Hallo, ik werk nog met outlook expres op win XP.
Hiermee beheer ik een 3 tal emailacounts. op dit moment loopt de inbox vol met: mail delivery fail mails. het blijft maar doorgaan zodra ik het email programma start begint het direct weer. op al de 3 accounts.

hieronder een voorbeeld:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

kzooie1@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyster119@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyshadavis74@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyrpto23@aol.com
SMTP error from remote mail server after RCPT TO:<kyrpto23@aol.com>:
host mailin-01.mx.aol.com [64.12.90.1]: 550 5.1.1 <kyrpto23@aol.com>:
Recipient address rejected: aol.com
kyregect86@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyre826@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyraspop@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyprincess11383@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kyphic11@aol.com
SMTP error from remote mail server after end of data:
host mailin-01.mx.aol.com [64.12.90.1]: 521 5.2.1 :
(HVU:B2) http://postmaster.info.aol.com/errors/554hvub2.html" onclick="window.open(this.href);return false;
kypeadder@aol.com
SMTP error from remote mail server after RCPT TO:<kypeadder@aol.com>:
host mailin-01.mx.aol.com [205.188.159.42]: 550 5.1.1 <kypeadder@aol.com>:
Recipient address rejected: aol.com
kwitasek@wp.pl
SMTP error from remote mail server after end of data:
host mx.wp.pl [212.77.101.4]: 554 (#5.3.0) Nie przyjmiemy tej wiadomosci poniewaz jest to spam - zobacz strone:
http://poczta.wp.pl/info-antyspam-polityka.html" onclick="window.open(this.href);return false; / We can't accept this message because it is spam - see:
http://poczta.wp.pl/info-antyspam-policy.html" onclick="window.open(this.href);return false; [127]
kwiatpiekna@wp.pl
SMTP error from remote mail server after end of data:
host mx.wp.pl [212.77.101.4]: 554 (#5.3.0) Nie przyjmiemy tej wiadomosci poniewaz jest to spam - zobacz strone:
http://poczta.wp.pl/info-antyspam-polityka.html" onclick="window.open(this.href);return false; / We can't accept this message because it is spam - see:
http://poczta.wp.pl/info-antyspam-policy.html" onclick="window.open(this.href);return false; [127]
kukas200@wp.pl
SMTP error from remote mail server after end of data:
host mx.wp.pl [212.77.101.4]: 554 (#5.3.0) Nie przyjmiemy tej wiadomosci poniewaz jest to spam - zobacz strone:
http://poczta.wp.pl/info-antyspam-polityka.html" onclick="window.open(this.href);return false; / We can't accept this message because it is spam - see:
http://poczta.wp.pl/info-antyspam-policy.html" onclick="window.open(this.href);return false; [127]
ksekse69@wp.pl
SMTP error from remote mail server after end of data:
host mx.wp.pl [212.77.101.4]: 554 (#5.3.0) Nie przyjmiemy tej wiadomosci poniewaz jest to spam - zobacz strone:
http://poczta.wp.pl/info-antyspam-polityka.html" onclick="window.open(this.href);return false; / We can't accept this message because it is spam - see:
http://poczta.wp.pl/info-antyspam-policy.html" onclick="window.open(this.href);return false; [127]
krzychu943@wp.pl
SMTP error from remote mail server after end of data:
host mx.wp.pl [212.77.101.4]: 554 (#5.3.0) Nie przyjmiemy tej wiadomosci poniewaz jest to spam - zobacz strone:
http://poczta.wp.pl/info-antyspam-polityka.html" onclick="window.open(this.href);return false; / We can't accept this message because it is spam - see:
http://poczta.wp.pl/info-antyspam-policy.html" onclick="window.open(this.href);return false; [127]

------ This is a copy of the message, including all the headers. ------

Return-path: <info@stargazers.nl>
Received: from pc-248-190-100-190.cm.vtr.net ([190.100.190.248] helo=stargazers.nl)
by s77.webhostingserver.nl with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.80.1)
(envelope-from <info@stargazers.nl>)
id 1U6LlA-0000IC-4H; Fri, 15 Feb 2013 14:55:28 +0100
Message-ID: <E21C7264.269514FE@stargazers.nl>
Date: Fri, 15 Feb 2013 12:32:01 -0100
From: "info@stargazers.nl" <info@stargazers.nl>
X-Accept-Language: en-us
MIME-Version: 1.0
To: "kypeadder" <kypeadder@aol.com>
Cc: "kypeadder" <kyphic11@aol.com>,
"kypeadder" <kyprincess11383@aol.com>,
"kypeadder" <kyraspop@aol.com>,
"kypeadder" <kyre826@aol.com>,
"kypeadder" <kyregect86@aol.com>,
"kypeadder" <kyrpto23@aol.com>,
"kypeadder" <kyshadavis74@aol.com>,
"kypeadder" <kyster119@aol.com>,
"kypeadder" <kzooie1@aol.com>,
"kypeadder" <krynik@o2.pl>,
"kypeadder" <krzyso1974@o2.pl>,
"kypeadder" <kudlaty71.71@o2.pl>,
"kypeadder" <kwiatek1523@o2.pl>,
"kypeadder" <kwiatuszeoop@o2.pl>,
"kypeadder" <krzychu943@wp.pl>,
"kypeadder" <ksekse69@wp.pl>,
"kypeadder" <kukas200@wp.pl>,
"kypeadder" <kwiatpiekna@wp.pl>,
"kypeadder" <kwitasek@wp.pl>
Subject: Single ladies looking for your passionate attention
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Antivirus: avast! (VPS 120529-1, 29/05/2012), Outbound message
X-Antivirus-Status: Clean

