Hilfe! Mein PC versendet Emails!

[Koba]

Hallo,
Ich hoffe, jemand kann mir helfen.
Seit heute morgen versendet mein PC haufenweise Emails, und das ca. alle 2 Minuten. Einige davon werden von Norton Antivirus geblockt aber ich glaube, dass einige davon trotzdem rausgehen.
Ich hab meinen PC schon einige mal mit dem Norton Antivirus und mit AdAware gescannt. Aber dabei wurde nichts gefunden
mfg Koba

[Computerdirk]

Hallöchen,

woran merkst du das denn das dein PC haufenweise Emails verschickt? Verwendest du Outlook oder Outlook Express oder ein anderes Email-Programm? Antivirensoftware aktuell und aktiv? Firewall aktiviert?

[Koba]

Hallöchen,

woran merkst du das denn das dein PC haufenweise Emails verschickt? Verwendest du Outlook oder Outlook Express oder ein anderes Email-Programm? Antivirensoftware aktuell und aktiv? Firewall aktiviert?

Ich bekomme von Norton Antivirus die Meldung, dass ausgehende Emails überprüft werden. Dabei werden auch einige geblockt.
Ich verwende auch kein Email-Programm und Antivirensoftware und Firewall sind aktiviert und aktuell.

[Nikita]

http://www.spychecker.com/download/down ... kthis.html

Lade den HijackThis, scanne, kopiere (mit der Maus) und poste es hier
---------------------------------------------------------------------------------------------------

Vielleicht hast du so einen Wurm auf dem Comp.
Beispiel:Computer Associates warnt vor dem so genannten Plage2000-Wurm, der sich selbst mittels Outlook oder Exchange verschickt.


HKEY_CURRENT_USER\\ Software\\Microsoft\\Windows NT\\ CurrentVersion\\Windows\\run = "WindowsVerzeichnis"\\INETD.EXE.

Alle fünf Minuten versucht der Wurm dann Verbindung zum Outlook- oder Exchange-Client aufzunehmen. Ankommende E-Mails beantwortet der Wurm noch in ungelesenem Zustand, indem er sich selbst verschickt.

ODER

Name: I-Worm.Hybris
Alias: Hybris, W32/Hybris.gen@M, W32.Hybris
Varianten: W32/Hybris-C, W32/Hybris-D, W32/Hybris-Drop
Typ: Internet/-eMail-Wurm
http://home.t-online.de/home/winni.w/vi ... uermer.htm


MfG
Nikita

[dieCaroL]

Hallo!

Jep! klingt nach Wurm...

Lade dir von Chip.de das Tool "STINGER" runter und lass mal drüber laufen. Brauchst Du nichtmal installieren, kannst du direkt vom netz starten. Das ist echt ganz gut (erkennt viele Viren/Würmer etc) und wird ständig aktualisiert. Sollte der Wurm hartnäckiger sein und nicht vom Stinger gelöscht werden können, am besten mal den Hijackthis-Log hier posten (wie bereits vorgeschlagen).

Dann finden wir auf jeden fall raus, was nicht stimmt und du kannst dir ein passendes removal tool runterladen (Symantec o.ä.).

[WoTan]

Hallo!

Habe genau das gleiche Problem.
Über Norton (ja, ich habe immer aktuelles Update) merke ich das eMails versendet werde.
Im Outlook Ausgang zeigt es aber nichts an. Also wird wohl irgend ein Programm eMails versenden.

Nur was? Wie kann ich das stoppen?


Logfile of HijackThis v1.97.7
Scan saved at 09:44:50, on 05.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AIM95\aim.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\D\D-Info\dinfostarter.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\user\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:14000
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SMSPager 1.03.lnk = C:\Programme\smspager\smspager.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.47.22.132:8080/cgi-bin/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3415856482
O16 - DPF: {A45A8A35-19FA-4E8B-874C-CBA3107F354C} (GVLaunch Control) - http://www.casinolauncher.com/gvlaunch.cab
O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - http://download.privat-x.com/px_client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/roing.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O16 - DPF: {FC9C7D52-C99A-494A-AA79-4A25098F659C} (GVDLoad Control) - http://www.casinolux.com/dload/gvdload.cab

[dieCaroL]

Hi!

gleich vorweg: Sind deine Windows Updates auf dem neuesten Stand? Das ist extrem wichtig und wird oft unterschätzt. wenn nicht: gleich nachholen!

