Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.05.2009, 15:05   #1
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Hallo!
Ich bin neu hier und suche Hilfe für meinen völlig durchseuchten PC. Wenn ich mit Outlook größere Emails mit (bsp.) Bilddateianhängen verschicke, sendet er oft bis zu 150 emails an die Adresse (ich bin bei web.de). Ich versuche dem schon eine ganze Zeit lang auf die Schliche zu kommen. Jetzt hab ich euer Forum entdeckt und hoffe auf Hilfe. Außerdem produziert mein PC alle paar Minuten eine neue Heuristic oder Trojanermeldung bei Antivir. Hier einige Beispiele für die Funde der letzten zwei Tage, die ich in Quarantäne gesteckt und an AntiVir geschickt habe:
[CODE
Name: TR/Trash.Gen
Entdeckt am: 18/07/2007
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.04.00.44

Name: HEUR/HTML.Malware
Art: AHeAD Heuristik Spezialerkennung
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Name: EXP/ASF.GetCodec.Gen
Entdeckt am: 15/10/2008
Art: Exploit
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.09.00.04 ][/CODE]



Dann habe ich einen Scan mit Malwarebytes durchgeführt.
Hier der Bericht des heutigen Scans mit Malwarebytes:
[CODE
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2148
Windows 5.1.2600 Service Pack 3

20.05.2009 11:37:08
mbam-log-2009-05-20 (11-37-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 148549
Laufzeit: 2 hour(s), 1 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Programme\Pinnacle\Studio 7\Register\RegTool.exe (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\142.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.][/CODE]


Dann mit der SUPERAntiSpyware Komplettscan durchgeführt, habe das Protokoll nicht angehängt, weil zu groß, es besteht aber hauptsächlich aus solchen Meldungen:[CODE Adware.Tracking Cookie
C:\Dokumente und Einstellungen\NameNachname\Cookies\name_nachname@ads.ad4game[1].txt
C:\Dokumente und Einstellungen\Name Nachname\Cookies\name_nachname@ad.adition[1].txt
SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 05/20/2009 at 11:48 AM

Application Version : 4.26.1002

Core Rules Database Version : 3899
Trace Rules Database Version: 1845

Scan type : Complete Scan
Total Scan Time : 02:15:13

Memory items scanned : 667
Memory threats detected : 0
Registry items scanned : 5779
Registry threats detected : 1
File items scanned : 19888
File threats detected : 252

AdwareFilter Toolbar
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{1028F737-81E7-452B-A860-E50CAD90A08C}
][/CODE]

Als nächstes habe ich den CCleaner benutzt...unglaublich, was für ein Müll (über 220 MB) auf meinem PC rumgammelt.
Jetzt fühle ich mich wie nach dem Haareschneiden! Erleichtert!

Als allerletztes hab ich dann Hijack this drüberlaufen lassen. Hier ist die Logfile:
[CODE
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:41, on 20.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
D:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
D:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\msiexec.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de-de.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] D:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105539019960
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141754396465
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A772CEA-E4C0-46C8-80C3-CFD35F8B600A}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\NameNachname\Desktop\blupp_desktop.h**l][/CODE]

--
End of file - 10713 bytes

So, ich hoffe, ich hab alles richtig gemacht. Bislang bei HijackThis nur den Scan gemacht und hoffe, dass mir jemand mit Ahnung irgendwie weiterhelfen kann.
Vielen Dank im Voraus,
Guagua

Alt 21.05.2009, 10:35   #2
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



...bin ich im falschen Thread gelandet oder ist mein Fall zu kompliziert...
Habe leider noch keine Hilfe bekommen.
Vielleicht kann mir mal jemand rückmelden, ob ich was falsch gemacht habe...
Gruß,
Guagua
__________________


Alt 23.05.2009, 18:37   #3
undoreal
/// AVZ-Toolkit Guru
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Hi Guagua und

Führe bitte einen Scan mit Avira durch und zwar nach dieser Anleitung:
http://www.trojaner-board.de/54192-a...tellungen.html
Poste das log.

Prevx
  • Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  • Deaktiviere die Wächter aller anderen AntiViren Produkte!