<head>
<title></title>
</head>
<body>
<p>Best regards, tough sweetheart! How are you doing? </p>
<p>It feels like I want power of a real guy! I am sure you are as
wonderful as you profile! Why don't we meet online to get each other
better? I have just uploaded two dozens of nude photos to my page .
Please, find me at the dating resource. I will tell you everything in a
private chat , honey !<p/>
<p><a href="http://shr.tn/F75x">Let us date online!
</a>http://linkpop.pro/18pa<p/>
</body>

Kunnen jullie mij helpen?

Hoi,

Zoals ik het zie betreft het hier e-mailberichten die verzonden worden vanaf (http://stargazers.nl/" onclick="window.open(this.href);return false;) maar niet aankomen bij de geadresseerden met een (aol.com) adres. Ik weet niet of je deze website en bijbehorend forum zelf beheerd of in beheer hebt?

Ik beheer 3 accounts \
stargazers.nl
montage-service-velp.nl
en een upcmail account.
van alle 3 accounts worden de mails verstuurd, dus mijn voorbeeld komt maar van 1 account af maar het zijn er meer.
UPC heeft mijn upcmail account gelockt naar dat automatisch geconstateerd werd dat er vanaf het account bulkmail verstuurd werd.

De mail gaat niet alleen naar AOL accounts. het hieronder ontvangen mail komt van mijn montage-service-velp account.
alle accounts hadden/hebben verschillende inlognamen en wachtwoorden.

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

stacey4kc@netscape.net
SMTP error from remote mail server after RCPT TO:<stacey4kc@netscape.net>:
host mailin-03.mx.aol.com [205.188.190.2]: 550 5.1.1 <stacey4kc@netscape.net>:
Recipient address rejected: netscape.net
speedwayusa@netscape.net
SMTP error from remote mail server after RCPT TO:<speedwayusa@netscape.net>:
host mailin-01.mx.aol.com [64.12.90.1]: 550 5.1.1 <speedwayusa@netscape.net>:
Recipient address rejected: netscape.net

------ This is a copy of the message, including all the headers. ------

Return-path: <info@montage-service-velp.nl>
Received: from [217.96.65.98] (helo=montage-service-velp.nl)
by s42.webhostingserver.nl with esmtpa (Exim 4.80.1)
(envelope-from <info@montage-service-velp.nl>)
id 1U6Mv1-0009Xc-SN; Fri, 15 Feb 2013 16:09:44 +0100
Message-ID: <27B20C91.80323B03@montage-service-velp.nl>
Date: Sat, 16 Feb 2013 03:02:03 +1200
Reply-To: "info@montage-service-velp.nl" <info@montage-service-velp.nl>
From: "info@montage-service-velp.nl" <info@montage-service-velp.nl>
MIME-Version: 1.0
To: "ssgen" <ssgen@msn.rr.com>,
"ssgen" <stonejam@msu.edu>,
"ssgen" <streitg@mtwhitney.navy.mil>,
"ssgen" <stemassey@my.lonestar.edu>,
"ssgen" <sukasgs53@mynet.com.tr>,
"ssgen" <stephanie-canillo@mypersonalemail.com>,
"ssgen" <sonymia11@myway.com>,
"ssgen" <standleydl@nassau.usmc.mil>,
"ssgen" <staff@natlprayemb.org>,
"ssgen" <stephen.m.gilroy@navy.mil>,
"ssgen" <steve.armstrong@navy.mil>,
"ssgen" <steven.h.davis@navy.mil>,
"ssgen" <steven.rincon@navy.mil>,
"ssgen" <srichards@nc.rr.com>,
"ssgen" <sot@neo.rr.com>,
"ssgen" <ssmith032@neo.rr.com>,
"ssgen" <sprez777@netscape.com>,
"ssgen" <sumotoby@netscape.com>,
"ssgen" <speedwayusa@netscape.net>,
"ssgen" <stacey4kc@netscape.net>
Subject: My cute and hotly sexy body will drive you off! So chat with me now!
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Hoi,

Interessant is dit wel en naar mijn mening worden de SMTP servers van de betreffende websites / e-mail-adressen misbruikt. De e-mail is verzonden via starzagers.nl maar het vermelde IP-adres komt niet overeen en dat riekt toch wel naar e-mail spoofing gezien de "mail delivery fail" bounce berichten. Ook bij deze worden de e-mail-berichten blijkbaar via het domein verzonden, niet vanaf de webserver zelf maar elders zo te zien vanwege de afwijkende IP-adressen.
De SMTP servers worden dus gebruikt voor het versturen van de spam, dit lijkt mij een vorm van "Backscattermail" en in dit geval is er dan geen sprake van gecompromitteerde e-mail accounts maar wordt echt de SMTP server gebruikt zonder dat daarvoor enige credentials benodigd zijn.

