MS Exchange Server: Mail-Konten senden SPAM-Mails an sich selbst

djinty · 13.08.2012, 08:30

Hallo liebes Trojaner-Board,

seit einigen Tagen melden Benutzer immer wieder, dass sie SPAM-Emails von sich selbst erhalten. Die Nachrichtenverfolgung unseres MS Exchange Server 2007 hat ergeben, dass zuerst eine Mail per SMTP empfangen wird und anschließend an das gleiche Mailkonto gesendet wird.

Sender und Empfänger sind hierbei gleich und entsprechen dem Mailkonto des gespammten Benutzers. Der ReturnPath enthält jedoch eine Spammer E-Mailadressse (z.B. viscountsb346@momix.org).

Der Virenscanner (G-Data) hat keine Auffälligkeiten gezeigt und auch im Internet bin ich bislang nicht auf dieses Problem gestoßen. Das interessante an diesem Fall ist, dass Mails dieser Art üblicherweise vom Spamfilter erkannt werden. Meine Vermutung ist daher, dass die Mails von unserem eigenen Server versendet werden und somit vom Spamfilter ignoriert werden. Hat jemand von euch eine Idee?

Weitere Informationen:
Der Exchange Server 2007 läuft unter Windows Server 2008 Standard, SP2, 64 Bit.
Da der Server den Mailverkehr des gesamten Unternehmens inne hat, wäre es natürlich von Vorteil wenn er unterbrechungsfrei weiter läuft.

OTL.txt:

Code:

ATTFilter

OTL logfile created on: 13.08.2012 09:09:15 - Run 1
OTL by OldTimer - Version 3.2.57.0     Folder = C:\Users\administrator.domain\Desktop
64bit-Windows Vista Server Standard Edition (full installation) Service Pack 2 (Version = 6.0.6002) - Type = NTServer
Internet Explorer (Version = 8.0.6001.19222)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,99 Gb Total Physical Memory | 0,41 Gb Available Physical Memory | 5,12% Memory free
16,20 Gb Paging File | 7,11 Gb Available in Paging File | 43,89% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 295,00 Gb Total Space | 53,32 Gb Free Space | 18,07% Space Free | Partition Type: NTFS
Drive D: | 86,44 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: Computername | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.08.13 09:09:00 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\administrator.domain\Desktop\OTL.exe
PRC - [2010.06.23 13:51:31 | 001,539,656 | ---- | M] (G Data Software AG) -- C:\Program Files (x86)\G DATA\AVKClient\AVKCl.exe
PRC - [2010.06.23 13:51:31 | 001,539,656 | ---- | M] (G Data Software AG) -- C:\Program Files (x86)\G DATA\AVKClient\AvkCl.exe
PRC - [2010.06.23 13:51:31 | 001,539,656 | ---- | M] (G Data Software AG) -- C:\Program Files (x86)\G DATA\AVKClient\AVKCl.exe
PRC - [2010.05.25 17:35:43 | 001,073,224 | ---- | M] (G Data Software AG) -- C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe
PRC - [2010.04.22 13:59:34 | 000,339,016 | ---- | M] (G Data Software AG) -- C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2009.04.11 09:10:40 | 000,091,648 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\RSoPProv.exe -- (RSoPProv)
SRV:64bit: - [2008.01.19 15:52:26 | 000,195,584 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV:64bit: - [2008.01.19 15:52:06 | 000,012,288 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\inetsrv\wmsvc.exe -- (WMSvc)
SRV:64bit: - [2008.01.19 15:52:05 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\inetsrv\inetinfo.exe -- (IISADMIN)
SRV:64bit: - [2008.01.19 15:51:45 | 000,014,848 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\sacsvr.dll -- (sacsvr)
SRV:64bit: - [2008.01.19 15:51:44 | 000,026,112 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\FCRegSvc.dll -- (FCRegSvc)
SRV - [2010.06.23 13:51:31 | 001,539,656 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files (x86)\G DATA\AVKClient\AvkCl.exe -- (AntiVirusKit Client)
SRV - [2010.05.25 17:35:43 | 001,073,224 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe -- (AVKProxy)
SRV - [2010.04.22 13:59:34 | 000,339,016 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe -- (GDScan)
SRV - [2010.04.21 19:46:17 | 000,373,760 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysWOW64\inetsrv\iisw3adm.dll -- (WAS)
SRV - [2010.04.21 19:46:17 | 000,373,760 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysWOW64\inetsrv\iisw3adm.dll -- (W3SVC)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.03.16 06:32:16 | 009,496,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\store.exe -- (MSExchangeIS)
SRV - [2010.03.16 06:31:56 | 000,018,872 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe -- (MSExchangeImap4)
SRV - [2010.03.16 06:31:56 | 000,018,864 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft\Exchange Server\ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe -- (MSExchangePop3)
SRV - [2010.03.16 06:31:54 | 000,052,144 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft\Exchange Server\Bin\Microsoft.Exchange.Monitoring.exe -- (MSExchangeMonitoring)
SRV - [2010.03.16 06:31:36 | 000,056,248 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\MSExchangeMailSubmission.exe -- (MSExchangeMailSubmission)
SRV - [2010.03.16 06:31:26 | 000,256,944 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\MSExchangeMailboxAssistants.exe -- (MSExchangeMailboxAssistants)
SRV - [2010.03.16 06:31:20 | 000,035,784 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\Microsoft.Exchange.AntispamUpdateSvc.exe -- (MSExchangeAntispamUpdate)
SRV - [2010.03.16 06:31:08 | 000,068,528 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\MSExchangeTransportLogSearch.exe -- (MSExchangeTransportLogSearch)
SRV - [2010.03.16 06:31:06 | 000,060,320 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\MSExchangeTransport.exe -- (MSExchangeTransport)
SRV - [2010.03.16 06:31:02 | 000,080,824 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\Microsoft.Exchange.EdgeSyncSvc.exe -- (MSExchangeEdgeSync)
SRV - [2010.03.16 06:30:52 | 000,031,672 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\Microsoft.Exchange.ServiceHost.exe -- (MSExchangeServiceHost)
SRV - [2010.03.16 06:30:10 | 000,084,872 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\MsExchangeFDS.exe -- (MSExchangeFDS)
SRV - [2010.03.16 06:29:56 | 000,228,288 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\Microsoft.Exchange.Search.ExSearch.exe -- (MSExchangeSearch)
SRV - [2010.03.16 06:29:36 | 000,060,360 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\Microsoft.Exchange.Cluster.ReplayService.exe -- (MSExchangeRepl)
SRV - [2010.03.16 06:25:10 | 002,760,064 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\mad.exe -- (MSExchangeSA)
SRV - [2010.03.15 11:23:39 | 001,778,336 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files (x86)\G DATA\AVKClient\AVKWCtlX64.exe -- (AVKWCtl)
SRV - [2009.12.02 23:27:16 | 000,143,360 | ---- | M] (Citrix) [Auto | Running] -- C:\Program Files (x86)\Citrix\XenTools\xenservice.exe -- (xensvc)
SRV - [2009.07.09 09:32:56 | 000,111,536 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\MSExchangeADTopologyService.exe -- (MSExchangeADTopology)
SRV - [2009.04.11 08:28:17 | 000,052,224 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysWOW64\inetsrv\apphostsvc.dll -- (AppHostSvc)
SRV - [2009.03.30 06:42:14 | 000,066,368 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2007.02.12 05:13:00 | 000,158,568 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Microsoft\Exchange Server\Bin\msftesql.exe -- (msftesql-Exchange)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.02.29 15:52:46 | 000,016,384 | ---- | M] (Microsoft Corporation) [Recognizer | System | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.11.16 05:37:59 | 000,048,584 | ---- | M] (G DATA Software AG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\gdwfpcd64.sys -- (gdwfpcd)
DRV:64bit: - [2010.07.20 08:05:15 | 000,084,936 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\MiniIcpt.sys -- (GDMnIcpt)
DRV:64bit: - [2010.07.20 08:05:12 | 000,106,224 | ---- | M] (G Data Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\GRD.sys -- (GRD)
DRV:64bit: - [2009.12.03 00:29:00 | 000,133,792 | ---- | M] (Citrix) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\xenvbd.sys -- (xenvbd)
DRV:64bit: - [2009.12.03 00:29:00 | 000,105,632 | ---- | M] (Citrix) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\xevtchn.sys -- (xenevtchn)
DRV:64bit: - [2009.12.03 00:29:00 | 000,056,992 | ---- | M] (Citrix) [NDIS6] [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\xennet6.sys -- (xennet6)
DRV:64bit: - [2009.12.03 00:29:00 | 000,039,584 | ---- | M] (Citrix) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\scsifilt.sys -- (scsifilt)
DRV:64bit: - [2009.04.11 06:57:36 | 000,089,600 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rpcxdr.sys -- (RpcXdr)
DRV:64bit: - [2008.01.19 15:51:49 | 000,056,832 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\portmap.sys -- (Portmap)
DRV:64bit: - [2008.01.19 15:51:45 | 000,103,992 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Stopped] -- C:\Windows\SysNative\DRIVERS\sacdrv.sys -- (sacdrv)
DRV:64bit: - [2008.01.19 15:51:36 | 000,429,568 | ---- | M] (Broadcom Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2008.01.19 15:51:36 | 000,197,576 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\vid.sys -- (Vid)
DRV:64bit: - [2008.01.19 15:51:36 | 000,109,512 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\storvsp.sys -- (storvsp)
DRV:64bit: - [2008.01.19 15:51:36 | 000,035,328 | ---- | M] (Intel Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\qd260x64.sys -- (ioatdma)
DRV:64bit: - [2006.09.18 23:27:33 | 000,055,640 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\Rtnic64.sys -- (RTL8023x64)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/SoftAdmin.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
 
