Outlook Virus oder wurm

#1 Hallo Leute

Os: Win XP / SP2
AV: Antivier neutes Update
pc-sheriff
E-mail: Outlook Express (Ist schrott das weiß ich ist für einen freund von mir der blind ist)

So Problem liegt bei Outlook, verschickt selbst E-mail mit irgendeinen Spam Nachrichten an mein Adressenbook unter meiner E-mail addy und an mich selbst auch! Hab denn Pc mal mit Antivier und online Kaspersky durchlaufen lassen findet jedoch keinen Virus möglicherweise könnte der Virus gestealtht
sein!

Versuchte Maßnahmen : Windows Systemrückstellung ohne erfolg problem immer noch vorhanden!

Hoffe es kann mit wer weiterhelfen

Mfg snues

#2 hallo, schlecht sehen kann ich auch, wenn der da hilfe braucht, können wir uns mal per pn kontakten.
http://board.protecus.de/t23188.htm
abarbeiten und logs posten

#3 So hab denn thread befolgt finde aber nichts bösartiges hier der log:

ComboFix 09-02-08.02 - Rene 2009-02-09 15:50:59.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.278 [GMT 1:00]
ausgeführt von:: g:\rene\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-09 bis 2009-02-09 ))))))))))))))))))))))))))))))
.

2009-02-09 15:49 . 2009-02-09 15:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-09 15:49 . 2009-02-05 06:06 <DIR> d-------- C:\32788R22FWJFW
2009-02-09 15:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-09 15:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-09 15:38 . 2009-02-09 15:38 <DIR> d-------- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Malwarebytes
2009-02-09 15:38 . 2009-02-09 15:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-09 15:35 . 2009-02-09 15:35 <DIR> d-------- c:\programme\Sophos
2009-02-02 09:12 . 2009-02-02 09:12 <DIR> d-------- c:\programme\Avira
2009-02-02 09:12 . 2009-02-02 09:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-01 19:10 . 2009-02-01 19:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-02-01 19:09 . 2009-02-01 19:09 <DIR> d-------- c:\programme\DIFX
2009-02-01 19:09 . 2009-02-01 19:09 <DIR> d-------- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Nokia
2009-02-01 19:08 . 2009-02-01 19:08 <DIR> d-------- c:\windows\system32\DRVSTORE
2009-02-01 19:08 . 2009-02-01 19:08 <DIR> d-------- c:\programme\Nokia
2009-02-01 19:08 . 2009-02-01 19:08 <DIR> d-------- c:\dokumente und einstellungen\Rene\Anwendungsdaten\PC Suite
2009-02-01 19:08 . 2008-09-15 07:56 91,136 --a------ c:\windows\system32\nmwcdcls.dll
2009-02-01 19:08 . 2009-02-01 19:08 19 --a------ c:\windows\SoundConverter.INI
2009-02-01 19:06 . 2009-02-01 19:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-22 17:08 . 2004-08-03 23:08 25,600 --a------ c:\windows\system32\drivers\usbser.sys
2009-01-22 17:08 . 2004-08-03 23:08 25,600 --a------ c:\windows\system32\dllcache\usbser.sys
2009-01-22 17:07 . 2008-03-21 13:57 23,856 --a------ c:\windows\system32\spupdsvc.exe
2009-01-22 17:07 . 2008-03-21 13:57 14,640 --------- c:\windows\system32\spmsgXP_2k3.dll
2009-01-22 17:07 . 2009-01-22 17:07 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-01-22 17:07 . 2009-01-22 17:07 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-01-22 17:03 . 2009-01-22 17:03 <DIR> d-------- c:\programme\PC Connectivity Solution
2009-01-22 17:03 . 2008-09-15 07:29 1,112,288 --a------ c:\windows\system32\wdfcoinstaller01007.dll
2009-01-22 17:03 . 2008-09-15 07:56 659,968 --a------ c:\windows\system32\nmwcdcocls.dll
2009-01-22 17:03 . 2008-09-15 07:56 22,016 --a------ c:\windows\system32\drivers\ccdcmbo.sys
2009-01-22 17:03 . 2008-08-26 09:26 18,816 --a------ c:\windows\system32\drivers\pccsmcfd.sys
2009-01-22 17:03 . 2008-09-15 07:56 17,664 --a------ c:\windows\system32\drivers\ccdcmb.sys
2009-01-22 17:03 . 2008-09-15 07:56 8,064 --a------ c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-01-22 17:03 . 2008-09-15 07:56 8,064 --a------ c:\windows\system32\drivers\usbser_lowerflt.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"PDS_Info"="c:\progra~1\PCSHER~1\PdsStatus.exe" [2004-04-15 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\MSI\Bluetooth Software\BTTray.exe [2004-03-31 507965]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [2005-05-19 24971]
R0 Waechter;Waechter;c:\windows\system32\drivers\dksdrv2k.sys [2005-05-20 81732]
R2 JFWService;JFWService;c:\jaws510\jfw.exe [2005-05-19 2777151]
R2 PDS_Remote;PDS Remote;c:\progra~1\PCSHER~1\pdsremot.exe [2005-05-20 19968]
R2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [2004-11-01 237635]
R3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\87.tmp --> c:\windows\system32\87.tmp [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MEMSWEEP2
*NewlyCreated* - SSMDRV
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
TCP: {ABAA7CDB-ACBB-4314-A9DE-E902310994C4} = 195.3.96.67 195.3.96.68
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-09 15:51:42
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\87.tmp"
.
Zeit der Fertigstellung: 2009-02-09 15:52:18
ComboFix-quarantined-files.txt 2009-02-09 14:52:18

Vor Suchlauf: 5.264.506.880 Bytes frei
Nach Suchlauf: 5,363,023,872 Bytes frei

109
_____________________________________________________________________________________________________

Schlecht sehen und Blind sein ist ein wenig ein unterschied oder?


Mfg snues

#4 was ist mit MalwareBytes?

#5 Findet auch nichts sry vergessen dazu zu schreiben

#6 also von jaws gibts version 10 beahlt ihm die krankenkasse nichts andres 5.1 ist ja n witz und arbeitet mit kaum was ordentlich zusammen. wenn er ne lizens hat, macht ein upgrade auf 6.20 oder 6.10 ich bin mir da nicht sicher aber du kannst 2 versionen nach oben gehen.
c:\windows\system32\87.tmp"
bitte die datei hier überprüfen:
http://www.virustotal.com/en/indexf.html
ps das witz war jetzt net negativ gemeint...
pps bitte das ergebniss posten wir bekommen das schon hin

#7 und ein hijackthis-log?

#8 So hier mal der hijackthis-log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:35, on 09.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\PCSHER~1\PdsStatus.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\JAWS510\jfw.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\PCSHER~1\pdsremot.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\JAWS510\JHookLdr.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PDS_Info] C:\PROGRA~1\PCSHER~1\PdsStatus.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116515092718
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAA7CDB-ACBB-4314-A9DE-E902310994C4}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: JFWService - Freedom Scientific BLV Group, LLC - C:\JAWS510\jfw.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: PDS Remote (PDS_Remote) - prodaSafe GmbH - C:\PROGRA~1\PCSHER~1\pdsremot.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4639 bytes

So und komischerweise finde ich die 87.tmp nicht die einzige tmp die ich finde ist die config.tmp!

#9 hallo,
versuchen wir dr web:
http://virus-protect.org/cureit.html
updaten, dann in den abgesicherten modus ohne netzwerktreiber gehen scannen funde löschen und das log posten

#10 So sorry hat wenig länger gedauert da ich vom Arbeiten nicht weg kamm
Hab den drweb 3 std laufen lassen kammen auch zwei funde

Fund 1

VBAOL11.CHM\html/olobjAdressesEntries.htm

C:\Programm\Mircosoft Office\OFFICE11\1031\VBAOL11.CHM

Modifikation vonVBS.Generice.205

Unlöschbar

Fund 2

VBAOL11.chm

C:\Programm\Mircosoft Office\OFFICE11\1031

Container enthält infizierte Objekte

Gelöscht

Komischerweiße bekamm ich keine log datei zum speicher ?

#11 sieht auch net aus als ob das dein problem gelöst hat... oder lieg ich falsch?

#12 Ne kommen immer noch die spam Mails bzw werden sie weitergeschickt haste noch ne idee?

#13 rootkitscans:
dafür ist es wichtig,
1. die verbindung zum internet zu trennen also kabel raus, wlan aus
2. alle programme schließen! auch antivirenprogramme.
3. mache zwischen den scans keinen neustart poste die logs dann alle auf ein mal
folgende scanner verwenden:
Blacklight
catchme
Gmer
http://virus-protect.org/rootkitscanner.html

#14 Jop mach ich thx für die geduld



So hier mal die logs

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
_______________________________________________________________


02/13/09 11:26:33 [Info]: BlackLight Engine 2.2.1092 initialized
02/13/09 11:26:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/13/09 11:26:33 [Note]: 7019 4
02/13/09 11:26:33 [Note]: 7005 0
02/13/09 11:26:36 [Note]: 7006 0
02/13/09 11:26:36 [Note]: 7011 2008
02/13/09 11:26:36 [Note]: 7035 0
02/13/09 11:26:37 [Note]: 7026 0
02/13/09 11:26:37 [Note]: 7026 0
02/13/09 11:26:38 [Note]: FSRAW library version 1.7.1024
02/13/09 11:26:46 [Note]: 2000 1012
02/13/09 11:26:52 [Note]: 7007 0
___________________________________________________________

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-13 11:29:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F819778C ZwCreateThread
SSDT F8197778 ZwOpenProcess
SSDT F819777D ZwOpenThread
SSDT F8197787 ZwTerminateProcess
SSDT F8197782 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text win32k.sys!EngBitBlt BF82F5CC 5 Bytes JMP BF9DF260 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.)
.text win32k.sys!EngCopyBits BF839B4F 5 Bytes JMP BF9DF3BA \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.)
.text win32k.sys!EngTextOut BF89FE06 5 Bytes JMP BF9DF167 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.)
.text win32k.sys!EngMovePointer BF937C06 5 Bytes JMP BF9DF581 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.)
.text win32k.sys!EngSetPointerShape BF937D88 5 Bytes JMP BF9DF4D1 \SystemRoot\System32\JAWSVID.dll (Chaining Display Driver/Freedom Scientific BLV Group, LLC.)

---- User code sections - GMER 1.0.14 ----

.text C:\JAWS510\jfw.exe[600] kernel32.dll!LoadLibraryExW 7C801AF1 7 Bytes JMP 00405815 C:\JAWS510\jfw.exe (Application file for JAWS/Freedom Scientific BLV Group, LLC)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)


kaspersky update von heute hab denn nochmal durchlaufen lassen und zwar keinen virus gefunden aber ein paar warnungen vom office paket also sprich word,powerpoint,exel