Trojaner sendet mails über outlook 2002

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.06.2006, 22:52
...neu hier

Beiträge: 9
#1 Hallo Forum und liebe Sabina,
Ich habe einen Trojaner, der über outlook 2002 mails an adressen aus meinem outlook adressverzeichnis verschickt,
die angeblich nur aus einer datei ohne Textnachricht bestehen. Er wird besonders dann aktiv, wenn eine mail im Ausgabepostkorb liegt.
Anscheinend holt er sich von diesen zu versendenden mails auch die adressen.
Weiters ist es so. dass jedesmal, wenn ich eine neue e-mail nachricht beginne, ein popup-fenster von outlook erscheint, das darauf hinweist,
dass ein programm versucht, auf die in outlook gespeicherten e-mail adressen zuzugreifen.
Ich gewähre natürlich keinen Zugriff.
Bis jetzt versucht: weder die Virenscanner von McAfee noch Antivir fanden etwas.
Habe auch Spybot - search&destroy im Einsatz und Adaware 6. Auch diese finden nichts.
Bis jetzt helfe ich mir so, dass ich den smtp-server mit falscher adresse überschreibe, sodass die mails des Trojaners mit
Fehlermeldung von Outlook abgeblockt werden, allerdings muss ich mühsam für eigene sendemails die smtp-adresse kurzzeitig richtig stellen.
Das ist natürlich kein Zustand und ich bin schon recht verzeifelt, da ich sehr viel Mailverkehr habe und das outlook wegen grosser
angelegter mail-verteiler brauche.
Die gewünschten Unterlagen sind anbei.
Vielen Dank für baldige Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 21:31:35, on 17/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\voipbuster.com\voipbuster\voipbuster.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\GEMEIN~1\MICROS~1\MSINFO\OINFOP11.EXE
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\sonja1\Eigene Dateien\tinnitus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [cfprnwnd] cfprnwnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\programme\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TextPad.lnk = C:\Programme\TextPad 4\TextPad.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .esd: C:\Programme\w-form\w-netuser\w-plugin.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/26b631f30cddbcedc919/netzip/RdxIE601.cab
O16 - DPF: {5CBD3AC5-E3B4-11D3-8C29-000021C6D569} (w-netuser control) - https://secure.itsolution.at/w-form/w-netuser/w-netuser.cab
O16 - DPF: {64D9B72C-E42A-490E-9181-221E1E035A14} (GDL Control) - http://www.gdlcentral.com/bin/files/GDLCtl.2.0.0.144.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - http://www.verwandlungsmoebel.at/o2cPLAYER/o2cplayer.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53398646-3184-4C9C-9640-14B8CA639602}: NameServer = 195.34.133.16,195.34.133.17
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 00C1-25E4

Verzeichnis von C:\WINDOWS\system32

17/06/2006 20:53 1,158 wpa.dbl
14/06/2006 22:23 57,384 avsda.dll
09/06/2006 03:19 5,967,776 MRT.exe
08/06/2006 10:14 22,611 FFASTLOG.TXT
01/06/2006 20:47 27,648 jgpl400.dll
01/06/2006 20:47 163,840 jgdw400.dll
29/05/2006 17:30 1,494,016 shdocvw.dll
19/05/2006 17:09 3,073,536 mshtml.dll
18/05/2006 07:36 450,560 jscript.dll
14/05/2006 10:48 181,248 rasmans.dll
11/05/2006 10:57 27,136 xpsp3res.dll
11/05/2006 08:25 143,624 FNTCACHE.DAT
10/05/2006 07:23 664,064 wininet.dll
10/05/2006 07:22 615,936 urlmon.dll
10/05/2006 07:22 474,624 shlwapi.dll
10/05/2006 07:22 532,480 mstime.dll
10/05/2006 07:22 39,424 pngfilt.dll
10/05/2006 07:22 448,512 mshtmled.dll
10/05/2006 07:22 146,432 msrating.dll
10/05/2006 07:22 16,384 jsproxy.dll
10/05/2006 07:22 96,768 inseng.dll
10/05/2006 07:22 55,808 extmgr.dll
10/05/2006 07:22 1,056,256 danim.dll
10/05/2006 07:22 205,312 dxtrans.dll
10/05/2006 07:22 357,888 dxtmsft.dll
10/05/2006 07:22 251,392 iepeers.dll
10/05/2006 07:22 152,064 cdfview.dll
10/05/2006 07:22 1,022,976 browseui.dll

