Automatisch generierte mails/VIRUS????

#1 Hallo ich hab mich grad angemeldet bei diesem Board lese aber schon lange die Beiträge hier und nun hab ich ein Problem das ich hier noch nicht beschrieben gefunden habe bei dem ihr mir vielleicht helfen könnt

Ich arbeite in einer Firma und mich hat vorhin ein User angerufen der hatte heute 1200 Mails von unserem Mail-Router das die Mails unzustellbar waren weil die angegebene Adresse nicht existiert den es sind einfach zufällig generierte Adressen denen einfach unser @xxxx.com zugeordnet wurde.

In der diesen Mail wäre auch eine ZIP-Datei angehängt die aber 0 byte hat das dürfte jedoch an unserer Firewall liegen die verdächtige Sachen löscht.
Nun ja hab dann mal den Virenscanner drüberlaufen lassen (SAV) der auch am neuseten Stand wäre der hat aber nichts gefunden und auch beim Security Response von Symantec hab ich noch keinen Wurm/Trojaner/Virus gefunden der das macht.

Vielleicht kann mir einer von euch hier weiterhelfen
danke im voraus

#2 Wenn der Virenscanner nichts gefunden hat, ist das ein gutes Zeichen,
Dennoch solltest du mal mit dem HijackThis den Comp. scannen, save und das Log mit der Maus kopieren.
Dann ins Forum setzen
Vielleicht finden wir was.
http://board.protecus.de/t9391.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Das sieht mir anch einem Wurm aus, der sich an alle möglichen Adressen versendet....
Tu mal das was Sabina gesagt hat...
MFG
DAFRA

#4 so habs grad gemacht hab vorher auch adaware und spybot drüberlaufen lassen

Logfile of HijackThis v1.97.7
Scan saved at 15:02:01, on 17.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\REMCON\client32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\orant\BIN\ifrun60.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Lotus\Notes\NLNOTES.EXE
C:\Lotus\Notes\nhldaemn.EXE
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Dokumente und Einstellungen\poel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.steyrermuhl.upm-kymmene.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = deproxy.group.upm-kymmene.com:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.stag.at;*.upm-kymmene.com;172.25.*;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [REMCON PC-Duo System Snapshot] C:\REMCON\CLBOOT32.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C419E83-9D4D-4BCD-A041-D27685678DA1}: NameServer = 172.25.1.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = stag.at,group.upm-kymmene.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = stag.at,group.upm-kymmene.com

#5 Dein Log ist sauber, fix da bitte nichts! Was wohl interessant waere ist den Inhalt dieser gebouncten Mails zu erfahren. Vieleicht gibt das routerlog ja auch noch was her. Es scheint ja so, das die ursprungsmails, mit dem zip, nicht von eurem Server stammen, sondern nur die gebouncten.
__________
MfG Ralf
SEO-Spam Hunter

#6 ans routerlog werd ich schätz ich mal nicht ran kommen der steht nämlich in Augsburg und ich bin hier in Österreich

also im Mail steht folgendes


hey dude!#

ive found a shity virus on my pc. yo must check your pc!
follow the steps in this article

bye


keiner eine idee was das sein könnte????????

#7 Sober F.
http://www.google.de/search?q=%22found+a+shity+virus%22
Welchen Virenscanner ist denn bei Dir im Einsatz ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Symantec Antivirus Corporate Edition