  • Downloade dir Prevx und installiere das Programm wie vorgeschlagen.
  • Der Computer wird dabei überprüft. Sollte der Trojaner gefunden werden so folge bitte den vorgeschlagenen Desinfektions Methoden.
  • Nachdem der Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "Scan bei Installation"
  • Nachdem die Installation abgeschlossen ist wechsel im Hauptfenster des Programms in die Settings Sektion. Dort findest du die Heuristic Settings Sektion.
  • Dort schiebe bitte den obersten Regler Advanced Heuristics Settings ganz nach rechts auf Maximum!
  • Klicke danach den blauen Button Save Changes um die Änderungen zu speichern.
  • Starte den Rechner neu.
  • Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  • Wechsel aus dem Hauptfenster wieder in die Tools Sektion und wähle dort Advanced Scan -> Deep Scan -> Scan now aus.
  • Nachdem der deep Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "depp Scan".
  • Beide auf dem Desktop gespeicherten logs lade bitte bei rapidshare hoch und poste die Downloadlinks in deinem nächsten Beitrag!
__________________
__________________

Alt 27.05.2009, 15:25   #4
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Hallo!
Erstmal Danke für die Hilfe.
Habe den AviraAntivir Scan wie dargestellt durchgeführt. Hier der Report:
Avira AntiVir Personal
Report file date: Mittwoch, 27. Mai 2009 15:23

Scanning for 1284893 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : HNPC1

Version information:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:20:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:30
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03.03.2009 06:41:14
ANTIVIR3.VDF : 7.1.2.127 110592 Bytes 05.03.2009 13:58:20
Engineversion : 8.2.0.100
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.56 352634 Bytes 26.02.2009 19:01:56
AESCN.DLL : 8.1.1.7 127347 Bytes 12.02.2009 10:44:25
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 12:06:10
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 25.02.2009 14:49:16
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.24 336244 Bytes 04.03.2009 12:06:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.0.1 43777 Bytes 05.12.2008 09:32:15
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:45:45
RCTEXT.DLL : 9.0.37.0 86785 Bytes 17.04.2009 09:19:48

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: Mittwoch, 27. Mai 2009 15:23

Starting search for hidden objects.
'57824' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'hpswp_clipbook.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'hpqgpc01.exe' - '1' Module(s) have been scanned
Scan process 'hpqbam08.exe' - '1' Module(s) have been scanned
Scan process 'hpqste08.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'skypePM.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'Residence.exe' - '1' Module(s) have been scanned
Scan process 'SonyTray.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned
Scan process 'CLI.exe' - '1' Module(s) have been scanned
Scan process 'SUPERAntiSpyware.exe' - '1' Module(s) have been scanned
Scan process 'Skype.exe' - '1' Module(s) have been scanned
Scan process 'wcescomm.exe' - '1' Module(s) have been scanned
Scan process 'MESSENGR.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
Scan process 'realplay.exe' - '1' Module(s) have been scanned
Scan process 'NvMixerTray.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'CLI.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
51 processes with 51 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '78' files ).


Starting the file scan:

Begin scan in 'C:\' <System>
C:\hiberfil.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
Begin scan in 'D:\' <Daten>
D:\Programme\AdwareFilter\AdwareFilter.exe
[DETECTION] Contains recognition pattern of the ADSPY/AdFilter.A.2 adware or spyware

Beginning disinfection:
D:\Programme\AdwareFilter\AdwareFilter.exe
[DETECTION] Contains recognition pattern of the ADSPY/AdFilter.A.2 adware or spyware
[NOTE] The file was moved to '4a944ca2.qua'!


End of the scan: Mittwoch, 27. Mai 2009 16:20
Used time: 53:11 Minute(s)

The scan has been done completely.

5301 Scanned directories
226596 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
2 Files cannot be scanned
226593 Files not concerned
4276 Archives were scanned
2 Warnings
3 Notes
57824 Objects were scanned with rootkit scan
0 Hidden objects were found

Jetzt kümmere ich mich um den Prevx Scan.
Grüße von Guagua

Alt 27.05.2009, 16:06   #5
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Nach dem ersten Prevx Scan hat er einen GENDEL32.EXE entdeckt. Den kann Prevx nur entfernen, wenn ich das Programm kaufe. Gibt es da eine Alternative? Habe jetzt also erstmal nichts weiter als den Installationsscan mit Prevx gemacht.

