0\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\eMule\emule.exe
F:\Program0\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Teamspeak2_RC2\server_windows.exe
F:\Program0\Digital Imaging\bin\hpqSTE08.exe
F:\Program0\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\DynDNS Updater\DynDNS.exe
C:\WINDOWS\system32\ntvdm.exe
\Jens2\Freigaben\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] F:\Program0\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: TeamSpeak 2 Server.lnk = C:\Programme\Teamspeak2_RC2\server_windows.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Program0\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = F:\Program0\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A4B53AB-0536-46CD-9292-588FDE2E6A21}: NameServer = 217.237.148.65 217.237.148.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Ist laut hijackthis.de onlineauswertung ok und ich erkenn da auch nix böses.

Ich habe schon etliche Online Scanner Probiert, erfolglos.
Windows Tool habe ich schon durchlaufen lassen, nix gefunden.

Ich tue gleich nochmal die neuesten Win-Updates drauf.
Outpost zeigt an, dass sehr viele Verbindungen zu diesen online-mail Seiten über smtp port NUR rausgehen!

 

[Andy4]

Ich frage mich ob das funktionieren könnte. Wenn du die Datei einfach überschreibst, und ich dir zum Beispiel die Datei Anhängen würde?

Edit: Also ich hab jetzt mal versucht alle Svchost im Taskmanager zu beenden. Es geht auch. Nur kommt dann die Meldung RPC Blablabla wurde beendet: Zeit bis zum Herunterfahren 60 Sekunden. In der Zeit könntest du die Datei aber überschreiben. Das Probiere ich jetzt noch schnell aus moment.

Du müsstest es im Abgesicherten Modus vollziehen. Kopier die Datei schon mal "Strg+C" Den Taskmanager immer offen lassen. Jede Svhost beenden. Die 60 sec. Meldung ignorieren. Erneut im Taskmager die Svchosts schließen. So 3 bis 4 mal. Dann kannst du die Datei mit "Strg+V" einfügen. Das Verzeichnis auf jedenfall schon mal offen halten: C:\Windows\System32\

Edit: Ich hoffe es klappt. Vielleicht lässt du es aber lieber mit der Datei von mir, da ich die Home Edition besitze. Und darüber weiß ich leider auch nicht genug bescheid. Ob es von Version zu Version verschiede Dateien sind. Ich denke aber, es wird die gleiche sein.

Gruß Andy

 

[JJay]

also ich hätte mein System neu aufgesetzt ... geht schneller als dieser Hickhack, mit Kopieren und so.

wenn Du das nämlich nicht hinbekommst, riskierst du u.U. noch eine Klage wegen Spammens

Jay

 

[Recounter]

Nene eine Klage bekomm ich erstmal nicht, dafür sind die Gesetze hier zum Glück noch zu locker^^
Aber das ist sozusagen mein "Server" und den hab ich vor nem Monat erst neu aufgesetzt, da hab ich wegen so nem dummen Worm kein Bock druff.(Außerdem krieg ich so auf die schnelle die 500GB nicht unter^^)
Ich werde das mit dem austauschen gleich mal testen.

 

[Stewi]

Versatel z.B sperrt Accounts, von denen mehr als 100 Mails am Tag versendet werden, weil die dann automatisch davon ausgehen, daß du entweder ein Spammer bist, oder dein PC virenverseucht ist.

 

[Siggiminator]

Hab ne Idee,
versuch mal den ProcessExplorer, da siehst du genau was sich hinterdem Task verbirgt, und welche Service auf diesem laufen:

http://www.sysinternals.com/Utilities/ProcessExplorer.html

 

[Recounter]

Seitdem ich den PC neugestartet hatte, wurden dann auf einmal keine Mail-Seiten mehr angesprochen.
Ich hoffe mal, dass was auch immer es jetzt war, wirklich weg ist.
Vielen Dank für die Hilfe.