 
O1 HOSTS File: ([2006.09.18 23:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O4 - HKLM..\Run: [AVK Client] C:\Program Files (x86)\G DATA\AVKClient\AVKCl.exe (G Data Software AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.1.1.13
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2488F043-27DA-48CF-AE34-6A9E2EA508FA}: DhcpNameServer = 10.1.1.10
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E9B44B5-464D-440C-982E-4633FA443C68}: NameServer = 10.1.1.13
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9A0966B0-8C8C-48E3-B8B2-A1944D5CEF82}: DhcpNameServer = 10.1.1.13
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9A0966B0-8C8C-48E3-B8B2-A1944D5CEF82}: NameServer = 10.1.1.13
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.03 00:31:06 | 000,000,049 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{e42f3de8-c525-11de-ab4c-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{e42f3de8-c525-11de-ab4c-806e6f6e6963}\Shell\AutoRun\command - "" = D:\xensetup.exe -- [2009.12.03 00:31:06 | 001,273,000 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.13 09:08:57 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Users\administrator.domain\Desktop\OTL.exe
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.13 09:09:00 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\administrator.domain\Desktop\OTL.exe
[2012.08.13 09:06:02 | 000,005,872 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.13 09:06:02 | 000,005,872 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.13 08:50:21 | 000,001,460 | ---- | M] () -- C:\Users\administrator.domain\AppData\Local\d3d9caps64.dat
[2012.07.26 17:09:47 | 003,895,408 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.07.26 17:09:47 | 001,629,524 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.07.26 17:09:47 | 001,435,568 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.07.26 17:09:47 | 000,433,364 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.07.26 17:09:47 | 000,359,050 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.07.26 17:04:58 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
 
========== Files Created - No Company Name ==========
 
[2009.10.30 10:53:31 | 000,001,460 | ---- | C] () -- C:\Users\administrator.domain\AppData\Local\d3d9caps64.dat
 
========== LOP Check ==========
 
[2012.05.10 10:29:44 | 000,021,102 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >

Extras.txt:

Code:

ATTFilter

OTL Extras logfile created on: 13.08.2012 09:09:15 - Run 1
OTL by OldTimer - Version 3.2.57.0     Folder = C:\Users\administrator.domain\Desktop
64bit-Windows Vista Server Standard Edition (full installation) Service Pack 2 (Version = 6.0.6002) - Type = NTServer
Internet Explorer (Version = 8.0.6001.19222)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,99 Gb Total Physical Memory | 0,41 Gb Available Physical Memory | 5,12% Memory free
16,20 Gb Paging File | 7,11 Gb Available in Paging File | 43,89% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 295,00 Gb Total Space | 53,32 Gb Free Space | 18,07% Space Free | Partition Type: NTFS
Drive D: | 86,44 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: computername | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 1
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 1
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 1
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{15C14C5A-8D2E-4221-9140-D2CFF4362987}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{1FF4381C-1D1E-4BD1-8834-76127BC894E4}" = lport=137 | protocol=17 | dir=in | app=system | 
"{203E7867-F891-4AB9-A008-BDA7F3DB355A}" = lport=137 | protocol=17 | dir=in | app=system | 
"{20651681-D4A4-43EC-A865-63AD5C7CEDC8}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{20796ADF-D5C6-4922-903F-14C090F31DD4}" = rport=138 | protocol=17 | dir=out | app=system | 
"{2E35F15F-C55E-4781-B98C-D3B95D656383}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{300D9A3A-5426-4E91-867D-75B7FF88253D}" = lport=3389 | protocol=6 | dir=in | app=system | 
"{33F6C83A-A83B-4B7A-9652-50A4925D20E1}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{45DC9F1E-B505-44E9-A02B-D16419069657}" = lport=138 | protocol=17 | dir=in | app=system | 
"{519FF9DC-33B4-4483-AAD2-DB216474E9F7}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{55626A72-EF6B-4C9B-869F-63553F71D29C}" = rport=137 | protocol=17 | dir=out | app=system | 
"{5B256BE3-7B81-4D03-B9D7-A824FACD7974}" = lport=139 | protocol=6 | dir=in | app=system | 
"{5BB27B04-CDAD-48E5-AEAA-05FB25301D04}" = rport=139 | protocol=6 | dir=out | app=system | 
"{654D6032-96CF-4263-A51A-1C285E31F88E}" = lport=445 | protocol=6 | dir=in | app=system | 
"{68D966EA-6AFB-4665-8E17-A7245DFB0027}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{797D9B28-92AB-4196-B426-C2544B9C107D}" = rport=137 | protocol=17 | dir=out | app=system | 
"{7D1ECFE9-AE3F-42C2-94DB-70FF1983DE04}" = lport=138 | protocol=17 | dir=in | app=system | 
"{84FC7432-5C51-434B-A3D5-611F1C8EE6BB}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{92904F34-364F-4EB7-ADF7-0E8FB35E2EDD}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{A1776790-A2B7-4D58-8ABE-2F2E32B01882}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{A48ECFA8-044D-4129-85E4-2E7EDD68F58D}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{BF00608D-A2D6-4D8E-A7A3-CDF705C38887}" = lport=808 | protocol=6 | dir=in | svc=nettcpactivator | app=c:\windows\microsoft.net\framework64\v4.0.30319\smsvchost.exe | 
"{C02ADB2F-EBE3-4FEA-B8FB-C6688039B013}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{C3299043-BD61-477A-8AC9-945A3D727104}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{C7CFBFC8-F359-4EFA-9EDA-9C7A3B962AA8}" = rport=445 | protocol=6 | dir=out | app=system | 
"{E336F880-30BE-46B9-9E52-E9CFCD7F13CA}" = rport=138 | protocol=17 | dir=out | app=system | 
"{EC12E357-C022-4AE9-B55B-218DE188668F}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{F912772E-F04C-43F5-9E0A-0B22620C1259}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{FA091D58-F861-461A-ACA2-A355E65FECB1}" = lport=5357 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{142494A5-217D-41D6-BB53-6E47979F0866}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msexchangefds.exe | 
"{152B7E93-F8A9-40E9-A77E-AF9453EA1CD6}" = protocol=17 | dir=in | app=c:\program files (x86)\g data\avkclient\avkcl.exe | 
"{184CA102-DDBA-41B7-87B3-47AF45F74A7E}" = dir=in | app=c:\program files\microsoft\exchange server\bin\microsoft.exchange.cluster.replayservice.exe | 
"{1B389A14-1344-41DF-89C4-0EEFCD27322D}" = dir=in | app=c:\program files\microsoft\exchange server\bin\mad.exe | 
"{201BC4CD-9120-44C2-90C2-2EF2B51BDAB4}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msexchangetransportlogsearch.exe | 
"{2D9936B6-FAAC-4979-A025-C24AACC09870}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{32353B1F-0A0C-4237-BB74-4EF077F53297}" = dir=in | app=c:\program files\microsoft\exchange server\bin\microsoft.exchange.monitoring.exe | 
"{399E98C4-C8B1-4108-AD2E-462FB836EB11}" = dir=in | app=c:\program files\microsoft\exchange server\bin\microsoft.exchange.servicehost.exe | 
"{46C70AF3-25EA-47A9-9722-CC28E35C39A9}" = dir=in | app=c:\program files\microsoft\exchange server\clientaccess\popimap\microsoft.exchange.imap4service.exe | 
"{490B8F8C-250A-412A-8C78-9425251DDFF4}" = dir=in | app=c:\program files\microsoft\exchange server\bin\microsoft.exchange.antispamupdatesvc.exe | 
"{4ACEFE78-9ED1-4170-84C1-8C3A8E086699}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{79157E62-1A37-4BE8-A417-5C950BCDBB39}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msftesql.exe | 
"{819C1C28-5C56-42D3-A1B0-8688D5CE76D6}" = dir=in | app=c:\program files\microsoft\exchange server\bin\edgetransport.exe | 
"{86BE20A9-C4D5-4171-A4D3-F3E8C179EF6C}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{8C37478C-DF97-42F4-8D0A-FF7D9A59791F}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msexchangemailsubmission.exe | 
"{A045D07D-2553-4CC3-BC26-F0CCE04CD45C}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{A681E142-6233-4286-9A24-A21C249E19B3}" = dir=in | app=c:\program files\microsoft\exchange server\bin\store.exe | 
"{A7242CB2-BD64-4F4C-8235-CDFBD5C28800}" = protocol=6 | dir=out | app=system | 
"{AF3491E2-BDBB-406A-BF34-B94E63CC8ED3}" = dir=in | app=c:\program files\microsoft\exchange server\bin\microsoft.exchange.search.exsearch.exe | 
"{B43B2EEE-CEFC-4DE3-91C1-5D35A24A9318}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msexchangetransport.exe | 
"{C15E216D-F04B-4BD0-A435-351A6D42C741}" = dir=in | app=c:\windows\system32\inetsrv\inetinfo.exe | 
"{C62D7108-CF59-4D73-8725-AE128CA7A840}" = protocol=6 | dir=in | app=c:\program files (x86)\g data\avkclient\avkcl.exe | 
"{C7976CD5-44FB-4A73-9719-2EE473E14A30}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msexchangeadtopologyservice.exe | 
"{D42D5CC8-49D2-4BE4-A220-FD53505DFEDC}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{DC04BB58-5011-4403-9C8C-24E5E7B1CCD1}" = dir=in | app=c:\program files\microsoft\exchange server\bin\microsoft.exchange.edgesyncsvc.exe | 
"{EDD1F812-F05B-46FA-8AD6-E3ADBBE89687}" = dir=in | app=c:\program files\microsoft\exchange server\clientaccess\popimap\microsoft.exchange.pop3service.exe | 
"{F3F692E7-CD93-4259-87AB-04F4A78DDBBA}" = dir=in | app=c:\program files\microsoft\exchange server\bin\msexchangemailboxassistants.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02382870-19C7-3ACD-BBAE-F6E3760947DC}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{14F288C7-C695-40D5-971D-8890605C6040}" = Microsoft Exchange 2007 Enterprise Block List Updates
"{2418BD8A-AE3D-4870-BB8E-476936FA0A4E}" = CodeTwo ExchangeRules 2007
"{24B2C164-DE66-44FE-B468-A46D9D5E6B31}" = Microsoft Exchange Server
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{6574FDC2-40FC-405A-9554-22D1CE15686B}" = Microsoft Full Text Indexing Engine for Exchange
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{8E34682C-8118-31F1-BC4C-98CD9675E1C2}" = Microsoft .NET Framework 4 Extended
"{93FCFF43-49E2-4AE5-9AD4-0256878AB886}" = Microsoft Exchange 2007 Enterprise Anti-spam Signatures
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{C3F10D8C-BD70-4516-B2B4-BF6901980741}" = Microsoft Exchange 2007 Enterprise Anti-spam Filter Updates
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Microsoft Exchange" = Microsoft Exchange Server 2007
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Citrix XenTools" = Citrix Tools for Virtual Machines
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 13.08.2012 02:35:38 | Computer Name = computername.domain.local | Source = MSExchange ADAccess | ID = 264645
Description = Prozess MSEXCHANGEADTOPOLOGY (PID=1656). Fehler beim Überprüfen des
 aktuellen Standortnamens durch den Standortmonitor - Anruf=DsctxGetContext Fehlercode=8007077f.