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 00C1-25E4

Verzeichnis von C:\DOKUME~1\sonja1\LOKALE~1\Temp

17/06/2006 21:10 512 ~DF985E.tmp
17/06/2006 20:50 174 ~WRD2948.doc
17/06/2006 20:50 512 ~DFAFA.tmp
17/06/2006 20:50 16,384 ~DFAED.tmp
17/06/2006 20:50 512 ~DFF760.tmp
17/06/2006 20:50 512 ~DFE563.tmp
17/06/2006 20:50 512 ~DFDFCE.tmp
16/06/2006 08:09 98,304 ~DF21F9.tmp
8 Datei(en) 117,422 Bytes
0 Verzeichnis(se), 19,203,276,800 Bytes frei

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 00C1-25E4

Verzeichnis von C:\WINDOWS

17/06/2006 07:45 1,129,503 WindowsUpdate.log
16/06/2006 22:12 1,517,113 iis6.log
16/06/2006 22:12 331,653 comsetup.log
16/06/2006 22:12 490,891 tsoc.log
16/06/2006 22:12 204,645 ntdtcsetup.log
16/06/2006 22:12 37,591 tabletoc.log
16/06/2006 22:12 42,880 ocmsn.log
16/06/2006 22:12 2,170 imsins.log
16/06/2006 22:12 31,907 medctroc.Log
16/06/2006 22:12 513,317 ocgen.log
16/06/2006 22:12 131,860 netfxocm.log
16/06/2006 22:12 52,046 msgsocm.log
16/06/2006 22:12 1,012,691 FaxSetup.log
16/06/2006 22:11 663,564 setupapi.log
16/06/2006 22:11 338,028 msmqinst.log
16/06/2006 08:08 159 wiadebug.log
16/06/2006 08:08 31,354 spupdsvc.log
16/06/2006 08:08 50 wiaservc.log
16/06/2006 08:08 0 0.log
16/06/2006 08:08 2,048 bootstat.dat
16/06/2006 08:07 32,592 SchedLgU.Txt
15/06/2006 21:49 1,374 imsins.BAK
15/06/2006 21:49 14,038 KB917734.log
15/06/2006 21:49 43,127 wmsetup.log
15/06/2006 21:48 18,893 KB918439.log
15/06/2006 21:48 19,574 KB917344.log
15/06/2006 21:48 33,937 updspapi.log
15/06/2006 21:48 18,535 KB917953.log
15/06/2006 21:48 18,516 KB911280.log
15/06/2006 21:47 21,752 KB916281.log
15/06/2006 21:47 15,275 KB914389.log
08/06/2006 15:04 1,409 QTFont.for
08/06/2006 15:04 54,156 QTFont.qfn
07/06/2006 23:11 200,264 setupact.log
12/05/2006 08:05 22,209 KB913580.log
05/05/2006 22:19 17,579 cdplayer.ini
29/04/2006 18:27 1,145 ODBC.INI
29/04/2006 18:26 63 vbaddin.ini
27/04/2006 06:25 13,561 KB900485.log
26/04/2006 00:08 26 LIVE.INI
25/04/2006 17:58 0 RDB.INI
16/04/2006 09:27 19,754 KB908531.log
16/04/2006 09:27 18,924 KB911562.log
16/04/2006 09:26 20,369 KB912812.log
16/04/2006 09:26 14,780 KB911567.log
17/03/2006 23:34 302,419 INSTALL.LOG
17/03/2006 23:33 6,941 UNWISE.INI
15/02/2006 17:21 15,374 KB911927.log
15/02/2006 17:21 9,597 KB911564.log
15/02/2006 17:20 10,109 KB911565.log
15/02/2006 17:19 9,184 KB913446.log
12/01/2006 15:57 10,194 KB908519.log
07/01/2006 08:58 11,030 KB912919.log
03/01/2006 19:43 3,184 regopt.log

