SpamVersand über meinen PC?

Hallo zusammen

heute hab ich eine Mail bekommen, die mich doch etwas überrascht hat.

Von: Deutsche Telekom Abuse Team xxxxxxxxx [mailto:xxxxx(at)t-online.de]
Gesendet: Mittwoch, 26. März 2008 13:13
An: xxxxxxxxxxxxxxxxx(at)t-online.de
Betreff: [Abuse-ID:xxxxxxxxx] Account: xxxxxxxxxxxxxxxxxxx



Sehr geehrte T-Online Kundin,
sehr geehrter T-Online Kunde,

wir freuen uns, dass Sie T-Online Ihr Vertrauen schenken. Leider haben wir jedoch Kenntnis erhalten, dass über Ihren T-Online Zugang unerwünschte Werbemails (Spam-Mails) versendet wurden, worauf wir mit einer Beschränkung der Mailversandmöglichkeiten reagieren mussten.

Dies bedeutet für Sie, dass Sie über eMail-Programme wie z. B. Microsoft Outlook Express weiterhin eMails empfangen können, jedoch wurde der Versand von eMails auf T-Online Mailserver beschränkt. Davon unbeschadet und selbstverständlich weiterhin möglich ist der Versand von eMails über Webportale wie z. B. das T-Online eMail Center, welches unter der URL http://www.t-online.de/email erreichbar ist.

Wir haben den Laufweg der fraglichen Spam-Mails anhand der Headerdaten ausgewertet und über die IP-Adresse Ihren T-Online Zugang als Einlieferer ermittelt. Die eMails wurden nicht über Ihren T-Online eMail-Account, sondern per Direkteinlieferung über Ihren T-Online Zugang gesendet. Die Direkteinlieferung ist ein typisches Indiz für ein Sicherheitsproblem, nämlich häufig eine Infektion Ihres Rechners mit Schadsoftware wie Viren, Würmern oder Trojanischen Pferden.

Wir möchten Sie aus diesem Anlass auf unsere Allgemeinen Geschäftsbedingungen hinweisen und bitten Sie, auch in Ihrem eigenen Interesse dafür Sorge zu tragen, dass Ihr T-Online Zugang nicht missbräuchlich genutzt werden kann.
Im beigefügten "Merkblatt Sicherheit" finden Sie Hilfestellungen zur Beseitigung von Sicherheitsproblemen. Beachten Sie bitte, dass es in den meisten Fällen nicht ausreicht, Schadsoftware nur mit einem Virenscanner zu entfernen. Auch die ggf. von der Schadsoftware hinterlassenen Komponenten wie Backdoors oder Registrierungseinträge im Betriebssystem müssen beseitigt werden. Sofern Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir Ihnen, einen Experten hinzuzuziehen.

Sie finden auf unseren Sicherheitsseiten im Serviceportal viele weitere Informationen um die Sicherheit Ihres PC zu erhöhen. Unser Sicherheitsportal ist erreichbar unter der URL http://www.t-online.de/sicherheit.

Zum Vergrößern anklicken....

Ich kann per Outlook nur über T-Online meine Mails versenden. Meine WEB Adressen können abgerufen, aber nicht versendet werden.


Ich bin zwar mit W-Lan am Router genabelt, allerdings bei WPA2 Verschlüsselung, Mac-Filterung und SSID versteckt, von daher schliesse ich Fremdzugriff auf den Router aus.

Ich bin bisher mit Antivir und der NAT des Routers gefahren.

Dieser sogenannte "Online - Sicherheitscheck" ist dann positiv ausgefallen.

Nun hab ich mal nen Komplettscan gemacht, und dabei kam das raus:



beim Neustarten kam dann das:



Nun hab ich mir erstmal Zone Alarm draufgetan, und nen Hijackthis log erstellt.

Bitte schaut mal nach, ob noch irgendwo Unsicherheiten sind ob ich diese beseitigen sollte.

Logfile of HijackThis v1.99.1
Scan saved at 20:01:06, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zum Vergrößern anklicken....

Hast du eine Standleitung mit fester IP Adresse? Checke mal dein T-Online E-Mail Konto und ändere dein Passwort (Zur Sicherheit).
Ist aber eigentlich komisch, dass Privatrechner zu Zombierechner missbraucht werden...Auf jedenfall wurde wohl dein Rechner missbraucht - erklärt die IP Adresse. Aber es könnte auch sein, dass die IP gefakte wurde und du halt zufällig mit dieser IP zu dieser Zeit des Spamversandes gesurft hast.

Wende dich doch an das Abuse Team und verlange mehr Details.

lt. Google sind die aus Datenschutzgründen recht knauserig mit Details.