 
 
Error - 13.08.2012 02:44:42 | Computer Name = computername.domain.local | Source = MSExchangeTransport | ID = 274158
Description = Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen
 "mail.Firmenname-consult.com" im persönlichen Informationsspeicher auf dem lokalen Computer
 enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "Firmenname-Sendeconnector"
 mit einem FQDN-Parameter von "mail.Firmenname-consult.com" nicht  unterstützt werden. 
Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit
 sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN
 vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate
 -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst
 auf den Zertifikatschlüssel zugreifen kann.
 
Error - 13.08.2012 02:45:20 | Computer Name = computername.domain.local | Source = MSExchange RPC Over HTTP Autoconfig | ID = 2003
Description = Die RPC-über-HTTP-Proxykomponente ist nicht installiert oder nicht
 ordnungsgemäß konfiguriert. Fügen Sie die RPC-über-HTTP-Proxykomponente den Netzwerkdiensten
 mithilfe des Assistenten für Windows-Komponenten hinzu.
 
Error - 13.08.2012 02:50:38 | Computer Name = computername.domain.local | Source = MSExchange ADAccess | ID = 264748
Description = Prozess MSEXCHANGEADTOPOLOGY (PID=1656). Fehler beim Abrufen der Sicherheitsbeschreibung
 für das Exchange-Serverobjekt 'computername' durch Exchange während des Aktualisierens
 der Sicherheit für einen RPC-Zugriff (Remote Procedure Call) für den Exchange Active
 Directory-Topologiedienst - Fehlercode=8007077f.    Der Exchange Active Directory-Topologiedienst
 wird mit eingeschränkten Berechtigungen fortgesetzt.
 
Error - 13.08.2012 02:50:38 | Computer Name = computername.domain.local | Source = MSExchange ADAccess | ID = 264645
Description = Prozess MSEXCHANGEADTOPOLOGY (PID=1656). Fehler beim Überprüfen des
 aktuellen Standortnamens durch den Standortmonitor - Anruf=DsctxGetContext Fehlercode=8007077f.

 
 
Error - 13.08.2012 03:00:21 | Computer Name = computername.domain.local | Source = MSExchange RPC Over HTTP Autoconfig | ID = 2003
Description = Die RPC-über-HTTP-Proxykomponente ist nicht installiert oder nicht
 ordnungsgemäß konfiguriert. Fügen Sie die RPC-über-HTTP-Proxykomponente den Netzwerkdiensten
 mithilfe des Assistenten für Windows-Komponenten hinzu.
 
Error - 13.08.2012 03:00:59 | Computer Name = computername.domain.local | Source = MSExchangeTransport | ID = 274158
Description = Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen
 "mail.Firmenname-consult.com" im persönlichen Informationsspeicher auf dem lokalen Computer
 enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "Firmenname-Sendeconnector"
 mit einem FQDN-Parameter von "mail.Firmenname-consult.com" nicht  unterstützt werden. 
Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit
 sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN
 vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate
 -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst
 auf den Zertifikatschlüssel zugreifen kann.
 
Error - 13.08.2012 03:05:15 | Computer Name = computername.domain.local | Source = MSExchange Availability | ID = 266155
Description = Prozess 2856[w3wp.exe:/LM/W3SVC/1/ROOT/EWS-1-129877891207188900]: 
Die Konfiguration für Gesamtstruktur ninus.at wurde nicht in Active Directory gefunden.

 Führen Sie den Befehl 'Add-AvailabilityAddressSpace' in der Exchange-Verwaltungsshell
 für eine Active Directory-Gesamtstruktur von Exchange Server 2003 aus.
 
Error - 13.08.2012 03:05:38 | Computer Name = computername.domain.local | Source = MSExchange ADAccess | ID = 264748
Description = Prozess MSEXCHANGEADTOPOLOGY (PID=1656). Fehler beim Abrufen der Sicherheitsbeschreibung
 für das Exchange-Serverobjekt 'computername' durch Exchange während des Aktualisierens
 der Sicherheit für einen RPC-Zugriff (Remote Procedure Call) für den Exchange Active
 Directory-Topologiedienst - Fehlercode=8007077f.    Der Exchange Active Directory-Topologiedienst
 wird mit eingeschränkten Berechtigungen fortgesetzt.
 
Error - 13.08.2012 03:05:38 | Computer Name = computername.domain.local | Source = MSExchange ADAccess | ID = 264645
Description = Prozess MSEXCHANGEADTOPOLOGY (PID=1656). Fehler beim Überprüfen des
 aktuellen Standortnamens durch den Standortmonitor - Anruf=DsctxGetContext Fehlercode=8007077f.

 
 
[ System Events ]
Error - 13.08.2012 02:50:26 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Canon MX880 series FAX erforderliche Treiber Canon
 MX880 series FAX ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber
 zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:27 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Firmenname-PRT-01-PS erforderliche Treiber Dell 3130cn
 Color Laser PS ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber
 zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:28 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker HP Officejet Pro L7500 series erforderliche Treiber
 HP Officejet Pro L7500 Series ist unbekannt. Wenden Sie sich an den Administrator,
 um den Treiber zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:28 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Canon MX880 series Printer XPS erforderliche Treiber
 Canon MX880 series Printer XPS ist unbekannt. Wenden Sie sich an den Administrator,
 um den Treiber zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:29 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker HP Officejet Pro L7500 series fax erforderliche
 Treiber HP Officejet Pro L7500 series fax ist unbekannt. Wenden Sie sich an den
 Administrator, um den Treiber zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:29 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Firmenname-PRT-01 erforderliche Treiber Dell 3130cn Color
 Laser PCL6 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber 
zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:30 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Firmenname-PRT-01 erforderliche Treiber Kyocera FS-2000D
 KX ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu installieren,
 bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:30 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Canon MX880 series FAX WS (umgeleitet 1) erforderliche
 Treiber Canon MX880 series FAX ist unbekannt. Wenden Sie sich an den Administrator,
 um den Treiber zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:31 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Firmenname-PRT-01 auf Firmenname-SRV01-MDC (umgeleitet 1) erforderliche
 Treiber Kyocera FS-2000D KX ist unbekannt. Wenden Sie sich an den Administrator,
 um den Treiber zu installieren, bevor Sie sich erneut anmelden.
 
Error - 13.08.2012 02:50:33 | Computer Name = computername.domain.local | Source = UmrdpService | ID = 1111
Description = Der für den Drucker Canon MX880 series Printer (umgeleitet 1) erforderliche
 Treiber Canon MX880 series Printer ist unbekannt. Wenden Sie sich an den Administrator,
 um den Treiber zu installieren, bevor Sie sich erneut anmelden.
 
 
< End of report >

cosinus · 13.08.2012, 14:03

Zitat:

Da der Server den Mailverkehr des gesamten Unternehmens inne hat, wäre es natürlich von Vorteil wenn er unterbrechungsfrei weiter läuft.

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

djinty · 13.08.2012, 16:30

Das hatte ich leider übersehen. Im wesentlichen besteht die IT-Abteilung aus mir (Kleinunternehmen).

Ich respektiere die Haltung des TR-Boards in diesem Belangen und bedanke mich trotzdem für die Antwort.

lg djinty

Shadow · 13.08.2012, 17:20

Zitat:

Zitat von djinty

Das hatte ich leider übersehen. Im wesentlichen besteht die IT-Abteilung aus mir (Kleinunternehmen).

Und eine Einzelperson braucht einen Exchangeserver?
Eine Einzelperson braucht einen Windows 2008 Server Standard Edition?

Aber ja, um eine Semmel zu holen, kauft man sich ja auch einen 30-Tonner

cosinus · 13.08.2012, 17:24

Edit: Ähm ja, guter Punkt Shadow, als Einzelner einen Exchanger zu benutzen ist schon etwas ungewöhnlich

Wir machen da schon oft genug Ausnahmen, steht ja so auch im Artikel drin

Ob man dir allerdings vernünftigen Support geben kann, wenn dein Exchange neu konfiguriert werden muss ist allerdaings fraglich...

Zitat:

seit einigen Tagen melden Benutzer immer wieder, dass sie SPAM-Emails von sich selbst erhalten.