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 00C1-25E4

Verzeichnis von C:\

17/06/2006 21:58 0 sys.txt
17/06/2006 21:57 14,794 system.txt
17/06/2006 21:54 628 systemtemp.txt
17/06/2006 21:52 111,351 system32.txt
16/06/2006 08:29 13,471 History_sewera.dat
16/06/2006 08:29 312 VoiceEngine.xml
16/06/2006 08:08 535,871,488 hiberfil.sys
16/06/2006 08:08 805,306,368 pagefile.sys
27/05/2005 18:55 0 ProjVer.deb
Seitenanfang Seitenende
17.06.2006, 23:02
Moderator

Beiträge: 7796
#2 Fix diesen Eintrag:
O4 - HKLM\..\Run: [cfprnwnd] cfprnwnd.exe

Danach starte den Rechner neu und nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es etwas meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter Rootkit gehen, wiederum evtl. Fragen mit nein beantworten und mache einen Scan. ist dieser beendet, waehle Copy und fuege den Bericht hier ein.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.06.2006, 13:17
...neu hier

Themenstarter

Beiträge: 9
#3 Vielen Dank für die schnelle Antwort.
Habe registry eintrag
mittels HijackThis fix entfernt und die cfprnwnd.exe in den Papierkorb geschickt. siehe auch neues Protokoll. Ich hatte irgendwann eine Demosoftware eines Faxpaketes, in dem das cfprnwnd.exe drin war, runtergeladen.

gmer findet nichts, kein rootkit.

jetziges Verhalten:
1. Noch immer ist es so, dass jedesmal, wenn ich eine neue e-mail nachricht beginne, ein popup-fenster von outlook erscheint, das darauf hinweist,
dass ein programm versucht, auf die in outlook gespeicherten e-mail adressen zuzugreifen. Ich gewähre natürlich keinen Zugriff.
2. Nur wenn eine Ausgangspost im Outlook Ausgang liegt, wird von outlook versucht etwas wegzuschicken. Da ich den smtpserver namen verdreht habe, sehe ich an der Fehlermeldung, dass Sendeversuche gemacht werden. Allerdings kann ich jetzt nicht sehen, ob das NUR die legalen Sendeversuche meiner eigenen Ausgangspost oder auch noch mails von einem Trojaner dabei sind. Wenn keine Ausgangspost wartet, wird nichts gesendet. Bitte wie kann ich erkennen, ob noch falsche mails gesendet werden? Kann man einen Ausgangstrace einschalten, irgendwie mitlesen? Ich möchte nämlich nicht nochmal alle meine Bekannten mit meinen spam-mails überschwemmen. Ich habe ja noch immer das popupfenster, dh. es dürfte nochwas Faules in meinem PC sein. Bedanke mich schon jetzt für die nächste Antwort (PS. Ich bin 61).

Logfile of HijackThis v1.99.1
Scan saved at 13:12:14, on 18/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\voipbuster.com\voipbuster\voipbuster.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Dokumente und Einstellungen\sonja1\Eigene Dateien\tinnitus\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\programme\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TextPad.lnk = C:\Programme\TextPad 4\TextPad.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .esd: C:\Programme\w-form\w-netuser\w-plugin.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/26b631f30cddbcedc919/netzip/RdxIE601.cab
O16 - DPF: {5CBD3AC5-E3B4-11D3-8C29-000021C6D569} (w-netuser control) - https://secure.itsolution.at/w-form/w-netuser/w-netuser.cab
O16 - DPF: {64D9B72C-E42A-490E-9181-221E1E035A14} (GDL Control) - http://www.gdlcentral.com/bin/files/GDLCtl.2.0.0.144.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - http://www.verwandlungsmoebel.at/o2cPLAYER/o2cplayer.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53398646-3184-4C9C-9640-14B8CA639602}: NameServer = 195.34.133.16,195.34.133.17
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
Seitenanfang Seitenende
18.06.2006, 13:39
Moderator