Wenn nur der Versand von E-Mails über "nicht T-Online Mailserver" gesperrt wurde, warum es dann nicht einfach dabei belassen? Die Web-Mail Adressen nutze ich eh nur um mich irgendwo anzumelden, und empfangen kann ich ja.
Mein Sicherheitsproblem muss natürlich gelöst werden, aber die Sperre könnte man dann behalten, oder was denkt Ihr?

Schau mal mittels Currports ob es viele Verbindungen gibt.
Wenn ja bist Du in einem Botnetz

Ist aber eigentlich komisch, dass Privatrechner zu Zombierechner missbraucht werden

Zum Vergrößern anklicken....

Fast alle PCs in einem Botnetzwerk sind Privatrechner !
An die kommt man am einfachsten ran.

scvhost.exe ist ein besonders hartnäckiger Trojaner mit Keylogger Funktion, der Firewalls ausschaltet, und noch andere miese Tricks verwendet.
Hatte den auch mal auszumerzen und war erstaunt an wievielen Registrystellen Programme geladen werden.
Durchsuch mal den Windowsordner nach Dateien, die einen String enthalten, der Deiner Tastatureingabe entspricht, z.B. ein Passwort.

Beste Grüsse
ppm007

ppm007 schrieb:

Schau mal mittels Currports ob es viele Verbindungen gibt.
Wenn ja bist Du in einem Botnetz


Fast alle PCs in einem Botnetzwerk sind Privatrechner !
An die kommt man am einfachsten ran.

scvhost.exe ist ein besonders hartnäckiger Trojaner mit Keylogger Funktion, der Firewalls ausschaltet, und noch andere miese Tricks verwendet.
Hatte den auch mal auszumerzen und war erstaunt an wievielen Registrystellen Programme geladen werden.
Durchsuch mal den Windowsordner nach Dateien, die einen String enthalten, der Deiner Tastatureingabe entspricht, z.B. ein Passwort.

Beste Grüsse
ppm007

Zum Vergrößern anklicken....

Ich hab mal ne Frage zwischendurch,ich habe im Taskmanager 12 dieser svchost.exe Prozesse laufen,ist das echt nen Trojaner,denn Antivir meldet nichts und mein Spybot auch nicht.
Hier ein Screenshot: http://rapidshare.de/files/38964845/Neue_Bitmap.bmp.html

ppm007 schrieb:

Schau mal mittels Currports ob es viele Verbindungen gibt.
Wenn ja bist Du in einem Botnetz


Fast alle PCs in einem Botnetzwerk sind Privatrechner !
An die kommt man am einfachsten ran.

scvhost.exe ist ein besonders hartnäckiger Trojaner mit Keylogger Funktion, der Firewalls ausschaltet, und noch andere miese Tricks verwendet.
Hatte den auch mal auszumerzen und war erstaunt an wievielen Registrystellen Programme geladen werden.
Durchsuch mal den Windowsordner nach Dateien, die einen String enthalten, der Deiner Tastatureingabe entspricht, z.B. ein Passwort.

Beste Grüsse
ppm007

Zum Vergrößern anklicken....

stimmt der war schon von der schwereren Sorte. Hatte sich per *.sys beim Neustarten immer wieder in den Autostart gesetzt.
Mittlerweile isser wech ^^

Das ja ein witziges Programm:
lt. dem Prog sind alle Prozesse: svchost.exe aus dem System32 Ordner, also clean.

der einzige den ich nicht kenne, ist: der da am angehängten Bild. Die Prozesse ändern sich aber stetig. kann also alles mögliche bedeuten.
Ich hab komplett C nach Passwortstrings durchsucht, aber war nix zu finden.

@googleuser: mir machen eigentlich schon Deine 73!? laufenden Prozesse Sorgen. Bei mir sinds nichtmal die Hälfte.... ~28

Das schöne ist ja, dass svchost nicht aus einem anderen Verzeichnis laufen muss. Schadsoftware kann sich genauso in den Prozess injizieren und ihn aus dem Sys32 Verzeichnis nutzen.
Die Vielzahl deiner Instanzen könnte man übrigens als Zeichen in diese Richtung deuten

nur wie überprüft man sowas und vor allem, ab wann kann man sow etwas noch prüfen?

Als Ottonormaluser hat man doch keine Chance mehr.

Was soll ich denn da machen,gibt es dazu ne Freeware?

Googleuser schrieb:

Was soll ich denn da machen,gibt es dazu ne Freeware?

Zum Vergrößern anklicken....

zeig doch erstmal was Dein hijack log sagt.

das Prog. findest Du hier

evtl. kann Dir damit schon geholfen werden.

Ich habe 5 svchost Prozesse am Laufen. Wieviele sind denn normal?