Nunja, man müsste schonmal wissen wie euer Mailsystem denn da im Detail aussieht
Habt ihr einen eigenen Mailserver und die Mails landen dann per SMTP in eurem Exchanger oder habt ihr sowas wie ein Sammelpostfach beim Provider, einen POP3-Connector (zB Fetchmail) holt diese Mails ab und bringt die dann in den Exchanger rein?!

Die Kopfzeilen so einer Mail mit sich selbst als Absender könnten auch Hinweise auf die Ursache geben

Beachte auch, dass Spammer problemlos Absendeadressen fälschen, ich hab auch schon oft genug SPAM bekommen wo ich selbst als Absender drinstand...

djinty · 14.08.2012, 08:39

Zitat:

Zitat von Shadow

Und eine Einzelperson braucht einen Exchangeserver?
Eine Einzelperson braucht einen Windows 2008 Server Standard Edition?

Aber ja, um eine Semmel zu holen, kauft man sich ja auch einen 30-Tonner

Ich habe nicht gesagt, dass ich den Exchange oder den Windows Server alleine nutze. Benutzer haben wir da wohl schon ein paar. Ich sagte lediglich, dass die IT-Abteilung praktisch aus mir alleine besteht, mehr nicht. Und bevor jetzt noch mehr Fragezeichen auftreten, ich hab den Job übernommen und die Infrastruktur nicht selbst aufgebaut. Ich versuche lediglich aufzuräumen.

Shadow wenn du mir nicht helfen möchtest ist das auch ok, aber stell mich hier bitte nicht als Lügner hin, danke.

Zitat:

Zitat von cosinus

Nunja, man müsste schonmal wissen wie euer Mailsystem denn da im Detail aussieht.
Habt ihr einen eigenen Mailserver und die Mails landen dann per SMTP in eurem Exchanger oder habt ihr sowas wie ein Sammelpostfach beim Provider, einen POP3-Connector (zB Fetchmail) holt diese Mails ab und bringt die dann in den Exchanger rein?!

Richtig wir haben einen eigenen Mailserver und die Mails werden per SMTP an das jeweilige Postfach des Benutzers ausgeliefert.

Es ist mir klar, dass Spammer den Absender problemlos fälschen können, allerdings verstehe ich dann nicht weshalb diese Mails nicht durch den Spamfilter aus dem Verkehr gezogen werden. Andere Mails dieser Art werden schon erkannt. Der Spam-Filter durchsucht auch jene Mails die von unserer Domain von extern (Webshop) nach intern gesendet werden.

mfg
djinty

cosinus · 14.08.2012, 13:08

Zitat:

Shadow wenn du mir nicht helfen möchtest ist das auch ok, aber stell mich hier bitte nicht als Lügner hin, danke.

Shadow hat lediglich hinterfragt was das ganz soll - warum musst du in diesem Ton jetzt antworten?

Auch darf man hinterfragen, ob bei einem Kleinunternehmen ein Exchanger unbedingt sinnvoll ist

Zitat:

allerdings verstehe ich dann nicht weshalb diese Mails nicht durch den Spamfilter aus dem Verkehr gezogen werden

Seit wann arbeiten Spamfilter zu 100% zuverlässig?

Zu den Kopfzeilen einer solchen Spammail hast du leider garnichts gesagt...

djinty · 21.08.2012, 06:47

Zitat:

Zitat von cosinus

Shadow hat lediglich hinterfragt was das ganz soll - warum musst du in diesem Ton jetzt antworten?

Auch darf man hinterfragen, ob bei einem Kleinunternehmen ein Exchanger unbedingt sinnvoll ist

Nunja ob ein Exchange Server nun sinnvoll ist oder nicht, darüber kann man schon diskutieren. Jedenfalls haben wir einen im Betrieb.

Hier die Kopfzeilen einer solchen E-Mail:

Code:

ATTFilter

Received: from device.lan (10.1.1.1) by mail.domain.tld (10.1.1.14) with
 Microsoft SMTP Server id 8.1.436.0; Mon, 13 Aug 2012 06:01:21 +0200
Message-ID: <5028791F.305060@domain.tld>
Date: Mon, 13 Aug 2012 07:01:30 +0300
From: <interne.adresse@domain.tld>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6
MIME-Version: 1.0
To: <interne.adresse@domain.tld>
Subject: Turn your 2 spare hours in a week to  230 Euro helping others
Content-Type: text/plain; charset="UTF-8"; format=flowed
Content-Transfer-Encoding: quoted-printable
Return-Path: pigskinw5@buxrud.se
X-MS-Exchange-Organization-PRD: domain.tld
X-MS-Exchange-Organization-SenderIdResult: None
Received-SPF: None (Exchange-Server.FQDN: interne.adresse@domain.tld
 does not designate permitted sender hosts)
X-MS-Exchange-Organization-SCL: 2
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report:
 DV:3.3.11612.485;SV:3.3.4604.600;SID:SenderIDStatus None;OrigIP:10.1.1.1

Danke und lg
djinty

Shadow · 21.08.2012, 07:34

Da die Message-ID (5028791F.305060@....) wohl von eurem Exchange-Server stammt, hast du vermutlich tatsächlich ein Problem.