Prevx sagt mir Folgendes über den Wurm:
GENDEL32.EXE
Worm

Your PC is infected. The file called GENDEL32.EXE is considered unsafe and there may be other infections on your PC.

You should urgently check your PC and remove any malicious software including GENDEL32.EXE as soon as possible. The free version of Prevx 3.0 will scan your PC for millions of spyware and malware infections in less than 2 minutes. Don't put your confidential data, or your identity at risk, check your PC now with Prevx 3.0.

Download Prevx 3.0 now »
Associated Malware Groups

The filename is associated with the malware group:
Worm
File Behavior

GENDEL32.EXE has been seen to perform the following behavior:
This Process Deletes Other Processes From Disk
Found on infected systems and resists interrogation by security products

GENDEL32.EXE has been the subject of the following behavior:
Created as a process on disk
Deleted as a process from disk
Executed as a Process
Terminated as a Process
Country Of Origin

The filename GENDEL32.EXE was first seen on May 15 2007 in the following geographical regions of the Prevx community:
The UNITED STATES on May 15 2007
THAILAND on May 15 2007
File Name Aliases

GENDEL32.EXE can also use the following file names:
GENDEL32.EXE.BAK
GENDEL32.EX_
SHARE/GENDEL32.EXE
Filesizes

This file has been seen with the following file size:
53,248 bytes


Alt 27.05.2009, 16:57   #6
undoreal
/// AVZ-Toolkit Guru
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Poste bitte beide Prevx logs (Berichte) so wie in meiner kleinen Anleitung beschrieben..


Danach geht es so weiter:


ESET SysInspector logfile

  • Bevor es losgeht lege dir bitte auf dem Desktop einen Ordner an den du ESET SysInspector nennst. Alle Dateien die zu dem Inspector gehören landen bitte ausschließlich in diesem Hauptordner!
  • Downloade dir den Inspector hier: https://www.eset.de/download/vollversionen#esi und speichere ihn in dem eben angelegten Hauptordner ab.
  • Doppelklicke die SysInspector.exe und akzeptiere die EULA. Diese werden zum späteren Durchlesen im Hauptordner gespeichert.
  • Der SysInspector untersucht nun dein System. Das kann je nach Rechnerleistung mehrere Minuten dauern.
  • Nachdem der Scan beendet ist öffnet sich das Hauptfenster. Spiele dort bitte nicht herum sondern lasse mich die Auswertung übernehmen!
  • Speichere dafür das log ab indem du oben rechts auf Datei > Log speichern klickst. Speichere das logfile in dem von dir erstelltem Hauptordner.


    .
  • Im Hauptordner findest du nun eine "SysInspector-*dein PC Name*-Nummer.zip" Datei. Diese lädst du bitte bei rapidshare hoch und postest mir den Downloadlink per PN.
  • Auf Basis dieses logfile erstelle ich dir eine DienstSkript Datei die ich hier im Forum an meinen nächsten Post anhängen werde.
__________________
--> Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware

Alt 27.05.2009, 18:40   #7
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Hallo!

Hier also die rapidshare-links:
http://rapidshare.de/files/47320816/Scan_bei_Installation.log.html

und
http://rapidshare.de/files/47320850/Deep_scan.log.html

Ich warte jetzt erstmal, was du dazu sagst, bevor ich mit dem näxten Schritt weitermache!
Tausend Dank!
Guagua

Alt 27.05.2009, 18:46   #8
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Habe gerade ESET SysInspector downgeloadet und kann es nicht öffnen, weil es keine zulässige Win32-Anwendung ist...
Was soll ich nu machen?

Guagua

Alt 27.05.2009, 18:50   #9
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



...alles klar, geht jetzt, hab einfach die andere Version genommen!
Sorry für die Panik!

Alt 27.05.2009, 22:48   #10
undoreal
/// AVZ-Toolkit Guru
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Lass' bitte in Zukunft die Finger von EMule und anderen FileSharing Börsen! Da kommt der Mist nämlich her...
Kannst froh sein, dass dir dein Internet Provider noch nicht den Saft abgedreht hat...


