Outlook Virus oder wurm |
||
---|---|---|
#0
| ||
09.02.2009, 13:42
...neu hier
Beiträge: 7 |
||
|
||
09.02.2009, 13:50
Member
Beiträge: 3716 |
#2
hallo, schlecht sehen kann ich auch, wenn der da hilfe braucht, können wir uns mal per pn kontakten.
http://board.protecus.de/t23188.htm abarbeiten und logs posten |
|
|
||
09.02.2009, 16:10
...neu hier
Themenstarter Beiträge: 7 |
#3
So hab denn thread befolgt finde aber nichts bösartiges hier der log:
ComboFix 09-02-08.02 - Rene 2009-02-09 15:50:59.1 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.278 [GMT 1:00] ausgeführt von:: g:\rene\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\install.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-01-09 bis 2009-02-09 )))))))))))))))))))))))))))))) . 2009-02-09 15:49 . 2009-02-09 15:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-09 15:49 . 2009-02-05 06:06 <DIR> d-------- C:\32788R22FWJFW 2009-02-09 15:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-09 15:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-09 15:38 . 2009-02-09 15:38 <DIR> d-------- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Malwarebytes 2009-02-09 15:38 . 2009-02-09 15:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-09 15:35 . 2009-02-09 15:35 <DIR> d-------- c:\programme\Sophos 2009-02-02 09:12 . 2009-02-02 09:12 <DIR> d-------- c:\programme\Avira 2009-02-02 09:12 . 2009-02-02 09:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-02-01 19:10 . 2009-02-01 19:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite 2009-02-01 19:09 . 2009-02-01 19:09 <DIR> d-------- c:\programme\DIFX 2009-02-01 19:09 . 2009-02-01 19:09 <DIR> d-------- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Nokia 2009-02-01 19:08 . 2009-02-01 19:08 <DIR> d-------- c:\windows\system32\DRVSTORE 2009-02-01 19:08 . 2009-02-01 19:08 <DIR> d-------- c:\programme\Nokia 2009-02-01 19:08 . 2009-02-01 19:08 <DIR> d-------- c:\dokumente und einstellungen\Rene\Anwendungsdaten\PC Suite 2009-02-01 19:08 . 2008-09-15 07:56 91,136 --a------ c:\windows\system32\nmwcdcls.dll 2009-02-01 19:08 . 2009-02-01 19:08 19 --a------ c:\windows\SoundConverter.INI 2009-02-01 19:06 . 2009-02-01 19:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations 2009-01-22 17:08 . 2004-08-03 23:08 25,600 --a------ c:\windows\system32\drivers\usbser.sys 2009-01-22 17:08 . 2004-08-03 23:08 25,600 --a------ c:\windows\system32\dllcache\usbser.sys 2009-01-22 17:07 . 2008-03-21 13:57 23,856 --a------ c:\windows\system32\spupdsvc.exe 2009-01-22 17:07 . 2008-03-21 13:57 14,640 --------- c:\windows\system32\spmsgXP_2k3.dll 2009-01-22 17:07 . 2009-01-22 17:07 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf 2009-01-22 17:07 . 2009-01-22 17:07 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf 2009-01-22 17:03 . 2009-01-22 17:03 <DIR> d-------- c:\programme\PC Connectivity Solution 2009-01-22 17:03 . 2008-09-15 07:29 1,112,288 --a------ c:\windows\system32\wdfcoinstaller01007.dll 2009-01-22 17:03 . 2008-09-15 07:56 659,968 --a------ c:\windows\system32\nmwcdcocls.dll 2009-01-22 17:03 . 2008-09-15 07:56 22,016 --a------ c:\windows\system32\drivers\ccdcmbo.sys 2009-01-22 17:03 . 2008-08-26 09:26 18,816 --a------ c:\windows\system32\drivers\pccsmcfd.sys 2009-01-22 17:03 . 2008-09-15 07:56 17,664 --a------ c:\windows\system32\drivers\ccdcmb.sys 2009-01-22 17:03 . 2008-09-15 07:56 8,064 --a------ c:\windows\system32\drivers\usbser_lowerfltj.sys 2009-01-22 17:03 . 2008-09-15 07:56 8,064 --a------ c:\windows\system32\drivers\usbser_lowerflt.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368] "PDS_Info"="c:\progra~1\PCSHER~1\PdsStatus.exe" [2004-04-15 1397760] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\MSI\Bluetooth Software\BTTray.exe [2004-03-31 507965] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "SENTINEL"= snti386.