SPAM Versand, kann kein Virus oder Trojaner finden

#1 Hi,
ich bin am verzweifeln.
Mein Rechner versendet pausendlos über verscheiden Ports Smtp Mails an PORt 25.
Sind verscheiden Server die angesprochen werden.
Ich kann aber keinen Virus finde.
Nichts.
Weder TrendMicro, noch Highjack und div. finden etwas ungewöhliches.
Da kommen pro Minuten fast 1000 Emails zusammen.Das einzige was ich finde ist den services.exe.Ist auch im richtigen Verzeichnis.Richtige Größe hat es auch.
Man sieht nur das die services.exe verdammt viele Port 25 aufbaut.
Das ist das einzige.
Kein Trojaner, Wurm, Virus od. sontiges konnte ich mit verschienden Programmen bisher finde.
Ich hoffe ihr könnt mir weiterhelfen.
ich verzweifle langsam.
DANKE
Gruß

#2 Poste bitte dein Hijackthislog und nehme den Rechner wenn möglich vom Netz.
Mehr Infos hier => http://board.protecus.de/t23188.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Logfile of HijackThis v1.99.1
Scan saved at 14:20:40, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IBM\SQLLIB\BIN\db2jds.exe
C:\Programme\IBM\SQLLIB\BIN\db2sec.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Ora81\BIN\OWASTSVR.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\PK17AF.EXE
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\dpmw32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toad for Oracle\TOAD.exe
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\ESTOS\ProCall\ProCallEx.exe
E:\Privat\Programme\Shareaza2.1.4.0\Shareaza.exe
C:\Dokumente und Einstellungen\MRink\Desktop\IBProcMan.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\system32\dpmw32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{04CBCFB8-06DD-4761-83C6-1D685EC9E672}: NameServer = 192.168.100.7,192.168.100.6
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\TOADFO~1\RNetPin.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tphotkey - tphklock.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2jds.exe
O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2sec.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\Programme\Ora81\BIN\ONRSD.EXE
O23 - Service: OracleWebAssistant0 - Oracle Corporation - C:\Programme\Ora81\BIN\OWASTSVR.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Port Reporter (PortReporter) - Unknown owner - C:\Programme\PortReporter\portreporter.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

#4 Soweit ok bis auf
C:\WINDOWS\TEMP\PK17AF.EXE , hier bin ich mir wirklich nicht sicher- Dateien, die aus einem Temp-Ordner heraus starten gehören meist keinem der regulären Progrmme an.
Bitte prüfe die Datei unter www.virustotal.com und poste das Ergebnis.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Das wird eine Datei von Trendmicro sein, die den Guard ueberwacht. Wenn der Guard terminiert wird, dann startet diese Temp. Datei den Service neu.

Ein Datfind Report waere hier nuetzlich http://virus-protect.org/datfindbat.html .
Wobei mir der Rechner auch sehr nach Fimrenpc aussieht. In dem Fall den Admin fragen, was gemacht werden muss.....
__________
MfG Ralf
SEO-Spam Hunter

#6 Danke.
Der Admin bin ich selber.
Ich bin ja nicht blöde, aber diesen Ding bzw. es sieht ja nach keinem Virus aus.
Der TrendMicro findet nichts.
Und auch die anderen Tools finden rein gar nichts.
Diese Exe ist von Trend Micro, also OK.
Das Problem ist, das der PC unsere Firewall regelrecht mit SMTP beschießt.
Auf der Rechner selber finde ich aber nichts.
Nur das der Prozess services.exe auf Port 25 was rausschickt.
Der Source Port verändert sich.
Habe die Emails mal abgefangen.

Das steht drin:

Ein Bild mit Viagra und so einen Schmodder,

closely aligned
policy. Hargittai wont much
Politics Plato Aristotle Belief
against owner

Kann mir vielleicht einer nen TIP geben, um was es sich da handelt?

#7 raman hat es schon angegeben

Zitat

Ein Datfind Report waere hier nuetzlich http://virus-protect.org/datfindbat.html

__________
MfG Argus

#8 Bitte schön.
Hoffe das hilft euch weiter.


Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: DCD2-BE6D

Verzeichnis von C:\

07.06.2006 09:44 0 sys.txt
07.06.2006 09:44 8.683 system.txt
07.06.2006 09:44 3.414 systemtemp.txt
07.06.2006 09:44 116.727 system32.txt
07.06.2006 08:13 805.306.368 pagefile.sys
06.06.2006 12:16 244 sqmnoopt01.sqm
01.06.2006 15:41 173 _arm_errors.log
31.05.2006 12:09 244 sqmnoopt00.sqm
31.05.2006 09:02 194 BOOT.INI
30.05.2006 10:41 40 Auth.prof
07.04.2006 11:57 4.892 _GEAREXT.WO_IDENT.TXT
05.04.2006 12:50 600 PUTTY.RND
21.03.2006 09:56 13.824 dvb.GRF
08.03.2006 16:34 55.356 com.elixgroup.db2.jar
08.03.2006 13:07 38.632.480 FOO1
23.02.2006 10:27 40 Auth.prof (0)
27.01.2006 11:43 13.173 PAD.db2
23.01.2006 15:36 429 datFind.bat
03.01.2006 12:33 912 test.pad
26.09.2005 13:18 0 MSDOS.SYS
23.09.2005 10:09 21 tmuninst.ini
23.09.2005 08:37 0 IO.SYS
23.09.2005 08:37 0 AUTOEXEC.BAT
23.09.2005 08:37 0 CONFIG.SYS
27.08.2005 01:56 0 BOOTLOG.TXT
27.08.2005 01:51 0 BOOTLOG.PRV
27.08.2005 01:47 308 ccrrec.ver
27.08.2005 01:16 1.383 SYSLEVEL.IBM
10.08.2004 13:07 512 BOOTSECT.DOS
04.08.2004 05:00 47.564 NTDETECT.COM
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 4.952 bootfont.bin
11.10.2001 10:14 237.568 hpsrc004.dll
11.10.2001 10:14 73.728 hpgscnsv.dll
34 Datei(en) 844.775.013 Bytes
0 Verzeichnis(se), 6.529.179.648 Bytes frei

