| |
| |||||||
Log-Analyse und Auswertung: Outlook verschickt hunderte Mails, Trojaner und HeuristicmalwareWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.05.2009, 15:05
| #1 |
 |  Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Hallo! Ich bin neu hier und suche Hilfe für meinen völlig durchseuchten PC. Wenn ich mit Outlook größere Emails mit (bsp.) Bilddateianhängen verschicke, sendet er oft bis zu 150 emails an die Adresse (ich bin bei web.de). Ich versuche dem schon eine ganze Zeit lang auf die Schliche zu kommen. Jetzt hab ich euer Forum entdeckt und hoffe auf Hilfe. Außerdem produziert mein PC alle paar Minuten eine neue Heuristic oder Trojanermeldung bei Antivir. Hier einige Beispiele für die Funde der letzten zwei Tage, die ich in Quarantäne gesteckt und an AntiVir geschickt habe: [CODE Name: TR/Trash.Gen Entdeckt am: 18/07/2007 Art: Trojan In freier Wildbahn: Ja Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig Statische Datei: Nein Engine Version: 7.04.00.44 Name: HEUR/HTML.Malware Art: AHeAD Heuristik Spezialerkennung In freier Wildbahn: Nein Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig Statische Datei: Nein Name: EXP/ASF.GetCodec.Gen Entdeckt am: 15/10/2008 Art: Exploit In freier Wildbahn: Ja Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig Statische Datei: Nein Engine Version: 7.09.00.04 ][/CODE] Dann habe ich einen Scan mit Malwarebytes durchgeführt. Hier der Bericht des heutigen Scans mit Malwarebytes: [CODE Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2148 Windows 5.1.2600 Service Pack 3 20.05.2009 11:37:08 mbam-log-2009-05-20 (11-37-08).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 148549 Laufzeit: 2 hour(s), 1 minute(s), 59 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\Programme\Pinnacle\Studio 7\Register\RegTool.exe (Rogue.RegTool) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\142.zip (Worm.Archive) -> Quarantined and deleted successfully. C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.][/CODE] Dann mit der SUPERAntiSpyware Komplettscan durchgeführt, habe das Protokoll nicht angehängt, weil zu groß, es besteht aber hauptsächlich aus solchen Meldungen:[CODE Adware.Tracking Cookie C:\Dokumente und Einstellungen\NameNachname\Cookies\name_nachname@ads.ad4game[1].txt C:\Dokumente und Einstellungen\Name Nachname\Cookies\name_nachname@ad.adition[1].txt SUPERAntiSpyware Scan Log h**p://www.superantispyware.com Generated 05/20/2009 at 11:48 AM Application Version : 4.26.1002 Core Rules Database Version : 3899 Trace Rules Database Version: 1845 Scan type : Complete Scan Total Scan Time : 02:15:13 Memory items scanned : 667 Memory threats detected : 0 Registry items scanned : 5779 Registry threats detected : 1 File items scanned : 19888 File threats detected : 252 AdwareFilter Toolbar HKLM\Software\Microsoft\Internet Explorer\Toolbar#{1028F737-81E7-452B-A860-E50CAD90A08C} ][/CODE] Als nächstes habe ich den CCleaner benutzt...unglaublich, was für ein Müll (über 220 MB) auf meinem PC rumgammelt. Jetzt fühle ich mich wie nach dem Haareschneiden! Erleichtert! Als allerletztes hab ich dann Hijack this drüberlaufen lassen. Hier ist die Logfile: [CODE Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:32:41, on 20.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe D:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Skype\Phone\Skype.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe D:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe D:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\Skype\Plugin Manager\skypePM.exe D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe D:\Programme\HP\Digital Imaging\bin\hpqbam08.exe D:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\msiexec.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de-de.facebook.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] D:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105539019960 O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141754396465 O17 - HKLM\System\CCS\Services\Tcpip\..\{9A772CEA-E4C0-46C8-80C3-CFD35F8B600A}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\NameNachname\Desktop\blupp_desktop.h**l][/CODE] -- End of file - 10713 bytes So, ich hoffe, ich hab alles richtig gemacht. Bislang bei HijackThis nur den Scan gemacht und hoffe, dass mir jemand mit Ahnung irgendwie weiterhelfen kann. Vielen Dank im Voraus, Guagua |
|
21.05.2009, 10:35
| #2 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware ...bin ich im falschen Thread gelandet oder ist mein Fall zu kompliziert...
__________________Habe leider noch keine Hilfe bekommen.  Vielleicht kann mir mal jemand rückmelden, ob ich was falsch gemacht habe...  Gruß, Guagua |
|
23.05.2009, 18:37
| #3 |
| /// AVZ-Toolkit Guru   | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Hi Guagua und
__________________ Führe bitte einen Scan mit Avira durch und zwar nach dieser Anleitung: http://www.trojaner-board.de/54192-a...tellungen.html Poste das log. Prevx
__________________ |
|
27.05.2009, 15:25
| #4 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Hallo! Erstmal Danke für die Hilfe. Habe den AviraAntivir Scan wie dargestellt durchgeführt. Hier der Report: Avira AntiVir Personal Report file date: Mittwoch, 27. Mai 2009 15:23 Scanning for 1284893 virus strains and unwanted programs. Licensee : Avira AntiVir Personal - FREE Antivirus Serial number : 0000149996-ADJIE-0000001 Platform : Windows XP Windows version : (Service Pack 3) [5.1.2600] Boot mode : Normally booted Username : SYSTEM Computer name : HNPC1 Version information: BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:20:00 AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:30 AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49 LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26 ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03.03.2009 06:41:14 ANTIVIR3.VDF : 7.1.2.127 110592 Bytes 05.03.2009 13:58:20 Engineversion : 8.2.0.100 AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42 AESCRIPT.DLL : 8.1.1.56 352634 Bytes 26.02.2009 19:01:56 AESCN.DLL : 8.1.1.7 127347 Bytes 12.02.2009 10:44:25 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41 AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 12:06:10 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56 AEHEUR.DLL : 8.1.0.100 1618295 Bytes 25.02.2009 14:49:16 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56 AEGEN.DLL : 8.1.1.24 336244 Bytes 04.03.2009 12:06:10 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59 AVPREF.DLL : 9.0.0.1 43777 Bytes 05.12.2008 09:32:15 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33 NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:45:45 RCTEXT.DLL : 9.0.37.0 86785 Bytes 17.04.2009 09:19:48 Configuration settings for the scan: Jobname.............................: Complete system scan Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp Logging.............................: low Primary action......................: interactive Secondary action....................: ignore Scan master boot sector.............: on Scan boot sector....................: on Boot sectors........................: C:, D:, Process scan........................: on Scan registry.......................: on Search for rootkits.................: on Integrity checking of system files..: off Scan all files......................: All files Scan archives.......................: on Recursion depth.....................: 20 Smart extensions....................: on Macro heuristic.....................: on File heuristic......................: medium Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: Mittwoch, 27. Mai 2009 15:23 Starting search for hidden objects. '57824' objects were checked, '0' hidden objects were found. The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'hpswp_clipbook.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'hpqgpc01.exe' - '1' Module(s) have been scanned Scan process 'hpqbam08.exe' - '1' Module(s) have been scanned Scan process 'hpqste08.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'skypePM.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'jqs.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'Residence.exe' - '1' Module(s) have been scanned Scan process 'SonyTray.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned Scan process 'CLI.exe' - '1' Module(s) have been scanned Scan process 'SUPERAntiSpyware.exe' - '1' Module(s) have been scanned Scan process 'Skype.exe' - '1' Module(s) have been scanned Scan process 'wcescomm.exe' - '1' Module(s) have been scanned Scan process 'MESSENGR.EXE' - '1' Module(s) have been scanned Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned Scan process 'realplay.exe' - '1' Module(s) have been scanned Scan process 'NvMixerTray.exe' - '1' Module(s) have been scanned Scan process 'InCD.exe' - '1' Module(s) have been scanned Scan process 'CLI.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'aawservice.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 51 processes with 51 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan executable files (registry). The registry was scanned ( '78' files ). Starting the file scan: Begin scan in 'C:\' <System> C:\hiberfil.sys [WARNING] The file could not be opened! [NOTE] This file is a Windows system file. [NOTE] This file cannot be opened for scanning. C:\pagefile.sys [WARNING] The file could not be opened! [NOTE] This file is a Windows system file. [NOTE] This file cannot be opened for scanning. Begin scan in 'D:\' <Daten> D:\Programme\AdwareFilter\AdwareFilter.exe [DETECTION] Contains recognition pattern of the ADSPY/AdFilter.A.2 adware or spyware Beginning disinfection: D:\Programme\AdwareFilter\AdwareFilter.exe [DETECTION] Contains recognition pattern of the ADSPY/AdFilter.A.2 adware or spyware [NOTE] The file was moved to '4a944ca2.qua'! End of the scan: Mittwoch, 27. Mai 2009 16:20 Used time: 53:11 Minute(s) The scan has been done completely. 5301 Scanned directories 226596 Files were scanned 1 Viruses and/or unwanted programs were found 0 Files were classified as suspicious 0 files were deleted 0 Viruses and unwanted programs were repaired 1 Files were moved to quarantine 0 Files were renamed 2 Files cannot be scanned 226593 Files not concerned 4276 Archives were scanned 2 Warnings 3 Notes 57824 Objects were scanned with rootkit scan 0 Hidden objects were found Jetzt kümmere ich mich um den Prevx Scan. Grüße von Guagua |
|
27.05.2009, 16:06
| #5 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Nach dem ersten Prevx Scan hat er einen GENDEL32.EXE entdeckt. Den kann Prevx nur entfernen, wenn ich das Programm kaufe. Gibt es da eine Alternative? Habe jetzt also erstmal nichts weiter als den Installationsscan mit Prevx gemacht. Prevx sagt mir Folgendes über den Wurm: GENDEL32.EXE Worm Your PC is infected. The file called GENDEL32.EXE is considered unsafe and there may be other infections on your PC. You should urgently check your PC and remove any malicious software including GENDEL32.EXE as soon as possible. The free version of Prevx 3.0 will scan your PC for millions of spyware and malware infections in less than 2 minutes. Don't put your confidential data, or your identity at risk, check your PC now with Prevx 3.0. Download Prevx 3.0 now » Associated Malware Groups The filename is associated with the malware group: Worm File Behavior GENDEL32.EXE has been seen to perform the following behavior: This Process Deletes Other Processes From Disk Found on infected systems and resists interrogation by security products GENDEL32.EXE has been the subject of the following behavior: Created as a process on disk Deleted as a process from disk Executed as a Process Terminated as a Process Country Of Origin The filename GENDEL32.EXE was first seen on May 15 2007 in the following geographical regions of the Prevx community: The UNITED STATES on May 15 2007 THAILAND on May 15 2007 File Name Aliases GENDEL32.EXE can also use the following file names: GENDEL32.EXE.BAK GENDEL32.EX_ SHARE/GENDEL32.EXE Filesizes This file has been seen with the following file size: 53,248 bytes |
|
27.05.2009, 16:57
| #6 |
| /// AVZ-Toolkit Guru | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Poste bitte beide Prevx logs (Berichte) so wie in meiner kleinen Anleitung beschrieben.. Danach geht es so weiter: ESET SysInspector logfile
__________________ --> Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware |
|
27.05.2009, 18:40
| #7 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Hallo! Hier also die rapidshare-links: http://rapidshare.de/files/47320816/Scan_bei_Installation.log.html und http://rapidshare.de/files/47320850/Deep_scan.log.html Ich warte jetzt erstmal, was du dazu sagst, bevor ich mit dem näxten Schritt weitermache! Tausend Dank!  Guagua |
|
27.05.2009, 18:46
| #8 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Habe gerade ESET SysInspector downgeloadet und kann es nicht öffnen, weil es keine zulässige Win32-Anwendung ist... Was soll ich nu machen? Guagua |
|
27.05.2009, 18:50
| #9 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware ...alles klar, geht jetzt, hab einfach die andere Version genommen! Sorry für die Panik! |
|
27.05.2009, 22:48
| #10 | |
| /// AVZ-Toolkit Guru | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Lass' bitte in Zukunft die Finger von EMule und anderen FileSharing Börsen! Da kommt der Mist nämlich her... Kannst froh sein, dass dir dein Internet Provider noch nicht den Saft abgedreht hat... Deinstalliere EMule. Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop
Code:
ATTFilter Files to delete:
c:\gendel32.exe
Folders to delete:
d:\programme\emule
GMER - Rootkit Detection
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
30.05.2009, 17:15
| #11 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Hier nun die beiden Dateiergebnisse von Virustotal: Datei wcescomm.exe empfangen 2009.05.30 16:05:54 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.30 - AhnLab-V3 5.0.0.2 2009.05.29 - AntiVir 7.9.0.180 2009.05.30 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.29 - Avast 4.8.1335.0 2009.05.29 - AVG 8.5.0.339 2009.05.30 - BitDefender 7.2 2009.05.30 - CAT-QuickHeal 10.00 2009.05.29 - ClamAV 0.94.1 2009.05.30 - Comodo 1220 2009.05.30 - DrWeb 5.0.0.12182 2009.05.29 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6530 2009.05.30 - F-Prot 4.4.4.56 2009.05.29 - F-Secure 8.0.14470.0 2009.05.30 - Fortinet 3.117.0.0 2009.05.30 - GData 19 2009.05.30 - Ikarus T3.1.1.57.0 2009.05.30 - K7AntiVirus 7.10.749 2009.05.29 - Kaspersky 7.0.0.125 2009.05.30 - McAfee 5631 2009.05.30 - McAfee+Artemis 5630 2009.05.29 - McAfee-GW-Edition 6.7.6 2009.05.29 - Microsoft 1.4701 2009.05.30 - NOD32 4116 2009.05.29 - Norman 6.01.05 2009.05.29 - nProtect 2009.1.8.0 2009.05.30 - Panda 10.0.0.14 2009.05.30 - PCTools 4.4.2.0 2009.05.30 - Prevx 3.0 2009.05.30 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.30 - Sunbelt 3.2.1858.2 2009.05.30 - Symantec 1.4.4.12 2009.05.30 - TheHacker 6.3.4.3.334 2009.05.29 - TrendMicro 8.950.0.1092 2009.05.29 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.29.1761 2009.05.29 - weitere Informationen File size: 401491 bytes MD5...: 9c06094806c8fd4a48eec066bd2e0220 SHA1..: b6b0dbd08782604bb8a6054032f51b576f27c380 SHA256: 0936cca57032f15b22fddcc68a8ecf72411790839733ee8eef4fde30f97950c0 ssdeep: - PEiD..: Armadillo v1.71 TrID..: File type identification Win32 EXE PECompact compressed (generic) (45.2%) Win32 Executable MS Visual C++ (generic) (41.0%) Win32 Executable Generic (9.2%) Generic Win/DOS Executable (2.1%) DOS Executable Generic (2.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x258e6 timedatestamp.....: 0x402015dd (Tue Feb 03 21:42:53 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x25fb6 0x26000 6.70 9e89941346838b0f4d8d65a1932df325 .data 0x27000 0x1474 0x1000 0.37 bbd52d4eece07b797b51ae236e108bb7 .rsrc 0x29000 0x3a000 0x3a000 5.40 abbdb8f4c2febb02944d8bf8fc358c38 ( 14 imports ) > MSVCRT.dll: _purecall, _except_handler3, wcscmp, free, malloc, _controlfp, _exit, _XcptFilter, exit, _acmdln, __getmainargs, __p__commode, __set_app_type, __p__fmode, _onexit, __dllonexit, __setusermatherr, _initterm, __3@YAXPAX@Z, _wcslwr, _stricmp, __2@YAPAXI@Z, memmove, strstr, wcslen, wcscpy, strchr, fclose, fputs, fflush, fopen, _splitpath, _snprintf, _adjust_fdiv, _vsnprintf > SHELL32.dll: Shell_NotifyIconA, ShellExecuteA > WS2_32.dll: -, -, -, WSAAccept, -, -, -, WSAWaitForMultipleEvents, WSAEnumNetworkEvents, WSAEventSelect, WSAEnumProtocolsA, -, -, -, -, -, -, -, -, -, WSACreateEvent, -, -, WSAAddressToStringA, -, -, -, WSACloseEvent, -, WSASetEvent > ADVAPI32.dll: RegOpenKeyA, RegEnumValueA, RegCreateKeyExA, RegSetValueExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyA, RegEnumKeyA, RegDeleteValueA > COMCTL32.dll: PropertySheetA > KERNEL32.dll: HeapAlloc, HeapFree, GetStartupInfoA, DeviceIoControl, IsBadWritePtr, HeapDestroy, HeapCreate, WaitCommEvent, ClearCommError, PurgeComm, GetOverlappedResult, EscapeCommFunction, GetCommState, SetCommState, GetCommTimeouts, SetCommTimeouts, SetCommMask, GetCommModemStatus, ResetEvent, DebugBreak, GetVersionExA, GetCurrentThread, SetThreadPriority, InterlockedIncrement, ExitThread, VirtualFree, GetSystemInfo, VirtualAlloc, SetLastError, GetLocalTime, GetTempPathA, GetFileSize, SetFilePointer, ReadFile, WriteFile, SetEndOfFile, InterlockedDecrement, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, CreateMutexA, GetLastError, InterlockedExchange, lstrcmpA, GetVersion, GetWindowsDirectoryA, CreateFileMappingA, MapViewOfFile, OpenMutexA, OutputDebugStringA, FlushViewOfFile, UnmapViewOfFile, lstrcpyA, GetCurrentThreadId, lstrcpynA, lstrlenA, lstrcatA, GetModuleFileNameA, SetProcessWorkingSetSize, GetCurrentProcess, LocalFree, lstrcmpiA, LocalAlloc, GetModuleHandleA, CloseHandle, ReleaseMutex, MultiByteToWideChar, GetProcAddress, LoadLibraryA, FreeLibrary, CreateThread, CreateEventA, SetEvent, Sleep, WideCharToMultiByte, GetTickCount, LocalReAlloc, FormatMessageA, CreateFileA, WaitForSingleObject > VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > ole32.dll: CoTaskMemFree, CoInitializeEx, CoUninitialize, CoCreateInstance, CLSIDFromString > CEUTIL.dll: CeSvcOpenEx, CeSvcSetBinary, CeSvcSetString, CeSvcDeleteVal, CeSvcSetDword, CeSvcClose, CeSvcGetDword, CeSvcGetString, CeSvcGetBinary, CeSvcOpen > RAPI.dll: CeRapiInitEx, CeRegCloseKey, CeRapiUninit, CeRegSetValueEx, CeRegCreateKeyEx > TCP2UDP.dll: TCP2UDPStartup, TCP2UDPShutdown > GDI32.dll: GetDeviceCaps, CreateFontIndirectA, DeleteObject, GetTextExtentPoint32A, SelectObject, GetObjectA > USER32.dll: DispatchMessageA, TranslateMessage, MsgWaitForMultipleObjects, SendMessageTimeoutA, SetWindowPos, IsWindow, SetDlgItemTextA, GetSystemMenu, RegisterClassA, SetWindowLongA, GetCursorPos, CheckDlgButton, EndDialog, ShowWindow, GetWindowRect, IsDlgButtonChecked, GetDlgItemTextA, SendDlgItemMessageA, SetFocus, GetDlgItem, GetSystemMetrics, WinHelpA, CreateDialogParamA, GetParent, GetWindowLongA, SetParent, EnableWindow, MessageBeep, IsWindowVisible, MessageBoxA, DialogBoxParamA, GetMessageA, FindWindowA, CreateWindowExA, GetClientRect, SetForegroundWindow, GetLastActivePopup, SendMessageA, DestroyWindow, DefWindowProcA, PostQuitMessage, GetDoubleClickTime, ReleaseDC, SystemParametersInfoA, GetDC, PostMessageA, KillTimer, SetTimer, DestroyIcon, LoadStringA, LoadImageA, LoadMenuA, PeekMessageA, GetSubMenu, SetMenuDefaultItem, EnableMenuItem, SetCursor, LoadCursorA, wsprintfA, IsWindowEnabled, DestroyMenu, TrackPopupMenu > WINMM.dll: PlaySoundA ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - Und die zweite Datei: Datei atjsgt.sys empfangen 2009.05.30 16:10:36 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.30 - AhnLab-V3 5.0.0.2 2009.05.29 - AntiVir 7.9.0.180 2009.05.30 - Antiy-AVL 2.0.3.1 2009.05.27 - Authentium 5.1.2.4 2009.05.29 - Avast 4.8.1335.0 2009.05.29 - AVG 8.5.0.339 2009.05.30 - BitDefender 7.2 2009.05.30 - CAT-QuickHeal 10.00 2009.05.29 - ClamAV 0.94.1 2009.05.30 - Comodo 1220 2009.05.30 - DrWeb 5.0.0.12182 2009.05.29 - eSafe 7.0.17.0 2009.05.27 - eTrust-Vet 31.6.6530 2009.05.30 - F-Prot 4.4.4.56 2009.05.29 - F-Secure 8.0.14470.0 2009.05.30 - Fortinet 3.117.0.0 2009.05.30 - GData 19 2009.05.30 - Ikarus T3.1.1.57.0 2009.05.30 - K7AntiVirus 7.10.749 2009.05.29 - Kaspersky 7.0.0.125 2009.05.30 - McAfee 5631 2009.05.30 - McAfee+Artemis 5630 2009.05.29 - McAfee-GW-Edition 6.7.6 2009.05.29 - Microsoft 1.4701 2009.05.30 - NOD32 4116 2009.05.29 - Norman 6.01.05 2009.05.29 - nProtect 2009.1.8.0 2009.05.30 - Panda 10.0.0.14 2009.05.30 - PCTools 4.4.2.0 2009.05.30 - Prevx 3.0 2009.05.30 - Rising 21.31.21.00 2009.05.27 - Sophos 4.42.0 2009.05.30 - Sunbelt 3.2.1858.2 2009.05.30 - Symantec 1.4.4.12 2009.05.30 - TheHacker 6.3.4.3.334 2009.05.29 - TrendMicro 8.950.0.1092 2009.05.29 - VBA32 3.12.10.6 2009.05.27 - ViRobot 2009.5.29.1761 2009.05.29 - VirusBuster 4.6.5.0 2009.05.29 - weitere Informationen File size: 165504 bytes MD5...: cacf27cd29a64b8556869ce5c14f5ea9 SHA1..: 381c37b05b8961244ca51f9a85d05793a6c9128e SHA256: 2eb11a18b65ea7271504736bea64bd912433f5947f9ebca0d595024a1e3520bb ssdeep: - PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x26ec6 timedatestamp.....: 0x436a82ec (Thu Nov 03 21:36:44 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x220a0 0x22100 6.01 f2cc6ed481699f8ade134710571b0909 .rdata 0x22400 0x38a0 0x3900 7.56 13561e8efc0710dafad6cd5181155ace .data 0x25d00 0x88c 0x900 2.64 54509d4db83b86b7f58634b2ff83a494 PAGE 0x26600 0x83d 0x880 5.90 91a7c53a3e5c3671e26e3d497a9daa7b INIT 0x26e80 0x37a 0x380 5.61 2876e9f9bb9676bb2a5d25cb0defa950 .reloc 0x27200 0x140e 0x1480 4.11 09809c6cf87a94910a0dade2117b841d ( 2 imports ) > ntoskrnl.exe: IoAllocateMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, MmProbeAndLockPages, _alldiv, _allmul, IoCreateSymbolicLink, IoCreateDevice, ExFreePool, ExAllocatePool, RtlUnwind, IoFreeMdl > HAL.dll: KeQueryPerformanceCounter ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - Bis hierhin! Schöne Pfingsttage! Guagua |
|
30.05.2009, 17:35
| #12 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Und nu... Avenger Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\gendel32.exe" deleted successfully. Folder "d:\programme\emule" deleted successfully. Completed script processing. ******************* Finished! Terminate. :aplaus: |
|
30.05.2009, 20:45
| #13 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Hier jetzt der GMER-Scan. GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-05-30 21:43:51 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F8E9B84E ZwCreateKey SSDT F8E9B844 ZwCreateThread SSDT F8E9B853 ZwDeleteKey SSDT F8E9B85D ZwDeleteValueKey SSDT F8E9B862 ZwLoadKey SSDT F8E9B830 ZwOpenProcess SSDT F8E9B835 ZwOpenThread SSDT F8E9B86C ZwReplaceKey SSDT F8E9B867 ZwRestoreKey SSDT F8E9B858 ZwSetValueKey SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xBAEA9DF0] ---- Kernel code sections - GMER 1.0.15 ---- ? ardbpe.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 100205E0 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 1002061F D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 10020574 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 10020523 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!ShowScrollBar 7E37F2F2 2 Bytes JMP 100205C5 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!ShowScrollBar + 3 7E37F2F5 2 Bytes [CA, 91] .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 1002053E D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 1002058F D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 10020559 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 100205AA D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[2236] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 10020508 D:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671777 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446716F8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467173C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671684 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716BE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP Photosmart C4400 series@ChangeID 709620 ---- EOF - GMER 1.0.15 ---- Gruß, Guagua |
|
04.06.2009, 17:46
| #14 |
| /// AVZ-Toolkit Guru | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Das gefällt mir noch nicht... ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
14.06.2009, 11:55
| #15 |
| | Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware Habe vor ein paar Tagen vorgehabt, Combofix durchzuführen. Hatte dann aber doch zu wenig Zeit und habe abgebrochen. Jetzt habe ich eine High risk Worm Meldung von Prevx zu Combofix[1].exe mit dem Verweis auf eine Temporäre Internetdatei, die ich wohl geladen habe. Was soll ich tun? MFG Guagua |
|
| Themen zu Outlook verschickt hunderte Mails, Trojaner und Heuristicmalware |
| ad-aware, add-on, adobe, adware.bho, avg, avira, browser, desktop, einstellungen, excel, explorer, google, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, logfile, plug-in, registrierungsschlüssel, scan, software, studio, superantispyware, system, toolbars, trojaner, web.de, windows xp |
Linear-Darstellung