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk * [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [2005-05-19 24971] R0 Waechter;Waechter;c:\windows\system32\drivers\dksdrv2k.sys [2005-05-20 81732] R2 JFWService;JFWService;c:\jaws510\jfw.exe [2005-05-19 2777151] R2 PDS_Remote;PDS Remote;c:\progra~1\PCSHER~1\pdsremot.exe [2005-05-20 19968] R2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [2004-11-01 237635] R3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\87.tmp --> c:\windows\system32\87.tmp [?] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MEMSWEEP2 *NewlyCreated* - SSMDRV . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.at/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Send To &Bluetooth - c:\programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm TCP: {ABAA7CDB-ACBB-4314-A9DE-E902310994C4} = 195.3.96.67 195.3.96.68 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-09 15:51:42 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\87.tmp" . Zeit der Fertigstellung: 2009-02-09 15:52:18 ComboFix-quarantined-files.txt 2009-02-09 14:52:18 Vor Suchlauf: 5.264.506.880 Bytes frei Nach Suchlauf: 5,363,023,872 Bytes frei 109 _____________________________________________________________________________________________________ Schlecht sehen und Blind sein ist ein wenig ein unterschied oder? Mfg snues |
|
|
||
09.02.2009, 16:12
Member
Beiträge: 3716 |
#4
was ist mit MalwareBytes?
|
|
|
||
09.02.2009, 16:16
...neu hier
Themenstarter Beiträge: 7 |
#5
Findet auch nichts sry vergessen dazu zu schreiben
|
|
|
||
09.02.2009, 16:19
Member
Beiträge: 3716 |
#6
also von jaws gibts version 10 beahlt ihm die krankenkasse nichts andres 5.1 ist ja n witz und arbeitet mit kaum was ordentlich zusammen. wenn er ne lizens hat, macht ein upgrade auf 6.20 oder 6.10 ich bin mir da nicht sicher aber du kannst 2 versionen nach oben gehen.
c:\windows\system32\87.tmp" bitte die datei hier überprüfen: http://www.virustotal.com/en/indexf.html ps das witz war jetzt net negativ gemeint... pps bitte das ergebniss posten wir bekommen das schon hin |
|
|
||
09.02.2009, 16:23
Member
Beiträge: 3716 |
#7
und ein hijackthis-log?
|
|
|
||
09.02.2009, 17:12
...neu hier
Themenstarter Beiträge: 7 |
#8
So hier mal der hijackthis-log :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:01:35, on 09.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\PCSHER~1\PdsStatus.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSI\Bluetooth Software\BTTray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe C:\JAWS510\jfw.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\PCSHER~1\pdsremot.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\JAWS510\JHookLdr.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\explorer.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PDS_Info] C:\PROGRA~1\PCSHER~1\PdsStatus.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116515092718 O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAA7CDB-ACBB-4314-A9DE-E902310994C4}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: JFWService - Freedom Scientific BLV Group, LLC - C:\JAWS510\jfw.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: PDS Remote (PDS_Remote) - prodaSafe GmbH - C:\PROGRA~1\PCSHER~1\pdsremot.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 4639 bytes So und komischerweise finde ich die 87.tmp nicht die einzige tmp die ich finde ist die config.tmp! |
|
|
||
09.02.2009, 17:19
Member
Beiträge: 3716 |
#9
hallo,
versuchen wir dr web: http://virus-protect.org/cureit.html updaten, dann in den abgesicherten modus ohne netzwerktreiber gehen scannen funde löschen und das log posten |
|
|
||
12.02.2009, 16:20
...neu hier
Themenstarter Beiträge: 7 |
#10
So sorry hat wenig länger gedauert da ich vom Arbeiten nicht weg kamm
Hab den drweb 3 std laufen lassen kammen auch zwei funde Fund 1 VBAOL11.CHM\html/olobjAdressesEntries.htm C:\Programm\Mircosoft Office\OFFICE11\1031\VBAOL11.CHM Modifikation vonVBS.Generice.205 Unlöschbar Fund 2 VBAOL11.chm C:\Programm\Mircosoft Office\OFFICE11\1031 Container enthält infizierte Objekte Gelöscht Komischerweiße bekamm ich keine log datei zum speicher ? |
|
|
||
12.02.2009, 16:57
Member
Beiträge: 3716 |
#11
sieht auch net aus als ob das dein problem gelöst hat... oder lieg ich falsch?