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: DCD2-BE6D

Verzeichnis von C:\DOKUME~1\XX\LOKALE~1\Temp

07.06.2006 09:11 512 ~DF62EE.tmp
07.06.2006 08:49 65.536 ipw14.tmp
07.06.2006 08:49 77.824 ipw13.tmp
07.06.2006 08:49 61.440 ipw12.tmp
07.06.2006 08:49 81.920 ipw11.tmp
07.06.2006 08:49 77.824 ipw10.tmp
07.06.2006 08:49 86.016 ipwF.tmp
07.06.2006 08:36 32.768 ~DFD0D8.tmp
07.06.2006 08:19 0 JET6E4D.tmp
07.06.2006 08:15 512 ~DF3C71.tmp
07.06.2006 08:15 49.152 ~DF3C15.tmp
07.06.2006 08:15 512 ~DF1E93.tmp
07.06.2006 08:15 49.152 ~DF1E65.tmp
06.06.2006 16:25 10.225 6mz79.tmp
06.06.2006 15:01 23.427 3aa52.tmp
06.06.2006 15:01 71.682 tgy4E.tmp
06.06.2006 15:01 35.574 l3846.tmp
06.06.2006 15:01 32.204 mu13D.tmp
06.06.2006 15:01 27.777 b4w3B.tmp
06.06.2006 15:01 67.994 8ok3A.tmp
06.06.2006 15:01 67.560 ed239.tmp
02.06.2006 15:34 0 6ut6A.tmp
02.06.2006 15:33 0 kcf69.tmp
02.06.2006 15:32 0 lqk68.tmp
02.06.2006 15:31 0 owj67.tmp
02.06.2006 15:31 0 kwt66.tmp
02.06.2006 15:30 0 v8r65.tmp
02.06.2006 15:27 0 9hu64.tmp
02.06.2006 08:27 6.685 radarcache-default-1.gif
01.06.2006 23:26 442 vminst.log
31.05.2006 16:14 23.427 3yf8A.tmp
31.05.2006 16:14 71.682 ocl89.tmp
31.05.2006 16:14 10.225 7hb88.tmp
31.05.2006 16:14 35.574 jiz87.tmp
31.05.2006 16:14 32.204 8wv86.tmp
31.05.2006 16:14 27.777 or984.tmp
31.05.2006 16:14 67.994 7yt83.tmp
31.05.2006 16:14 67.560 cr382.tmp
31.05.2006 11:57 16.384 ~DF7413.tmp
31.05.2006 09:38 0 TWAIN.LOG
31.05.2006 09:38 2 Twain001.Mtx
31.05.2006 09:31 78 251
31.05.2006 09:31 49 573
31.05.2006 09:31 108 294
31.05.2006 09:31 103 9
31.05.2006 09:31 107 257
31.05.2006 09:31 106 699
31.05.2006 09:31 100 813
31.05.2006 09:31 91 139
31.05.2006 09:31 154 958
31.05.2006 09:19 490.686 tmp-1.xpi
31.05.2006 09:19 150.337 tmp.xpi
31.05.2006 08:46 65.536 ipw3E.tmp
31.05.2006 08:46 77.824 ipw3D.tmp
31.05.2006 08:46 61.440 ipw3C.tmp
31.05.2006 08:46 81.920 ipw3B.tmp
31.05.2006 08:46 77.824 ipw3A.tmp
31.05.2006 08:46 86.016 ipw39.tmp
31.05.2006 08:15 65.536 ipwE.tmp
31.05.2006 08:15 77.824 ipwD.tmp
31.05.2006 08:15 61.440 ipwC.tmp
31.05.2006 08:15 81.920 ipwB.tmp
31.05.2006 08:15 77.824 ipwA.tmp
31.05.2006 08:15 86.016 ipw9.tmp
30.05.2006 10:25 0 9qt3A4.tmp
27.05.2006 14:28 111 DFC5A2B2.TMP
07.03.2006 18:34 0 $b17a2e8.tmp
30.11.2005 14:46 69.752 uni1E.tmp
68 Datei(en) 2.892.469 Bytes
0 Verzeichnis(se), 6.529.196.032 Bytes frei

