Plötzliches versenden von Mails, kein Virus zu finden!

#0
30.07.2004, 19:51
...neu hier

Beiträge: 2
#1 Hallo miteinander.

Seit 3 Tagen habe ich folgendes Problem:

Mein Rechner fängt plötzlich an ganz viele mails zu versenden, das sehe ich an der Postausgangsprüfung von Norton Antivirus. Oft kann die Mail dann nicht versandt werden, da der Adressat nicht akzeptiert wird. Beende ich dann die Connection und starte wenig später neu passiert nichts mehr. Da ist kein richtiges Muster zu erkennen, keine bestimmte Zeitperiode oder sowas.
Es scheint als ob es mal aktiv ist und mal nicht.

Meine Maßnahmen bis jetzt bestanden darin, ständig Norton Antivirus komplett laufen zu lassen, Ad-Aware laufen zu lassen und dazu habe ich mir auch diverse Removal-Tools runtergeladen, die Würmer entfernen sollen.

Es wird aber rein gar nichts gefunden.

Das Ganze hat erst nach einem bestimmten Vorfall begonnen. Vor 3 Tagen lud ich ein Live-Update herunter, also über die Live-Update Funktion von Norton Internet Security 2004. Die verursachte einen Fehler. Anschließend machte ich einen Neustart. Danach versuchte ich das Update erneut und es war erfolgreich. Nachdem war aber keine Verbindung zum Mailserver und zu Internetseiten herzustellen, Trillian hingegen funktionierte. Ich deaktivierte die Firewall und alles lief wieder. Also löschte ich alle programme bis auf die von Symantec aus der Firewallzuweisung und danach klappte auch alles wieder.
Dann plötzlich fing aber das oben erwähnte Symptom an.

Ich habe bereits Highjackthis benutzt und poste mal mein Log, vielleicht könnt ihr mir hier ja helfen!?

Danke im Voraus.

Affengesicht!!!

Zitat

Logfile of HijackThis v1.98.0
Scan saved at 19:41:50, on 30.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\GAUSOR\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.affengesicht.com/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zcafmtk] rundll32 C:\WINDOWS\System32:zcafmtk.dll,Init 1
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\RunOnce: [*zcafmtk] rundll32 C:\WINDOWS\System32:zcafmtk.dll,Init 1
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/176765e7d874c3aa9118/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_0_DE2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B777202F-DAB1-484E-861E-C1814AA65103}: NameServer = 195.202.32.79 195.202.33.68
Seitenanfang Seitenende
30.07.2004, 20:03
Moderator

Beiträge: 7798
#2 Du hast einen Afcore Trojaner auf deinem Rechner, Starte mal eine Dosbox( auf Start/ausfuehren gehen, dort cmd eingeben und enter druecken). Dort kopiere mal folgende Zeile hin:

rundll32 C:\WINDOWS\System32:zcafmtk.dll,Uninstall

das reicht bei den meisten Afcore Varianten. wenn nicht, sag nochmal bescheid.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.07.2004, 20:14
...neu hier

Themenstarter

Beiträge: 2
#3 Also, dankeschön erstmal. Ich habe das ausgeführt und werde das mal beobachten, da es ja irgendwie nicht regelmäßig passiert.

Eine Frage: Kann das sein, dass ich mir den in der kurzen Zeit eingefangen habe, als ich die Firewall deaktiviert hatte?

Olli...
Seitenanfang Seitenende
30.07.2004, 20:15
Moderator

Beiträge: 7798
#4 Loennte sein, es verbreitet sich durch schlecht gesicherte Netzwerkfreigaben...

u kannst zur sicherheit ja nochmal diesen Tipp befolgen: http://www.trojaner-info.de/hijacker/escan.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: