HJT zeigen ...evtl liegt dein DNS ja in EU ??

Wenn der Spam direkt aus dem Outlook kommt ,liegt das Problem m.E. doch IM PC ...

Ich kann Jüki verstehen ,es läuft ja meistens doch auf Sicherung & Neuinstall hinaus .

Leute, bitte vergesst endlich mal HTJ, aktuelle Schädlinge werden da nicht mehr drin gezeigt!!

Jükis Einwand ist ja berechtigt, natürlich kann hier auch ein Befall vorliegen auch wenn die E-Mail-Header eher nach Adressfälschung aussehen, aber wenn hier nichtmal klar ist was überhaupt los ist, dann kann man doch nicht von einer (durch Vermutung???) erwiesenen Kompromittierung sprechen und gleich mal wieder eine Neuinstallation anordnen! Das ist oberpeinlich inkompetent, und noch schlimmer ist es dann auch noch so merkbefreit zu reagieren, weil andere Meinungen ja nur von 13jährigen Zauberkünstlern kommen können!

s läuft ja meistens doch auf Sicherung & Neuinstall hinaus

Von der Vielzahl der von mir analysierten PCs mit der identischen Fehlermeldung war nicht ein einziger dabei, wo nur ein bischgen etwas verstellt war.
Ebenfalls war auch nicht einer dabei, dem das Mailpasswort entwendet und mißbraucht wurde.
Alle  diese PCs (es dürften so an die 90 gewesen sein) mußten formatiiert und neu installiert werden.
Mit einem dann erzeugten und immer wieder aktualisierten Image hatten alle diese User für die Zukunft ein sauberes System.

Jürgen

Bleibe hier bei hilfreichen Postings, Werder.
Persönliche Angriffe dulde ich nicht - es wurde alles gesagt.
Du hast deutlich genug Deine Meinung über mich zum Ausdruck gebracht - belasse es dabei.
Noch einmal:
Ende dieser Diskussion!

Jürgen

Leute, bitte vergesst endlich mal HTJ, aktuelle Schädlinge werden da nicht mehr drin gezeigt!!

Hab ich was von Schädling geschrieben ?
Aber anderes ( umgeleitete IPs z.B.) & falschen DNS kann man da gut sehen .

Und seit wann brauche ich deine Erlaubnis , den TO um ein HJT-LOG zu bitten ??

DNS in RU war gemeint ...nicht EU

Und auch wenn der Post wieder gelöscht wird:
Was zum Teufel hat der Standort eines DNS-Servers mit der Absende-IP einer Mail zu tun? Bei einem Proxy würde die Sache anders aussehen, aber das muß auch erstmal festgestellt werden.

Alle  diese PCs (es dürften so an die 90 gewesen sein) mußten formatiiert und neu installiert werden.

und bei wie vielen davon wurde überhaupt die Ursache gesucht und nicht "Kraft des unendlichen Erfahrungsschatzes" einfach plattgemacht?

 _______________

Letzte Warnung!

bei wie vielen davon wurde überhaupt die Ursache gesucht und nicht "Kraft des unendlichen Erfahrungsschatzes" einfach plattgemacht?

Bei allen genannten PCs wurde im Rahmen einer Ermittlung durch Spezialisten der Uni eine genaue Analyse durchgeführt.
Dabei handelte es sich keinesfalls um irgendwelche Naturtalente, wie sie in manchen Foren zu finden sind, sondern um eine Gruppe von IT- Spezialisten mit gründlicher Ausbildung.

Jürgen

Hab ich was von Schädling geschrieben ?
Aber anderes ( umgeleitete IPs z.B.) & falschen DNS kann man da gut sehen .

Und seit wann brauche ich deine Erlaubnis , den TO um ein HJT-LOG zu bitten ??

DNS in RU war gemeint ...nicht EU

Nein geht da garnicht mehr.
Die eine Fraktion bei CH macht immer nur Neuinstallation egal was.

Die andere checkt immer nur HJT-Logs, egal was. Ist ja auch völlig egal, man nimmt Tools von Anfang der 2000er Jahre um Schädlinge die >10 Jahre später bekannt wurden um noch immer mit dem demselben Mittel längst dem Tool überlegene Schädlinge zu "bekämpfen".

Es ist keine einheitliche Linie in diesem Hilfeforum erkennbar. Daher quatscht ja auch jeder in einem Hilfetread rein und verunsichert die Hilfesuchenden noch mehr.

Mal sehen ob das auch gelöscht wird...

Mal sehen ob das auch gelöscht wird

Weshalb sollte es das?
Jede Meinung ist berechtigt, auch diametral abweichende.
Was entfernt wird, sind aus diesen vertretenen Meinungen resultierende persönliche Angriffe.
Hier und anderwo.

Jürgen

Hab ich was von Schädling geschrieben ?
Aber anderes ( umgeleitete IPs z.B.) & falschen DNS kann man da gut sehen .

Eben nicht mehr. Heutige Schädlinge verbiegen nicht mehr so offensichtlich die DNS-Settings!

Und seit wann brauche ich deine Erlaubnis , den TO um ein HJT-LOG zu bitten ??

Leseschwäche?! 
Ich hab dich darauf hingewiesen, dass HJT längst kein geeignetes Mittel mehr ist! Das hat nix mit Erlaubnis zu zu tun
Aber verwende ruhig weiter deine Tools aus der Steinzeit die weder kompatibel zu Win7 noch zu 64-Bit-Systemen sind!

DNS in RU war gemeint ...nicht EU 

Wo bitte steht da ein DNS aus Russland?
Dir ist der Unterschied zwischen DNS-Server und der Sender-IP-Adresse die im E-Mail-Header steht offensichtlich nicht klar!

@werder
lass Dich hier nicht weiter provozieren, bringt nix.

Wir haben auch woanders genug zu tun, oder?

In ein paar Monaten steht hier bei CH nur noch ein Hinweis:

Alles was wir nicht kennen ist ein Virus - bitte formatieren!

@werder
lass Dich hier nicht weiter provozieren, bringt nix.

Wir haben auch woanders genug zu tun, oder?

In ein paar Monaten steht hier bei CH nur noch ein Hinweis:

Alles was wir nicht kennen ist ein Virus - bitte formatieren!

Da wirst du recht haben, es ist einfacher einer Wand etwas beizubringen.
Naja. Wird hier halt bei jedem Mist formatiert. Bei den blinden formatierern wird wohl offensichtlich auch erwartet, dass ein format c sowahl die Adressfälschung eindämmt und auch das Passwort des Mailkontos sich dadurch ändert 

Es ist nur echt schade für die Hilfesuchenden hier, die einfach nur normale Fragen stellen aber jedesmal ein formatieren und die Ohren geknallt bekommmen 

Aber genau das hab ich früher hier schon bemängelt und geändert hat sich nichts

Vorerst allen vielen Dank für Euer Engagement in meiner Sache!

HighjackThis hat bei Klick auf "exe" gleich eine Fehlermeldung gemacht, dann aber doch das ausgespuckt:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:00:53, on 22.03.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Microsoft Security Client\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_24\bin\jqs.exe
C:\Programme\Kilgray\memoQ40\AUClient.exe
C:\WINDOWS\system32\nalserv.exe
C:\WINDOWS\system32\nlssrv32.exe
C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft Security Client\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\Programme\AQUIP\54M Wireless\Mrv8000x.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre1.6.0_24\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre1.6.0_24\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSC] "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 54M Wireless.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5852F5ED-8BF4-11D4-A245-0080C6F74284} (isInstalled Class) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u16-windows-i586.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://sdl.webex.com/client/T27LB/event/ieatgpc.cab
O21 - SSODL: msole - {1CB2C04A-2B36-4615-8840-3D7BEA2A4E36} - C:\WINDOWS\msole.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1ca4005e414cae4) (gupdate1ca4005e414cae4) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre1.6.0_24\bin\jqs.exe
O23 - Service: Kilgray Translation Technologies: memoQ update permissions manager. 979430. - Unknown owner - C:\Programme\Kilgray\memoQ40\AUClient.exe
O23 - Service: Nalpeiron Control Service (NalServ) - Nalpeiron Ltd. - C:\WINDOWS\system32\nalserv.exe
O23 - Service: Nalpeiron Licensing Service (nlsX86cc) - Nalpeiron Ltd. - C:\WINDOWS\system32\nlssrv32.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe

--
End of file - 7336 bytes


Nochmals Danke für Eure Bemühungen.

Rudi58

Ähm, hast du die Diskussion nicht komplett mitverfolgt? HJT ist unbrauchbar weil zu alt, aktuelle Schädlinge kann man damit nicht aufspüren.

Sag mir mal bitte, gab es überhaupt schonmal Funde von deinem Virenscanner? Wenn ja poste bitte alle Logs dazu.

Hast du auch schon das Passwort von deinem Mailkonto geändert?

Ich dachte, das Mailpasswort wurde mir vom Provider zugeteilt ... OK, werde es ändern.
Habe gestern mit MS Security Essentials einen genauen Virenscan durchgführt - Ergebnis: Ein Trojaner namens "Win32/Reveton.F" sowie 4 andere böse Programme der Kategorie "Exploit" wurden gefunden und entfernt. Die Fehlermeldungen haben aber nicht aufgehört.

LG, Rudi58