Hallo Leute,

ganz dringende Bitte mein Log mal wirklich detalliert zu überprüfen...

ich habe es vor ein paar tagen prüfen lassen und es schien OK zu sein

aber ich Glaube trotzdem irgendwelche Backdoors oder Trojaner zu haben...

wie habe ich es bemerkt :

Ich habe mein Outlook aufgemacht und kriege eine Autoresponder abwesenheits-mail von irgendjemanden( Firma xy ) von dem ich nicht mal dachte die mailadresse zu haben das war nicht privat oder so....

dann habe ich gesehen das ich angeblich 8 minuten zuvor eine mail dorthin rausgejagt habe mit dem inhalt einer anderen mail meines postfachs und das habe ich aber nie geschickt , trotzdem stand es da !

also hier mein log :

Logfile of HijackThis v1.99.1
Scan saved at 19:57:23, on 15.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Hi-jacker\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musikwoche.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ViewSource Class - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.1.0.80\InstallStub.exe -a
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAC38279-B8B4-4561-97CF-E877F3425C25}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Danke für Eure Hilfe im voraus !

LG

coco

Diese Datei C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
bei JOTTI überprüfen lassen.

Zitat:

Zitat von coco

Ich habe mein Outlook aufgemacht und kriege eine Autoresponder abwesenheits-mail von irgendjemanden( Firma xy ) von dem ich nicht mal dachte die mailadresse zu haben das war nicht privat oder so....

Das muss nichts heißen, da E-Mail-Würmer die Absende-Adressen fälschen.

Zitat:

Zitat von coco

dann habe ich gesehen das ich angeblich 8 minuten zuvor eine mail dorthin rausgejagt habe mit dem inhalt einer anderen mail meines postfachs und das habe ich aber nie geschickt , trotzdem stand es da !

Woran hast du das gesehen, wo stand das?

Wenn du sicher gehen willst: http://www.trojaner-board.com/showthread.php?t=17492

Gruß
Yopie

hier die antwort :

Auslastung: 0% 100%

Datei: InstallStub.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden


also diese Datei kenne ich auch ..

Das ist das Prg. PLAXO...
so ein Kontakt tool für Outlook, macht auch keine probleme ...
und startet immer nur mit outlook...

versendet aber keine mails....

noch was auffälliges ?

LG

coco

Hallo brauche echt mal Hilfe...

ist da noch was auffälliges in dem Log ?

Gruss

coco

[QUOTE=Yopie]Das muss nichts heißen, da E-Mail-Würmer die Absende-Adressen fälschen.

Woran hast du das gesehen, wo stand das?

Also ich habe es gesehen weil es in der mail stand...

wenn ich eine mail verschicke und man antwortet darauf ist die ursprüngliche mail unter der antwort und da stand das

hier der auszug der mail :

Von: *****
Gesendet: Sonntag, 15. Mai 2005 19:54
An: *****
Betreff: RE: Vorbildliche Aktion

Sehr geehrte Damen und Herren,

vielen Dank für Ihre E-Mail. Wir werden diese unverzüglich unter der Referenznummer 1-5LJI1B bearbeiten.

Mit freundlichem Gruß

RWE Kundenservice

-----Original Message-----
From: *****
Sent: Sonntag, 15. Mai 2005 19:52:41
To: *****
Subject: Vorbildliche Aktion

Lese selbst:
http://*****

diese e-mail habe ich nie geschrieben , geschweige den abgeschickt !

gruss

coco
_____________
Anm.
eMail Addys und Link entschärft!

LG Cidre
S-Mod TB

Bitte editiere dein Posting und entferne die E-Mail-Adressen, sie werden sonst Opfer von Spammern!

Die Erklärung ist einfach:

Irgendjemand (nicht zwangsläufig du) hat(te) den Sober.P auf dem Rechner. Dieser verschickt nun rechte Spam-Mails (Sober.Q genannt) an Adressen, die er auf dem befallenen Rechner findet. Als Absendeadresse dient ebenfalls eine E-Mail-Adresse auf dem befallenen Rechner. In diesem Fall ist deine Adresse die (gefälschte) Absendeadresse.

http://www.heise.de/newsticker/meldung/59562 (Sober.Q)
http://www.heise.de/security/news/meldung/59225 (Sober.P)

Die Mail, die du nun bekommen hast, ist die Reaktion auf die Spam-Mail mit der gefälschten Absenderadresse.

Es deutet aber nichts darauf hin, dass du Verursacher dieser Mails bist.

Gruß
Yopie

heisst das auf Deutsch

das irgendjemand den Virus auf seinem Rechner hat und meine E-mail adresse auch drauf hat und der Virus verschickt sich über alle Adressen Wahlweise die er in seinen Kontakten hat somit werden e-mail von seinem Rechner aus geschickt mit den adressen seiner kontakte als absender
und die kriegen dann die response ?

habe ich das richtig verstanden ?

Gruss

coco

ich werde deinem rat folgen auf jedenfall ,

danke für deine mühe...

lg

coco

Zitat:

Zitat von coco

habe ich das richtig verstanden ?

Absolut richtig!

In diesem Fall ist das eine automatische Antwort. Woher soll das Antwortprogramm wissen, dass es sich um eine Spammail handelt und der Absender gefälscht ist?

Gruß
Yopie

alles klar ,

dann liegt es auch nicht an mir....

mein outlook speichert nämlich alle e-mail adressen
die ich gepostet habe und dann reicht es manchmal wenn ich den ersten buchstaben eingebe der adresse oder sie...

in diesem fall wurd die komplette adresse nicht gefunden
und das weil sie nicht von meinem rechner gesendet wurde....

also bin ich doch clean...

wunderbar...ich danke Dir ....

schönen Sonntag noch ...

Gruss

coco

Danke fürs Editieren!

Zitat:

Zitat von coco

mein outlook speichert nämlich alle e-mail adressen
die ich gepostet habe und dann reicht es manchmal wenn ich den ersten buchstaben eingebe der adresse oder sie...

in diesem fall wurd die komplette adresse nicht gefunden
und das weil sie nicht von meinem rechner gesendet wurde....

Streng genommen kann man erst endgültig Entwarnung geben, wenn ein aktuelles AV-Prog bei Dir nichts gefunden hat. Wenn du aber weißt, das du den Anhang der Sober.P-Mail nicht ausgeführt hast, dann bist du in dem Fall auf der sicheren Seite.

Zitat:

schönen Sonntag noch ...

Dito.

Gruß
Yopie