Hihi, ich habe seit Gestern ein Problem. Mein PC schickt bei aktiver inetverbindung im Sekundentakt die verschiedensten Emails an die verschiedensten Adressen. Hier mal ein Screenshot:

http://img302.imageshack.us/img302/7544/bild11rw.gif

Ich bin ratlos. Windows ist immer auf den neuestem Stand, Firewall (jaja, blabla) auch stets an. Außerdem ist Norton Antivir 2003 im einsatzt welches auch immer auf dem neuestem Stand ist. Ich merke auch das mein PC langsamer wird. im Taskmanager fällt mir nichts Auffälliges auf.

mmm...

Diese Kiste solltest du schnellstmöglich vom Netz nehmen, ein Log von HijackThis erstellen und von einem anderen PC posten. Am besten wäre es wohl, wenn du die Kiste neu aufsetzt, wobei die Frage bleibt, wie es reingekommen ist (Outlook, IE im Einsatz?)

Jage mal Stinger drüber!
Tool von Dingens.org nutzen!
Virusscan ohne akt. Systemwiederherstellung und im abgs. Modus ausführen!

mfg

Hier erstmal der (die,das) Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:37:45, on 12.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System\CSRSS.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
D:\PROGRA~1\FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.465\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - d:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "d:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {61DA93CE-33F4-4EB3-A74B-8B8B1C09858B} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {61DA93CE-33F4-4EB3-A74B-8B8B1C09858B} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110398720960
O17 - HKLM\System\CCS\Services\Tcpip\..\{4274DBA6-6038-46E7-BF41-EA4F27632BF8}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - D:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Ich benutze nur Firefox und Thunderbird. Das System neu aufsetzen ist ausgeschlossen. Ich werde aber wenn wirklich nichts mehr geht, ein Backup von letzter Woche einspielen. Damit wäre das Problem zwar behoben, aber die Ursache bliebe weiter ungeklärt und der PC würde sich eventuell wieder so einen Misst einfangen. Werde jetzt erstmal Spybot und dann Stinger drüberlaufen lassen.

Da sperrt man schon alle überflüssigen Ports und Schlupflöcher und dann immer noch so etwas.

Ich benutze nur Firefox und Thunderbird. Das System neu aufsetzen ist ausgeschlossen. Ich werde aber wenn wirklich nichts mehr geht, ein Backup von letzter Woche einspielen.

Musst du auch erstmal nciht.


Damit wäre das Problem zwar behoben, aber die Ursache bliebe weiter ungeklärt und der PC würde sich eventuell wieder so einen Misst einfangen. Werde jetzt erstmal Spybot und dann Stinger drüberlaufen lassen.

Da sperrt man schon alle überflüssigen Ports und Schlupflöcher und dann immer noch so etwas.

Tja.......Software ist von Menschenhand geschrieben. Wahrscheinlich hast dir was über eine Software oder übers Netzwerk eingefangen.

Teste erstmal die geposteten Tips.

mfg

Das könnte wohl auf deinen PC zutreffen:

Zombie-PCs vermehren sich rasant
.: Kommentare: 0
.: Drucken | Senden
12.07.2005 um 12:12 Uhr Posted by: Lemmi
PCs, die von Angreifern übernommen wurden und von denen aus Spam und Viren verbreitet werden, so genannte Zombie-PCs, vermehren sich mit alarmierender Geschwindigkeit, warnt der kalifornische IT-Sicherheitsspezialist McAfee http://www.mcafee.com . Allein die Anzahl der Schäden, in denen Bot-Codes involviert waren, hat sich in den vergangenen drei Monaten auf knapp 13.000 mehr als vervierfacht, so die Sicherheitsexperten. Demnach sind bereits 63 Prozent mehr Computer mit Bots, Spyware oder Adware infiziert, als noch zum Jahresende 2004. Ein Bot ist ein automatisches Programm, das Befehle aus einer anderen Quelle annimmt.

Die Sicherheitsexperten haben so genannte Zombie-Netzwerke als zunehmende Gefahr für Privatuser und Unternehmen identifiziert. Die Bots verbreiten sich vorrangig über die Server von Chatrooms oder Filesharing-Netzwerke und bleiben von den PC-Usern selbst meistens unentdeckt, berichtet das Branchenportal Cnet. Nach der Infektion mit einem solchen Schadensprogramm können Eindringlinge von außerhalb die Kontrolle über den PC übernehmen und andere Computer angreifen.

Obwohl etwa in den USA Anti-Spyware-Gesetze unterwegs sind, glauben die Sicherheitsexperten von McAfee nicht an einen Erfolg der politischen Maßnahmen. "Es sind zwar vier Anti-Spyware-Gesetze, die dieses zunehmende Problem anpacken wollen, auf dem Weg durch den Kongress", so McAfee Vize-Präsident Vincent Gullotto. "Aber wir glauben, das Problem wird nur noch schlimmer", so Gullotto.

Im abgelaufenen zweiten Quartal ist laut McAfee etwa die Zahl neuer unerwünschter Schadensprogramme gegenüber dem Vorquartal um zwölf Prozent gestiegen. Die Anzahl der von den Experten entdeckten Sicherheitslücken kletterte um fünf Prozent auf über 1.000. McAfee warnt darüber hinaus vor der zunehmenden Anzahl von Attacken mit finanziellem Hintergrund. (pte)

Quelle: http://www.winhelpline.info/news/

mmm...

Gratuliere, es ist ein Trojaner ;)
Böser Process
C:\WINDOWS\System\CSRSS.EXE
! In C:\Windows\System32\ ist die Datei von Windows! Diese in Ruhe lassen!

Böser Eintrag
O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
Welcher das nun genau ist, weiss ich nicht, da sowohl Netsky als auch einige Trojaner diesen Dateinamen als Grundlage nehmen. Auch muss ich gestehen, hab ich nur die laufenden Processe durchgeguckt, es kann also noch mehr dazwischen sein ...

Die Datei raussuchen und mal bei http://www.virustotal.com/flash/virustotal_en.html oder http://virusscan.jotti.org/ scannen lassen (oder bei beiden ;)). Dann könnte man anhand des Namen des Trojaners herausfinden, wie seine Vermehrung funktioniert. Sollte Antivir das Teil nicht erkennen, schick bitte denen ein Exemplar oder mir. Den benutze ich nämlich ...

Hier das Ergebniss des Onlinescans:

90% der Scanner werfen den Wurm Robobot aus, außer Symantecs, der erkennt mal wieder 0,0! Wird Zeit, dass ich den Schrott loswerde.

Jetzt gehts auf auf die Suche wie ich meinen lieben Robobot wieder loswerde!

doppel

*Forumspinnt*

PS. Hier mein neuer Freund im Detail. klick (http://www.sophos.de/virusinfo/analyses/trojborobotg.html)

Schutz verfügbar seit: 09 Juni 2005 19:26:06 (GMT)

rofl ... wieder ein argument mehr gegen symantec :D
und sophos ist schon nicht der allerschnellste ....