|
|
|
||
12.02.2009, 19:02
...neu hier
Themenstarter Beiträge: 7 |
#12
Ne kommen immer noch die spam Mails bzw werden sie weitergeschickt haste noch ne idee?
|
|
|
||
12.02.2009, 19:40
Member
Beiträge: 3716 |
#13
rootkitscans:
dafür ist es wichtig, 1. die verbindung zum internet zu trennen also kabel raus, wlan aus 2. alle programme schließen! auch antivirenprogramme. 3. mache zwischen den scans keinen neustart poste die logs dann alle auf ein mal folgende scanner verwenden: Blacklight catchme Gmer http://virus-protect.org/rootkitscanner.html |
|
|
||
12.02.2009, 22:36
...neu hier
Themenstarter Beiträge: 7 |
#14
Jop mach ich thx für die geduld
So hier mal die logs catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 _______________________________________________________________ 02/13/09 11:26:33 [Info]: BlackLight Engine 2.2.1092 initialized 02/13/09 11:26:33 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/13/09 11:26:33 [Note]: 7019 4 02/13/09 11:26:33 [Note]: 7005 0 02/13/09 11:26:36 [Note]: 7006 0 02/13/09 11:26:36 [Note]: 7011 2008 02/13/09 11:26:36 [Note]: 7035 0 02/13/09 11:26:37 [Note]: 7026 0 02/13/09 11:26:37 [Note]: 7026 0 02/13/09 11:26:38 [Note]: FSRAW library version 1.7.1024 02/13/09 11:26:46 [Note]: 2000 1012 02/13/09 11:26:52 [Note]: 7007 0 ___________________________________________________________ GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-13 11:29:48 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT F819778C ZwCreateThread SSDT F8197778 ZwOpenProcess SSDT F819777D ZwOpenThread SSDT F8197787 ZwTerminateProcess SSDT F8197782 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text win32k.sys!EngBitBlt BF82F5CC 5 Bytes JMP BF9DF260 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.) .text win32k.sys!EngCopyBits BF839B4F 5 Bytes JMP BF9DF3BA \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.) .text win32k.sys!EngTextOut BF89FE06 5 Bytes JMP BF9DF167 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.) .text win32k.sys!EngMovePointer BF937C06 5 Bytes JMP BF9DF581 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.) .text win32k.sys!EngSetPointerShape BF937D88 5 Bytes JMP BF9DF4D1 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.) ---- User code sections - GMER 1.0.14 ---- .text C:\JAWS510\jfw.exe[600] kernel32.dll!LoadLibraryExW 7C801AF1 7 Bytes JMP 00405815 C:\JAWS510\jfw.exe (Application file for JAWS/Freedom Scientific BLV Group, LLC) ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) kaspersky update von heute hab denn nochmal durchlaufen lassen und zwar keinen virus gefunden aber ein paar warnungen vom office paket also sprich word,powerpoint,exel Dieser Beitrag wurde am 13.02.2009 um 13:04 Uhr von Snues editiert.
|
|
|
||
Os: Win XP / SP2
AV: Antivier neutes Update
pc-sheriff
E-mail: Outlook Express (Ist schrott das weiß ich ist für einen freund von mir der blind ist)
So Problem liegt bei Outlook, verschickt selbst E-mail mit irgendeinen Spam Nachrichten an mein Adressenbook unter meiner E-mail addy und an mich selbst auch! Hab denn Pc mal mit Antivier und online Kaspersky durchlaufen lassen findet jedoch keinen Virus möglicherweise könnte der Virus gestealtht
sein!
Versuchte Maßnahmen : Windows Systemrückstellung ohne erfolg problem immer noch vorhanden!
Hoffe es kann mit wer weiterhelfen
Mfg snues