Deinstalliere EMule.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
d:\programme\microsoft activesync\wcescomm.exe
c:\windows\system32\drivers\atjsgt.sys
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Anleitung Avenger (by swandog46)
Lade dir das Tool Avenger und speichere es auf dem Desktop
  • Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
    .
  • Setze den Haken bei "Automatically disable any rootkits found"
  • Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"
Code:
ATTFilter
Files to delete:
c:\gendel32.exe


Folders to delete:
d:\programme\emule
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 30.05.2009, 17:15   #11
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Hier nun die beiden Dateiergebnisse von Virustotal:

Datei wcescomm.exe empfangen 2009.05.30 16:05:54 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.30 -
AhnLab-V3 5.0.0.2 2009.05.29 -
AntiVir 7.9.0.180 2009.05.30 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.29 -
Avast 4.8.1335.0 2009.05.29 -
AVG 8.5.0.339 2009.05.30 -
BitDefender 7.2 2009.05.30 -
CAT-QuickHeal 10.00 2009.05.29 -
ClamAV 0.94.1 2009.05.30 -
Comodo 1220 2009.05.30 -
DrWeb 5.0.0.12182 2009.05.29 -
eSafe 7.0.17.0 2009.05.27 -
eTrust-Vet 31.6.6530 2009.05.30 -
F-Prot 4.4.4.56 2009.05.29 -
F-Secure 8.0.14470.0 2009.05.30 -
Fortinet 3.117.0.0 2009.05.30 -
GData 19 2009.05.30 -
Ikarus T3.1.1.57.0 2009.05.30 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.05.30 -
McAfee 5631 2009.05.30 -
McAfee+Artemis 5630 2009.05.29 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.05.30 -
NOD32 4116 2009.05.29 -
Norman 6.01.05 2009.05.29 -
nProtect 2009.1.8.0 2009.05.30 -
Panda 10.0.0.14 2009.05.30 -
PCTools 4.4.2.0 2009.05.30 -
Prevx 3.0 2009.05.30 -
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.30 -
Sunbelt 3.2.1858.2 2009.05.30 -
Symantec 1.4.4.12 2009.05.30 -
TheHacker 6.3.4.3.334 2009.05.29 -
TrendMicro 8.950.0.1092 2009.05.29 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.29.1761 2009.05.29 -
weitere Informationen
File size: 401491 bytes
MD5...: 9c06094806c8fd4a48eec066bd2e0220
SHA1..: b6b0dbd08782604bb8a6054032f51b576f27c380
SHA256: 0936cca57032f15b22fddcc68a8ecf72411790839733ee8eef4fde30f97950c0
ssdeep: -

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (45.2%)
Win32 Executable MS Visual C++ (generic) (41.0%)
Win32 Executable Generic (9.2%)
Generic Win/DOS Executable (2.1%)
DOS Executable Generic (2.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x258e6
timedatestamp.....: 0x402015dd (Tue Feb 03 21:42:53 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25fb6 0x26000 6.70 9e89941346838b0f4d8d65a1932df325
.data 0x27000 0x1474 0x1000 0.37 bbd52d4eece07b797b51ae236e108bb7
.rsrc 0x29000 0x3a000 0x3a000 5.40 abbdb8f4c2febb02944d8bf8fc358c38