djinty · 21.08.2012, 08:14

Ja das ist wohl richtig, hast du eine Vermutung?

lg djinty

Shadow · 21.08.2012, 12:07

Logfiles ansehen.
Wer ist 10.1.1.1?
Der Domainserver, Exchangeserver? Was ist er noch?
Ihr habt einen Exchange-Server und nutzt lokal Thunderbird?
Oder ist auf dem Server noch ein veralteter Thunderbird installiert?
From: <interne.adresse@domain.tld> ist ein Arbeitsplatz? Immer die selbe Adresse?
Gibt es auf dem Server eine VM?

djinty · 21.08.2012, 13:04

Zitat:

Zitat von Shadow

Logfiles ansehen.

Welche Logfiles meinst du hier speziell?

Zitat:

Zitat von Shadow

Wer ist 10.1.1.1?
Der Domainserver, Exchangeserver? Was ist er noch?

10.1.1.1 ist unser Router (NAT, Firewall), DHCP läuft auf dem DC.

Zitat:

Zitat von Shadow

Ihr habt einen Exchange-Server und nutzt lokal Thunderbird?
Oder ist auf dem Server noch ein veralteter Thunderbird installiert?

In der Regel verwenden unsere Benutzer Outlook 2010. Dadurch, dass die meisten Client-PCs jedoch vorwiegend selbst administriert werden, kann ich nicht ausschließen, dass jemand zusätzlich auch noch Thunderbird verwendet.

Auf dem Server ist kein Thunderbird installiert, soweit ich das gesehen habe.

Zitat:

Zitat von Shadow

From: <interne.adresse@domain.tld> ist ein Arbeitsplatz? Immer die selbe Adresse?

Das ist die E-Mail Adresse von einem unserer Benutzer. Es sind mehrere E-Mail Adressen betroffen, jedoch bei weitem nicht alle.

Zitat:

Zitat von Shadow

Gibt es auf dem Server eine VM?

Der Server läuft zusammen mit einigen anderen Servern auf einer XEN-Virtualisierung. Auf dem Server selbst laufen keine weiteren VMs.

lg djinty

Shadow · 21.08.2012, 13:38

Zitat:

Zitat von djinty

10.1.1.1 ist unser Router

wenn dem so wäre, dann würde der Router E-Mails versenden =>
Received: from device.lan (10.1.1.1)
Andererseits glaube ich jetzt nicht, dass ein Hardwarerouter Thunderbird installiert hat.
Was ist das für ein Router?

Kontrolliere mal die Sache mit Thunderbird =>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6 MIME-Version: 1.0

Zitat:

Zitat von djinty

Dadurch, dass die meisten Client-PCs jedoch vorwiegend selbst administriert werden

Was soll der Müll,
was ist dies bei Euch für eine obskure IT?

Dann sollen halt mal alle Client-PCs ordentlich administriert werden, als erstes mal ein tiefgehender Malwarecheck.

Zitat:

Zitat von djinty

Das ist die E-Mail Adresse von einem unserer Benutzer. Es sind mehrere E-Mail Adressen betroffen, jedoch bei weitem nicht alle.

Als ABSENDER?

Zitat:

Zitat von djinty

Der Server läuft zusammen mit einigen anderen Servern auf einer XEN-Virtualisierung.

Waren wir da nicht schon mal in der Gegend?

djinty · 21.08.2012, 13:50

Zitat:

Zitat von Shadow

wenn dem so wäre, dann würde der Router E-Mails versenden =>
Received: from device.lan (10.1.1.1)
Andererseits glaube ich jetzt nicht, dass ein Hardwarerouter Thunderbird installiert hat.
Was ist das für ein Router?

Ein ZyWALL USG 200 von ZyXEL. Ich nehme an, dass mir hier nur die IP vom "Next Hop" angezeigt wird.

Zitat:

Zitat von Shadow

Kontrolliere mal die Sache mit Thunderbird =>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6 MIME-Version: 1.0

Werde ich machen...

Zitat:

Zitat von Shadow

Was soll der Müll,
was ist dies bei Euch für eine obskure IT?

Dann sollen halt mal alle Client-PCs ordentlich administriert werden, als erstes mal ein tiefgehender Malwarecheck.

Ich bin bemüht etwas zu verbessern, für die Taten meiner Vorgänger kann ich nichts... Geht nunmal leider nicht von heute auf morgen...
Bzgl. Malwarecheck, aktuell läuft ein GData-Client auf jedem Clientsystem. Die GData-Clients werden zentral vom Server aus überwacht.

Zitat:

Zitat von Shadow

Als ABSENDER?

Waren wir da nicht schon mal in der Gegend?

Jap Absender = Empfänger.
Was genau meinst du?

MS Exchange Server: Mail-Konten senden SPAM-Mails an sich selbst

Überwachung, Datenschutz und Spam: MS Exchange Server: Mail-Konten senden SPAM-Mails an sich selbst