services.exe wird als Massenmailer missbraucht

#1 Hallo,
seit gestern Nachmittag verbindet sich meine services.exe (Windows Prozess) mit etlichen Mail Servern aus aller Welt über den SMTP Port. Was dabei versendet und empfangen wird, ist mir unbekannt.
Das Problem ist, dass ich nicht herausfinden kann, was dieses Spamming verursacht.

Komplette Virenprüfung mit Kaspersky AV (upgedatet) ergab nichts.
Komplette Prüfung mit Spybot S&D ergab auch nichts.
Alle Dienste/Prozesse/Registry Einträge sehen normal wie immer aus, ohne Änderungen von meinem letzten backup.
Hijack This Log enthält nichts suspektes:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 12:13:05, on 21.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\ICQLite\ICQLite.exe
G:\WhatPulse\WhatPulse.exe
G:\MCAFEE~1\MpfTray.exe
G:\MCAFEE~1\MpfAgent.exe
G:\MCAFEE~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Hawk\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "g:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [PowerStrip] g:\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [WhatPulse] g:\WhatPulse\WhatPulse.exe
O4 - HKLM\..\Run: [KAVPersonal50] "g:\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [MPFExe] G:\MCAFEE~1\MpfTray.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - g:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - g:\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: prio.dll
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - g:\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - G:\MCAFEE~1\MPFSERVICE.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

Alle O4 "n"-Prozesse sind von nVidia, O20 prio ist eine Taskmanager Erweiterung.

Kompletter deep Ad-Aware Scan hat auch nichts gefunden.
Im Windows Ordner gibt es keine neuen/suspekten Objekte, das schließt \windows, \windows\system, \windows\system32, \windows\temp, \windows\help, \windows\web und \windows\prefetch ein. Genau so ist auch nichts auffälliges im Programme- und Benutzerordner zu finden.

Über google habe ich nichts gefunden, was genau meinem Problem entspricht. Es soll mass mail Würmer geben die auch eine services.exe benutzen, aber wie gesagt sind keine suspekten Dateien vorhanden, außerdem ist meine services.exe unverändert, also exakt gleich der originalen von Microsoft.
Allerdings habe ich, um ganz sicher zu gehen ein W32.Sober removal tool von symantec das System durchchecken lassen, aber es hat nichts gefunden.

Ob Mails versendet werden oder nicht, weiß ich nicht, da ich erstens nur webmailing benutze und mich deshalb zweitens mit mailing packets zu wenig auskenne.
Jedenfalls passiert ein fröhlicher Datenaustausch zwischen mir und den mail servern:

Im Sekundentakt schließen sich Connections und neue werden aufgebaut.

Kurzerhand habe ich per Firewall dem services.exe Programm einfach die Verbindung zum Internet verboten, seit gestern hat diese auch ca. 60000 solche "potentiellen Angriffe" geloggt die verhindert wurden, hier ein Ausschnitt:


Leider konnte ich den Anfang dieser mass mailing Serie nicht mitverfolgen, da ich gestern um ca. 16:00 schlafen ging (PC läuft 24/7) und das Ganze irgendwann vor 16:30 mit diesen Firewall-Events begonnen hat, laut den Aufzeichnungen:


Auch habe ich in Dateien und der Registry nirgends Einträge über IP's bzw. IP-Listen oder DNS-Listen gefunden... also frage ich mich auch, woher der Prozess die mail-server kennt.

Außerdem gibt es auch keine Ordner/Dateien wie:
%Windir%\Connection Wizard\Status
,
%Windir%\config\system
,
%Windir%\ConnectionStatus\Microsoft
,
%Windir%\inet10050
,
%Windir%\WinSecurity\services.exe
,
%Windir%\Help\Help
oder
%windir%\WinSecurity

OS sieht man im Hijack This Log und ich verwende keinen Router.


Gibt es denn noch irgendwas, was zur Lösung des Problems führen kann?
Mfg Hawk
Edit: Außer SP2 zu installieren oder Windows zu reparieren/Neu installieren

#2 Hawkin

Das kannst du schonmal durchführen. (Vielleicht findet Sabina was ) Aber SP2 solltest du aber aufjedenfall instaliert haben:


1.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

2.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

3.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)

#3 da ist ein boot und auch eventuell ein rootkit auf dem rechner, formatieren waere das beste
__________
MfG Sabina

rund um die PC-Sicherheit