Beiträge: 7796
#4 Auf Anhieb seh ich nichts, aber hast du diese "Datei", die angeblich verschickt wird, bzw kannst du sie mir zukommen lassen?

Schick mir die cfprnwnd.exe DAtei enmal. Sie kann harmlos sein.
und gmer findet nach dem Scan nicht?

Inzwischen kannst du deinen Rechner mit Cureit im abgesicherten Modus pruefen. Schauen wir, ob es etwas findet. Die Heuristik hast du bei Antivir auf Hoch eingestellt?

Cureit= http://virus-protect.org/cureit.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.06.2006, 15:13
...neu hier

Themenstarter

Beiträge: 9
#5 wie kann ich die Heuristik bei antivir einstellen? ich finde in der Konfiguration
nichts zu heuristik?
Cureit habe ich runtergeladen. Wie kann ich das im ABGESICHERTEN Modus starten. Sieht so aus, als ob man das normal starten kann.
Leider habe ich keine der von meinem PC verschickten spam dateien, da die Leute diese sofort gelöscht haben und mir auch auf Bitte hin nicht zugesandt haben.
Kennst du das Popupfenster von Outlook (wie beschrieben)? Kann das nur infolge Virus kommen, auch gäbe es auch einen anderen Grund?
Seitenanfang Seitenende
18.06.2006, 15:27
Moderator

Beiträge: 7796
#6 Dieses Fenster von Outlook ist eine Sicherung, damit kein Anderes Programm unbemerkt Massenhaft Mails versendet. Eigentlich eine gute Sicherung.

Abgesicherter Modus: http://www.bsi.bund.de/av/texte/wiederher.htm


Zur Heuristi: rechte Maustaste auf das Antivir Symbol, "Antivir konfigurieren" waehlen, dort expertenmodus aktivieren, dann findest du unter Scanner/suche/heuristik die Einstellungen. Du musst sie nur noch aktivieren.

Das selbe dann noch ueber Guard/suche/heuristik


Mal schauen, was cureit findet.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.06.2006, 21:46
...neu hier

Themenstarter

Beiträge: 9
#7 Hallo Ralf,
habe in Antivir sowohl bei Antivir als auch bei Gueard Heuristik Datei Erkennungsstufe hoch eingestellt und nochmal einen scanlauf gemacht. Antivir fand nichts Ausgabe anbei.
Dann wollte ich zur Vorbereitung die Anleitungen für dr.Web Cureit ausdrucken bevor ich in den abgesicherten modus gehe und jetzt bringt antivir beim Versuch, die Beschreibung auszudrucken eine Fund meldung:
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\PQ0ASTF4.HTML enthält verdächtigen Code HEUR/Exploit.HTML und ich kann die Beschreibung nicht ausdrucken.
Was soll ich jetzt machen?



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: 18 June 2006 15:35

Es wird nach 409240 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: sonja1
Computername: SONJA