Ich habe mir mal deinen Log angesehen, an deinen Prozessen ist soweit nichts auffälliges bemerkbar..

zu den restlichen einträgen ist zu sagen, dass du spyware und unnützes zeug drinne hast. ist zwar so gesehen kein grund für das "verhalten" deines rechners, aber kümmern wir uns erstmal darum...


Zunächst die Windows Systemwiederherstellung deaaktivieren, dann folgende Einträge fixen:

R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
--> Spyware

O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
--> Spyware

O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll
--> Spyware

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
--> Spyware

O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
--> unnötig

O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - http://download.privat-x.com/px_client.cab

O16 - DPF: {A45A8A35-19FA-4E8B-874C-CBA3107F354C} (GVLaunch Control) - http://www.casinolauncher.com/gvlaunch.cab

O16 - DPF: {FC9C7D52-C99A-494A-AA79-4A25098F659C} (GVDLoad Control) - http://www.casinolux.com/dload/gvdload.cab

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/roing.cab

O4 - Startup: SMSPager 1.03.lnk = C:\Programme\smspager\smspager.exe

Bei dem letzten bin ich mir nicht sicher, ich kenne die anwendung nicht und sie kommt mir suspekt vor. wenn du sie installiert hast, lass sie natürlich drin

Naja, und bei den 5 zuletzt genannten Inet-Adressen wirst du auch selbst wissen, ob sie wichtig für dein System sind


Wenn du alles gefixt hast, startest du neu, lädst dir hier spybot search & destroy runter, führst nach installation ein online-update durch und scannst nochmal.
Am besten dann nochmal nen Hijack-Log machen zur Kontrolle.


Tja, und zu deinem E-Mail prob kann ich dir nichts 100% sagen. Es muss auf jeden Fall ein Wurm sein, der sich über deine Leitung via eMail verbreitet. Aber welcher?
W32.Bugbear z.B. ist so ein Massenmail-Wurm (und ein ziemlich übler sogar). Der versendet sich selbst über eine eigenständige smtp-maschine, was auch zu deiner aussage passt, dass in deinem outlook nichts im Ausgang liegt. Außerdem infiziert er Anwendungsdateien, d.h. du erkennst ihn nicht in deinen Prozessen wieder (siehe oben!).
Ausführliches zum Bugbear findest du hier.

Mir ist aufgefallen, dass du folgendes in deinem Autostart hast:

O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl

Das ist z.B. so eine Anwendung die infiziert sein könnte. Du kannst ja versuchen, sie in deiner Registry aus dem Autostart zu nehmen.
Start --> Ausführen --> regedit.exe eintippen --> Registry geht auf
dann: HKey Current User -> Software -> Microsoft -> Windows -> Current Version -> Run
Den Run-Befehl für Aim95 löschen.

Wenn Du jetzt neu startest (dabei Computer komplett ausschalten und wieder an, nicht bloß Neustart) und der Wurm versucht NICHT, sich selbst zu verschicken, weißt du, welche Anwendung betroffen ist. Natürlich ist sie weiterhin infiziert, aber unter dem o.g. Link findet sich bestimmt auch ein Removal Tool (Symantec ist in solchen Sachen fit...), das du drüberlaufen lassen kannst.

Das ist jetzt natürlich reine Spekulation, weil ich wirklich nicht weiß, was das für ein Wurm ist, aber vielleicht ist es ja ein ansatz...


Ich wünsch dir auf jeden fall viel Glück und halt mich auf dem Laufenden, okay?

*smile*


CaroLina