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: DCD2-BE6D

Verzeichnis von C:\WINDOWS

07.06.2006 09:10 291 hpbafd.ini
07.06.2006 08:19 342.413 WindowsUpdate.log
07.06.2006 08:14 3.514 DPRPMLOG.TXT
07.06.2006 08:14 65 iTouch.ini
07.06.2006 08:13 159 wiadebug.log
07.06.2006 08:13 50 wiaservc.log
07.06.2006 08:13 0 0.log
07.06.2006 08:13 2.048 bootstat.dat
06.06.2006 18:14 32.552 SchedLgU.Txt
06.06.2006 11:13 2.169.146 ntbtlog.txt
06.06.2006 09:41 116 NeroDigital.ini
06.06.2006 08:24 1.866.458 setupapi.log
31.05.2006 15:43 220.007 setupact.log
31.05.2006 09:02 878 win.ini
31.05.2006 09:02 246 system.ini
30.05.2006 11:21 206 EurekaLog.ini
22.05.2006 22:10 504 TMFilter.log
10.05.2006 11:34 583 WeXplore.ini
10.05.2006 11:24 28 MRink.acl
05.05.2006 15:17 208.896 boinc.scr
02.05.2006 17:00 2.304 cvavr.ini
24.04.2006 11:02 1.880 AUTOLNCH.REG
24.04.2006 08:32 1.360 MKDEMSG.LOG
24.04.2006 08:31 1.536 MKDEWE.TRN
19.04.2006 12:30 0 prntfix.und
19.04.2006 12:29 11 NetWare.INI
19.04.2006 12:20 723 patch.log
03.04.2006 10:04 53.760 wmsetup.log
21.03.2006 14:33 66.660 DirectX.log
21.03.2006 09:53 737.280 iun6002.exe
10.03.2006 12:14 121 GEARInstall.log
07.03.2006 18:35 0 hosts
03.03.2006 10:29 160 lexware.ini
16.02.2006 16:32 1.091 ARCHPR.INI
07.02.2006 18:23 3.444 aksdrvsetup.log
07.02.2006 18:22 23 yacht.xws
07.02.2006 18:12 19.430 dasetup.log
07.02.2006 18:11 42 trailer.xws
07.02.2006 17:38 0 setuperr.log
03.02.2006 09:59 3.186 tm.ini
03.02.2006 09:58 114 tdf.dii
02.02.2006 13:57 0 DwRun.INI
02.02.2006 13:57 0 TwKon.INI
11.01.2006 15:21 1.042 ODBC.INI
02.01.2006 22:16 5.000 mozver.dat
21.12.2005 12:30 6.058 Sysvn32.dll
08.12.2005 16:49 109 notesnsd.ini
01.12.2005 13:59 107.132 UninstallFirefox.exe
14.11.2005 11:02 4.524 ODBCINST.INI

169 Datei(en) 19.277.171 Bytes
0 Verzeichnis(se), 6.529.179.648 Bytes frei

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: DCD2-BE6D

Verzeichnis von C:\WINDOWS\system32

07.06.2006 09:13 289.280 TPHDLOG0.LOG
07.06.2006 08:16 121.792 TPAPSLOG.LOG
07.06.2006 08:13 176.448 ckpNotify.log
05.06.2006 12:31 2.278 wpa.dbl
01.06.2006 17:55 7.148 ikhcore.log
01.06.2006 16:44 18.543.822 UTWCZPR
21.05.2006 09:10 181.040 FNTCACHE.DAT
22.04.2006 17:22 60.200 sirenacm.dll
26.03.2006 14:46 54.308 perfc009.dat
26.03.2006 14:46 383.368 perfh009.dat
26.03.2006 14:46 394.258 perfh007.dat
26.03.2006 14:46 65.186 perfc007.dat
26.03.2006 14:46 905.896 PerfStringBackup.INI
21.03.2006 14:33 98.304 CmdLineExt.dll
18.01.2006 14:05 57.344 avsda.dll
30.12.2005 21:18 180.224 xvidvfw.dll
30.12.2005 21:10 761.856 xvidcore.dll
22.12.2005 22:31 6.144 ff_vfw.dll
22.12.2005 11:20 4.543 NMAS_Client_InstallLog.log
16.12.2005 15:51 1.872 AUTOEXEC.NT
14.12.2005 20:09 1.809 sdbackup.reg
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
02.12.2005 17:42 630.784 vp7vfw.dll
14.11.2005 11:06 113 jdbcerr.log
22.10.2005 03:42 118.784 ac3acm.acm
20.10.2005 22:32 614.400 msvcr80.dll
20.10.2005 22:31 540.672 msvcp80.dll
12.10.2005 16:49 3.799 jupdate-1.5.0_04-b05.log
26.09.2005 13:19 13.401 setup.stf
23.09.2005 10:19 38 '
23.09.2005 08:56 995 mapisvc.inf
23.09.2005 08:40 100 LuResult.txt
23.09.2005 08:37 10 firstboot.ibm
23.09.2005 08:36 2.451 $winnt$.inf
23.09.2005 08:28 961 README.TXT
23.09.2005 08:27 131.072 psexec.exe
22.09.2005 16:14 81.920 cpwmon2k.dll
22.09.2005 13:48 225.280 cpwsave.exe
01.09.2005 13:43 135.168 Psinfo.exe
27.08.2005 01:55 333 $ncsp$.inf
27.08.2005 01:38 634 InstallUtil.InstallLog
27.08.2005 01:31 308 results.txt
27.08.2005 01:27 2.086 SMBIOS.bin
27.08.2005 01:23 16.832 amcompat.tlb
27.08.2005 01:23 23.392 nscompat.tlb
27.08.2005 01:16 2.458 OEMINFO.INI
14.08.2005 15:43 149.504 spflist.exe
02.08.2005 15:35 880.640 ccsw32.dll
02.08.2005 10:55 64.072 Pstools.chm
01.08.2005 23:47 106.496 crlcm.dll
29.07.2005 18:48 839.762 novnpnt.dll
29.07.2005 14:36 135.200 dpswin32.dll
29.07.2005 14:36 90.144 dplrname.dll
29.07.2005 14:36 172.064 dppwin32.dll