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 14.06.2006 20:08:57
AVSCAN.DLL : 7.0.0.42 57384 14.06.2006 20:08:57
LUKE.DLL : 7.0.0.42 118824 14.06.2006 20:08:57
LUKERES.DLL : 7.0.0.42 32808 14.06.2006 20:08:57
ANTIVIR0.VDF : 6.35.0.1 7371264 14.06.2006 20:08:56
ANTIVIR1.VDF : 6.35.0.5 2048 14.06.2006 20:08:56
ANTIVIR2.VDF : 6.35.0.33 173568 14.06.2006 20:08:56
ANTIVIR3.VDF : 6.35.0.42 16384 14.06.2006 20:08:56
AVEWIN32.DLL : 7.1.0.13 1536512 14.06.2006 20:08:56
AVPREF.DLL : 7.0.0.1 53288 14.06.2006 20:08:57
AVREP.DLL : 6.35.0.2 659496 14.06.2006 20:08:57
AVRPBASE.DLL : 7.0.0.0 2162728 14.06.2006 20:23:15
AVPACK32.DLL : 7.1.0.1 335912 14.06.2006 20:08:57
AVREG.DLL : 6.31.0.90 27688 14.06.2006 20:08:57
NETNT.DLL : 6.32.0.0 6696 14.06.2006 20:08:57
NETNW.DLL : 6.32.0.0 9768 14.06.2006 20:08:57
RCIMAGE.DLL : 7.0.0.71 1642536 14.06.2006 20:08:59
RCTEXT.DLL : 7.0.0.75 77864 14.06.2006 20:08:59

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: 18 June 2006 15:35


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 50 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 25 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\MPC3C.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DF6665.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFA721.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFB92E.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFE74.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFF07F.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFF093.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFFBCE.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Temp\~DFFE4B.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\MEMORY.DMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308387$\autolfn.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308387$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ308387$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.inf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\PCHEALTH\HELPCTR\Config\Cache\Professional_32_1031.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\PCHEALTH\HELPCTR\Config\CheckPoint\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\IMT5A.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: 18 June 2006 16:26
Benötigte Zeit: 51:14 min

Der Suchlauf wurde vollständig durchgeführt.

6246 Verzeichnisse wurden überprüft
302272 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1819 Archive wurden durchsucht
45 Warnungen
1 Hinweise
Seitenanfang Seitenende
18.06.2006, 22:13
Moderator

Beiträge: 7796
#8 Das ist ja "lustig". Waehle beim Guard ignorieren oder schalte die Heursitik oder den Guard waehrend des druckens aus. Ich hake mal nach, warum die heuristik meint das da was ist......

Du kannst die Heuristik fuer den Guard auch auf mittel stellen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2006, 07:30
...neu hier

Themenstarter

Beiträge: 9
#9 Guten Morgen Ralf,
habe den dr.Web Cureit im abgesicherten modus laufen lassen, Er hat absolut NICHTS gefunden.
Die Frage ist nun, wer will auf das Outlook Adressverzeichnis zugreifen wenn ich im Outlook über Neu eine neue Mail beginne. Und wie könnte ich erkennen, ob in den ausgehenden mails auch sendungen an nicht beabsichtigte Adressen drinnen sind. Könnte man nicht einen Mitschnitt des ausgehenden Internetverkehrs mit Filter auf die Ziel-Ip-adresse machen?
lg Sonja
Seitenanfang Seitenende
19.06.2006, 08:30
Moderator

Beiträge: 7796
#10 Das ginge, man braeuchte man ethereal dafuer und das am besten von einem anderen Rechner aus. Unter gesendete Objekte sind keine Mails zu finden denke ich!?

Du koenntest noch ein paar Onlinescanner zu rate ziehen, wie Kaspersky http://www.kaspersky.com/virusscanner

Ein Silentrunner log waere vieleicht hilfreich... http://virus-protect.org/silentrunner.html

Ich wuerde gerne herausbekommen, was es ist, mache dich aber schon mal mit dieser Anleitung vertraut!
http://board.protecus.de/t13020.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.06.2006, 16:00
...neu hier