( 14 imports )
> MSVCRT.dll: _purecall, _except_handler3, wcscmp, free, malloc, _controlfp, _exit, _XcptFilter, exit, _acmdln, __getmainargs, __p__commode, __set_app_type, __p__fmode, _onexit, __dllonexit, __setusermatherr, _initterm, __3@YAXPAX@Z, _wcslwr, _stricmp, __2@YAPAXI@Z, memmove, strstr, wcslen, wcscpy, strchr, fclose, fputs, fflush, fopen, _splitpath, _snprintf, _adjust_fdiv, _vsnprintf
> SHELL32.dll: Shell_NotifyIconA, ShellExecuteA
> WS2_32.dll: -, -, -, WSAAccept, -, -, -, WSAWaitForMultipleEvents, WSAEnumNetworkEvents, WSAEventSelect, WSAEnumProtocolsA, -, -, -, -, -, -, -, -, -, WSACreateEvent, -, -, WSAAddressToStringA, -, -, -, WSACloseEvent, -, WSASetEvent
> ADVAPI32.dll: RegOpenKeyA, RegEnumValueA, RegCreateKeyExA, RegSetValueExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyA, RegEnumKeyA, RegDeleteValueA
> COMCTL32.dll: PropertySheetA
> KERNEL32.dll: HeapAlloc, HeapFree, GetStartupInfoA, DeviceIoControl, IsBadWritePtr, HeapDestroy, HeapCreate, WaitCommEvent, ClearCommError, PurgeComm, GetOverlappedResult, EscapeCommFunction, GetCommState, SetCommState, GetCommTimeouts, SetCommTimeouts, SetCommMask, GetCommModemStatus, ResetEvent, DebugBreak, GetVersionExA, GetCurrentThread, SetThreadPriority, InterlockedIncrement, ExitThread, VirtualFree, GetSystemInfo, VirtualAlloc, SetLastError, GetLocalTime, GetTempPathA, GetFileSize, SetFilePointer, ReadFile, WriteFile, SetEndOfFile, InterlockedDecrement, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, CreateMutexA, GetLastError, InterlockedExchange, lstrcmpA, GetVersion, GetWindowsDirectoryA, CreateFileMappingA, MapViewOfFile, OpenMutexA, OutputDebugStringA, FlushViewOfFile, UnmapViewOfFile, lstrcpyA, GetCurrentThreadId, lstrcpynA, lstrlenA, lstrcatA, GetModuleFileNameA, SetProcessWorkingSetSize, GetCurrentProcess, LocalFree, lstrcmpiA, LocalAlloc, GetModuleHandleA, CloseHandle, ReleaseMutex, MultiByteToWideChar, GetProcAddress, LoadLibraryA, FreeLibrary, CreateThread, CreateEventA, SetEvent, Sleep, WideCharToMultiByte, GetTickCount, LocalReAlloc, FormatMessageA, CreateFileA, WaitForSingleObject
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> ole32.dll: CoTaskMemFree, CoInitializeEx, CoUninitialize, CoCreateInstance, CLSIDFromString
> CEUTIL.dll: CeSvcOpenEx, CeSvcSetBinary, CeSvcSetString, CeSvcDeleteVal, CeSvcSetDword, CeSvcClose, CeSvcGetDword, CeSvcGetString, CeSvcGetBinary, CeSvcOpen
> RAPI.dll: CeRapiInitEx, CeRegCloseKey, CeRapiUninit, CeRegSetValueEx, CeRegCreateKeyEx
> TCP2UDP.dll: TCP2UDPStartup, TCP2UDPShutdown
> GDI32.dll: GetDeviceCaps, CreateFontIndirectA, DeleteObject, GetTextExtentPoint32A, SelectObject, GetObjectA
> USER32.dll: DispatchMessageA, TranslateMessage, MsgWaitForMultipleObjects, SendMessageTimeoutA, SetWindowPos, IsWindow, SetDlgItemTextA, GetSystemMenu, RegisterClassA, SetWindowLongA, GetCursorPos, CheckDlgButton, EndDialog, ShowWindow, GetWindowRect, IsDlgButtonChecked, GetDlgItemTextA, SendDlgItemMessageA, SetFocus, GetDlgItem, GetSystemMetrics, WinHelpA, CreateDialogParamA, GetParent, GetWindowLongA, SetParent, EnableWindow, MessageBeep, IsWindowVisible, MessageBoxA, DialogBoxParamA, GetMessageA, FindWindowA, CreateWindowExA, GetClientRect, SetForegroundWindow, GetLastActivePopup, SendMessageA, DestroyWindow, DefWindowProcA, PostQuitMessage, GetDoubleClickTime, ReleaseDC, SystemParametersInfoA, GetDC, PostMessageA, KillTimer, SetTimer, DestroyIcon, LoadStringA, LoadImageA, LoadMenuA, PeekMessageA, GetSubMenu, SetMenuDefaultItem, EnableMenuItem, SetCursor, LoadCursorA, wsprintfA, IsWindowEnabled, DestroyMenu, TrackPopupMenu
> WINMM.dll: PlaySoundA