edit

#9 Fahren wir mal ein paar staerkere Geschuetze auf. Wenn du weisst, das die services.exe "injected" wurde, kannst du mal mit dem Processmanager von Hijackthsi(unter miscs tools section) schauen, welche dlls zu dieser Datei geladen werden. Als 2. nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit hilfe von copy den Bericht hier einfuegen.
__________
MfG Ralf
SEO-Spam Hunter

#10 1.
C:\WINDOWS\hosts muss geloescht werden.........

+
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program

+
temp-Files mit CleanUp! loeschen
http://virus-protect.org/cleanup.html

+
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\TEMP\PK17AF.EXE

-------------------------------------------------------

+
E:\Privat\Programme\Shareaza2.1.4.0 deaktivieren (Taskmanager)

------------------------------------------------------------

dann , was raman geschrieben hat + Onlinescans
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Die Datei C:\WINDOWS\TEMP\PK17AF.EXE ist, wie von djsven schon bestaetigt von Trend Micro. Die Hostsdatei hat die groesse Null, dort ist also nichts drin enthalten, koennte aber auf das infektionsdatum hinweisen.

Interessant waere, was in dieser Datei steht:
01.06.2006 16:44 18.543.822 UTWCZPR
__________
MfG Ralf
SEO-Spam Hunter

#12 So habe ich gemacht.
Der findet in C:\windows\system32:28309(***hidden***) sysbus32

So das wars.
Aber ich finde keine Datei.
Und ehrlich gesagt, wenn ich jetzt auf killen gehe, was passiert dann?
XP putt?

Ich finde auch nur was im nicht abgesichreten Modus.
Gruß

#13 Das ist ein neuerer Spamtool.Mailbot und was es macht, hast du ja schon gemerkt!

Gmer ist in der Lage diesen Eindringling zu deaktivieren und zu loeschen. Hier hat es auf mehreren WinXP und einem Win2000 Rechner gut funktioniert.

Dazu gmer starten, Meldung ueber Fund und die Frage nach einem scan verneinen, auf den Reiter Services gehen. Dort taucht der Service sysbus32(wurde doch als service gemeldet?) in Rot auf. Diesen mit der rechten Maustaste anklicken und delete waehlen. Die frage, ob du den Service loeschen moechtest mit ja beantworten und ob es die Datei C:\windows\system32:28309 loeschen soll ebenfalls. Danach einfach neu starten und erneut pruefen, ob gmer noch etwas meldet.

Wie gesagt, auf eigenes Risiko.
__________
MfG Ralf
SEO-Spam Hunter

#14 Kleiner Nachtrag, 28309 ist ein NTFS-Stream und ist mit Boardmittel fast nicht zu finden.

Kleine FAQ dazu: http://heysoft.de/Frames/f_faq_ads_de.htm
__________
MfG Ralf
SEO-Spam Hunter

#15 die sys auch aus der Registry loeschen...siehe
http://virus-protect.org/artikel/dienste/sysbus32_sys.html
__________
MfG Sabina

rund um die PC-Sicherheit