Themenstarter

Beiträge: 9
#11 Hallo Ralf,
ich habe die gelöschten Objekte geleert und dann über Outlook alle achieve komprimiert.
Der virus ist jetzt sehr aktiv und will auch senden, wenn keine Ausgangspost vorhanden ist.
ich habe dann nochmals den kapersky laufen lassen, ergebnis anbei. wie man sieht sind noch immer 3 viren in den alten mails. habe ein bisschen über diese viren nachgelesen, beschreibung passt.
wiso sind die noch immer in den archive.pst und outlook.pst drinnen, obwohl ich ja entleert und komprimiert habe?
Die archive.pst hat 32 MB, die outlook.pst 510 MB, daher kann ich sie dir nicht mailen. Der Kapersky schreibt aber ganz genau, dass die viren noch drinnen sind. anscheinend können die innerhalb einer *.pst datei leben und von dort aktiv werden? Oder sind die jetzt auch an anderen Stellen, die der Kapersky nicht findet?
Auf jeden Fall haben wir jetzt 3 Namen von Mail-viren. Kann man damit nicht etwas anfangen?
Was bedeutet das SKIPPED im Kapersky protokoll?
Ich würde gerne alle Funde wegbekommen.

lg sonja

Scan Target My Computer
C:\
D:\

Scan Statistics
Total number of scanned objects 76478
Number of viruses found 3
Number of infected objects 9
Number of suspicious objects 0
Duration of the scan process 01:36:19

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst/Archivordner/Gelöschte Objekte/03 Jun 2003 14:34 from info@winrar.it:Re: Movie/45443.pif Infected: Email-Worm.Win32.Sobig.c skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst Mail MS Mail: infected - 1 skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/19 Sep 2003 15:06 from Microsoft Internet Security Section:Newes/upgrade497.exe Infected: Email-Worm.Win32.Swen skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/20 Sep 2003 18:12 from Microsoft:Current Security Pack/Pack.exe Infected: Email-Worm.Win32.Swen skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/06 Apr 2004 12:59 from Administrator@wu-wien.ac.at:Fehler/AMD-System.txt.zip/Pmessage-text.txt .pif Infected: Email-Worm.Win32.Sober.f skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/06 Apr 2004 12:59 from Administrator@wu-wien.ac.at:Fehler/AMD-System.txt.zip Infected: Email-Worm.Win32.Sober.f skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gesendete Objekte/06 Apr 2004 13:34 to 'nospam@wu-wien.ac.at':WG: Fehler/AMD-System.txt.zip/Pmessage-text.txt .pif Infected: Email-Worm.Win32.Sober.f skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gesendete Objekte/06 Apr 2004 13:34 to 'nospam@wu-wien.ac.at':WG: Fehler/AMD-System.txt.zip Infected: Email-Worm.Win32.Sober.f skipped

C:\Dokumente und Einstellungen\sonja1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Mail MS Mail: infected - 6 skipped

Scan process completed.
Seitenanfang Seitenende
20.06.2006, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2006, 08:31
...neu hier

Themenstarter

Beiträge: 9
#13 Hallo Sabine,
ich habe jetzt alle alten infiszierten mails aus den .pst entfernt, selbst Kasperky findet nichts mehr, aber der aktive mail-Virus ist noch immer da.
Was fällt euch jetzt noch ein, wie man den finden könnte?
Lie Grüße
Sonja
Seitenanfang Seitenende
23.06.2006, 11:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

Zitat: sternshortnews (14.06.2006)

Auf 311 Computer mit Windows-Software kommt ein Computer, der durch einen Trojaner infiziert ist und 60 Prozent von ihnen von Fremden ferngesteuert werden könnten. Dies geht aus den Daten hervor, die Windows mit seinem Malicious Software Removal Tool sammelte. Mit diesen Zombie-PCs können Hacker ungehindert Spammails versenden oder eigene Hackerangriffe starten.
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
RootkitRevealer -> poste den scanreport
http://www.sysinternals.com/Utilities/RootkitRevealer.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2006, 09:23
...neu hier

Themenstarter

Beiträge: 9
#15 Habe den PC neu aufgesetzt, da virus nicht zu entfernen war.
vielen dank für die viele mühe. bitte diesen thread löschen.
lg sonja
Seitenanfang Seitenende