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Und die zweite Datei:
Datei atjsgt.sys empfangen 2009.05.30 16:10:36 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.30 -
AhnLab-V3 5.0.0.2 2009.05.29 -
AntiVir 7.9.0.180 2009.05.30 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.29 -
Avast 4.8.1335.0 2009.05.29 -
AVG 8.5.0.339 2009.05.30 -
BitDefender 7.2 2009.05.30 -
CAT-QuickHeal 10.00 2009.05.29 -
ClamAV 0.94.1 2009.05.30 -
Comodo 1220 2009.05.30 -
DrWeb 5.0.0.12182 2009.05.29 -
eSafe 7.0.17.0 2009.05.27 -
eTrust-Vet 31.6.6530 2009.05.30 -
F-Prot 4.4.4.56 2009.05.29 -
F-Secure 8.0.14470.0 2009.05.30 -
Fortinet 3.117.0.0 2009.05.30 -
GData 19 2009.05.30 -
Ikarus T3.1.1.57.0 2009.05.30 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.05.30 -
McAfee 5631 2009.05.30 -
McAfee+Artemis 5630 2009.05.29 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.05.30 -
NOD32 4116 2009.05.29 -
Norman 6.01.05 2009.05.29 -
nProtect 2009.1.8.0 2009.05.30 -
Panda 10.0.0.14 2009.05.30 -
PCTools 4.4.2.0 2009.05.30 -
Prevx 3.0 2009.05.30 -
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.30 -
Sunbelt 3.2.1858.2 2009.05.30 -
Symantec 1.4.4.12 2009.05.30 -
TheHacker 6.3.4.3.334 2009.05.29 -
TrendMicro 8.950.0.1092 2009.05.29 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.29.1761 2009.05.29 -
VirusBuster 4.6.5.0 2009.05.29 -
weitere Informationen
File size: 165504 bytes
MD5...: cacf27cd29a64b8556869ce5c14f5ea9
SHA1..: 381c37b05b8961244ca51f9a85d05793a6c9128e
SHA256: 2eb11a18b65ea7271504736bea64bd912433f5947f9ebca0d595024a1e3520bb
ssdeep: -

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x26ec6
timedatestamp.....: 0x436a82ec (Thu Nov 03 21:36:44 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x220a0 0x22100 6.01 f2cc6ed481699f8ade134710571b0909
.rdata 0x22400 0x38a0 0x3900 7.56 13561e8efc0710dafad6cd5181155ace
.data 0x25d00 0x88c 0x900 2.64 54509d4db83b86b7f58634b2ff83a494
PAGE 0x26600 0x83d 0x880 5.90 91a7c53a3e5c3671e26e3d497a9daa7b
INIT 0x26e80 0x37a 0x380 5.61 2876e9f9bb9676bb2a5d25cb0defa950
.reloc 0x27200 0x140e 0x1480 4.11 09809c6cf87a94910a0dade2117b841d

( 2 imports )
> ntoskrnl.exe: IoAllocateMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, MmProbeAndLockPages, _alldiv, _allmul, IoCreateSymbolicLink, IoCreateDevice, ExFreePool, ExAllocatePool, RtlUnwind, IoFreeMdl
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Bis hierhin!
Schöne Pfingsttage!
Guagua

Alt 30.05.2009, 17:35   #12
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Und nu... Avenger Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\gendel32.exe" deleted successfully.
Folder "d:\programme\emule" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

:aplaus:

Alt 30.05.2009, 20:45   #13
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Hier jetzt der GMER-Scan.