Logfile of HijackThis v1.99.1
Scan saved at 13:13:51, on 30.03.2008
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Real\RealPlayer\realplay.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\conime.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Anwender\AppData\Local\Temp\Temp1_hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chip.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFCDD3A-7831-4E38-88E5-0E7A92565503}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CFCDD3A-7831-4E38-88E5-0E7A92565503}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Hoffe ihr könnt damit was anfangen?

Das ging ja flott mit diesem Thread.

Scvhost = Trojaner - svchost = Windowskomponente

@Stachel

Diese unknown-Verbindung ist eine alte noch nicht geschlossene Verbindung = ok (schätze alte msnmsgr Verbindung) verschwindet nach einiger Zeit.

Wenn Du viele Verbindungen zu unbekannten Remotehosts hast, dann wirds kritisch.

@magicmatze

5 = ok

@googleuser
Kannst Du deine Bilder nicht wo anders hochladen, als bei rapidschrott ?
Scheint ok zu sein, kenn mich mit Vista aber so nicht aus.

Beste Grüsse
ppm007

Edit:

Die Vielzahl deiner Instanzen könnte man übrigens als Zeichen in diese Richtung deuten

Zum Vergrößern anklicken....

das sind bei Currports keine Instanzen, sondern Verbindungen ! z.B.: Hab gerade 6 Instanzen und 14 Verbindungen.

ppm007 schrieb:

Scvhost = Trojaner - svchost = Windowskomponente

Zum Vergrößern anklicken....

Das File hiess beim mir: svchost.exe



Ohne Virenscanner fällt eben nur der Pfad auf. (Autostart und nicht System32)

Die scvhost.exe hängt sich in den system32-folder.
Hab anscheinend nicht richtig gelesen.

Korrekt:
System32/Scvhost = Trojaner
System32/svchost = Windowskomponente

Dann hattest Du einen anderen Trojaner, der den ich beseitigte hatte sich in verschiedenste Autostart-Registryeinträge und INIs versteckt, die Firewall geschlossen, Windowssystemtools gesperrt und einen Keylogger gestartet.

Beste Grüsse
ppm007

ppm007 schrieb:

Scvhost = Trojaner - svchost = Windowskomponente

Zum Vergrößern anklicken....

Und genau das ist falsch!
Schadsoftware kann sich schon seit geraumer Zeit in die Windowskomponente svchost.exe injizieren. Gängiger ist zwar der Browser, aber darauf sollte man sich im konkreten Fall nicht verlassen.

"Injjizieren" kann sich eine Schadsoftware nur über die Registry mittels dll, nicht in exes, ausser es ist ein klassischer Virus, der das File verändert.
Oder sie hängen sich in den Speicher rein, was aber in der Regel zum sofortigen Chaos führt.
Damit sie aber sowas machen können muss erst mal ein "Prozess" dies bewerkstelligen.

Moderne Schadsoftware bindet sich über Rootkit, Treiber oder Dienste (das meintest Du wahrscheinlich - aber: injiziert sich über die svchost, nicht in die) ins System.
Da wirds haarig, aber dazu muss erst mal der Code ausgeführt werden.
In der Regel Cracks, Mails und ActiveX.

Ansonsten machens die Trojaner eher auf die banale Art:
Verstecken sich im System32-Verzeichnis auch unter ähnlichem Namen oder nennen sich wie eine bekannte Systemdatei und legen sich in ein anderes "Root"-Verzeichnis.

Und genau sowas sind diese s...hosts-Trojaner

Tip: Processguard schützt sehr wirkungsvoll das System.

Beste Grüsse
ppm007

Mithilfe der svchost.exe werden ja DLLs ausgeführt.

Unter XP kannste auch mal einfach in der Eingabeaufforderung Tasklist/svc | more eingeben. Die einzelnen Prozesse der svchost.exe werden aufgelistet.

Moderne Schadsoftware bindet sich über Rootkit, Treiber oder Dienste (das meintest Du wahrscheinlich - aber: injiziert sich über die svchost, nicht in die) ins System.

Zum Vergrößern anklicken....

Nicht die svchost.exe ist Malware sondern es wird darüber ein Malware-Dienst gestartet.

Beste Grüsse
ppm007

ppm007 schrieb:

"Injjizieren" kann sich eine Schadsoftware nur über die Registry mittels dll

Zum Vergrößern anklicken....

Mit APIs und Hooks lässt sich das ebenfalls bewerkstelligen.

das meintest Du wahrscheinlich - aber: injiziert sich über die svchost, nicht in die

Zum Vergrößern anklicken....

Doch, ich meine sie injizieren sich in den Prozess. Über jeden Prozess kann fremder Code ausgeführt werden (eben derjenige, der injiziert wurde).