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-30 21:43:51
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F8E9B84E ZwCreateKey
SSDT F8E9B844 ZwCreateThread
SSDT F8E9B853 ZwDeleteKey
SSDT F8E9B85D ZwDeleteValueKey
SSDT F8E9B862 ZwLoadKey
SSDT F8E9B830 ZwOpenProcess
SSDT F8E9B835 ZwOpenThread
SSDT F8E9B86C ZwReplaceKey
SSDT F8E9B867 ZwRestoreKey
SSDT F8E9B858 ZwSetValueKey
SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xBAEA9DF0]

---- Kernel code sections - GMER 1.0.15 ----

? ardbpe.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 100205E0 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 1002061F D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 10020574 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 10020523 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!ShowScrollBar 7E37F2F2 2 Bytes JMP 100205C5 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!ShowScrollBar + 3 7E37F2F5 2 Bytes [CA, 91]
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 1002053E D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 1002058F D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 10020559 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 100205AA D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 10020508 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671777 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446716F8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467173C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671684 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716BE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP Photosmart C4400 series@ChangeID 709620

---- EOF - GMER 1.0.15 ----

Gruß,
Guagua

Alt 04.06.2009, 17:46   #14
undoreal
/// AVZ-Toolkit Guru
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Das gefällt mir noch nicht...



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 14.06.2009, 11:55   #15
guagua
 
Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Standard

Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware



Habe vor ein paar Tagen vorgehabt, Combofix durchzuführen. Hatte dann aber doch zu wenig Zeit und habe abgebrochen. Jetzt habe ich eine High risk Worm Meldung von Prevx zu Combofix[1].exe mit dem Verweis auf eine Temporäre Internetdatei, die ich wohl geladen habe.
Was soll ich tun?
MFG Guagua

Antwort

Themen zu Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware
ad-aware, add-on, adobe, adware.bho, avg, avira, browser, desktop, einstellungen, excel, explorer, google, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, logfile, registrierungsschlüssel, scan, software, studio, superantispyware, system, toolbars, trojaner, web.de, windows xp



Ähnliche Themen: Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware


  1. Outlook 2007 möchte mehrere Mails versenden obwohl keine Mails im Ausgangsordner existieren
    Alles rund um Windows - 05.08.2015 (25)
  2. 500 Mails täglich von Outlook nach DHL Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.06.2015 (15)
  3. Outlook 2010 verschickt spam-mails mit angehängtem virus!
    Log-Analyse und Auswertung - 26.05.2015 (16)
  4. Outlook 2013 verschickt willkürlich Mails
    Plagegeister aller Art und deren Bekämpfung - 05.10.2014 (19)
  5. Trojaner welcher Mailkonten von Outlook hackt und dadurch Spam verschickt
    Plagegeister aller Art und deren Bekämpfung - 06.06.2014 (32)
  6. Mailer Daemon Mails von GMX-Konto - Spam oder sendet Outlook selbstständig Mails?
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (8)
  7. Win XP: Schädlingsbefall? Hunderte Mail delivery failed-Mails erhalten
    Plagegeister aller Art und deren Bekämpfung - 27.08.2013 (13)
  8. Trojaner mit Zahlungsaufforderung und hunderte Spam-Mails
    Log-Analyse und Auswertung - 11.06.2013 (15)
  9. Hunderte E-Mails nach Sperr-Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (7)
  10. Rechner infiziert - Outlook hat keine Mails mehr verschickt
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (1)
  11. Trojaner verschickt Spam-Mails - Runde 2
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (25)
  12. Trojaner? Mails werden automatisch von Outlook versendet
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (3)
  13. Trojaner verschickt mails/Nutzung von combofix
    Log-Analyse und Auswertung - 19.12.2011 (3)
  14. Trojaner verschickt Spam-Mails v2
    Log-Analyse und Auswertung - 14.12.2011 (31)
  15. unbekannter trojaner!? verschickt mails
    Log-Analyse und Auswertung - 22.08.2006 (10)
  16. Hilfe! Habe irgendwas, dass Mails ohne Outlook verschickt!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2004 (3)
  17. Outlook Express 6 verschickt Viren-Mails
    Plagegeister aller Art und deren Bekämpfung - 18.02.2003 (6)

Zum Thema Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware - Hallo! Ich bin neu hier und suche Hilfe für meinen völlig durchseuchten PC. Wenn ich mit Outlook größere Emails mit (bsp.) Bilddateianhängen verschicke, sendet er oft bis zu 150 emails - Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware...
Archiv
Du betrachtest: Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.