Wellicht informatief om hier eens iets over te vertellen zodat het mogelijke probleem duidelijker wordt.
Het SMTP protocol kent namelijk geen authenticatie en eigenlijk vanaf elke computer kan deze manier van e-mail spoofing worden uitgevoerd.
Normaliter zijn er vier stappen benodigd om een e-mail te versturen.

1. De verzender maakt zijn e-mail op in een lokale e-mailcliënt of een webmail omgeving en verstuurd deze.
2. De betreffende mailserver ontvangt een request en zal de mail doorsturen. Eerst wordt er gekeken of de ontvanger op dezelfde mailserver is aangesloten (zelfde domein), zo nee, maakt de server contact met de juiste mailserver van de ontvangende partij. Meestal gaat dit via andere servers, aangeduid als 'hops' in de meegeleverde headers van de e-mail is deze informatie uit te lezen.
3. Vervolgens wordt het betreffende bericht afgeleverd aan de mailserver van de ontvangende partij met de vermelding van wie de mail afkomstig is en voor wie het bedoeld is.
4. Bij de laatste stap download de ontvangende partij het bericht van de mailserver.

Bij het manipuleren of misbruiken van een mailserver slaan de badguys stap 1 en 2 over en wordt de betreffende mailserver direct aangesproken om de mail te versturen, als deze niet afgeleverd kunnen worden resulteert dit in
"mail delivery fail", "Delivery notification: delivery has failed", of een algemene "Deliver status notification" waarin vermeld staat dat de mail niet afgeleverd kan worden.
De bounce mails in dit geval schetsen dit probleem eigenlijk al wel een beetje.

Maar om een lang verhaal kort te maken ben ik benieuwd in welke hoeveelheid je "mail delivery fails" ontvangt en welke andere gegevens er beschikbaar zijn.
Sowieso lijkt het mij handig om de betreffende host hiervan op de hoogte te brengen, je zou zelfs bepaalde logs kunnen opvragen van de SMTP server waarin wellicht bepaalde informatie staat die relevant is aan de oorzaak.

Ha Maxstar. het volgende berichtje ontving ik toevalig vandaag:
Wat ik in het hele verhaal wel vreemd vindt is dat bij mij 2 Accounts bij: Antagonist de meeste mail delivery returns komen. Via het account Stargazers veruit de meeste. daarna het account Montage-Service-Velp. Maar via het UPC account zo goed als niets en dat deze direct geblokkeerd werd door de provider.
Dus het probleem doet zich voor via 3 verschillende accounts bij 2 verschillende housings waarvan 1 (upc) de zaak goed monitort.

Op 1 of andere manier moet mijn dan toch iets doen via mijn gegevens of zie ik dat verkeerd en is het gewoon dom toeval?

willem


A new message or response with subject:

Warning: 150000 emails have just been sent by deb7988

has arrived for you to view.
Follow this link to view it:

http://stargazers.nl:2222/CMD_TICKET?ac ... ype=ticket" onclick="window.open(this.href);return false;


======================================================
Automatically generated email produced by DirectAdmin 1.41.1

Do Not Reply.

Hoi,

Sowieso kan je de gebruikte wachtwoorden eens wijzigen, maar ik ben bang dat dit het probleem niet zal verhelpen.
Maar kwaad kan dit in ieder geval niet, maar wijzig dan in DirectAdmin ook de inloggegevens van zowel DirectAdmin zelf als de gebruikte FTP en Mail accounts.
Maar dit lijkt mij typisch een probleem waarbij de SMTP server direct misbruikt worden, ik zou zeker even contact met Antagonist opnemen wellicht is er in de logbestanden van de server iets te zien.
Je kan eventueel dit topic meesturen ter informatie zeg maar.

Het laatste bericht is in ieder geval een automatisch bericht van Direct Admin, maar 150000 berichten is wel enorm zeker als deze in één keer zijn verzonden.

Ok heb de Antogonist de link van dit topic gestuurd. Mocht je interesse hebben dan laat ik in dit topic ook het verdere verloop horen.
Het is toch iets waar je bijna geen vat op hebt maar waar we wel allemaal van kunnen leren.

Hoi,

Ik heb zeker wel interesse in het vervolg en het verdere verloop van dit probleem, en ben benieuwd wat er uit de eventuele logfiles van de server komt.

Nu een bericht terig van antagonist.
Zoals hun het weergeven zou hier op de pc toch iets van een virus aktief moeten zijn:

hieronder hun antwoord:

Allereerst bedankt voor het aanpassen van de wachtwoorden. Wij hebben zojuist in onze statistieken gekeken en op dit moment wordt er geen spam meer verstuurd vanaf stargazers.nl.

De limiet van 150000 e-mailberichten hebben wij juist voor dit soort situaties ingesteld. Bij normaal e-mailgebruik zal deze (dagelijkse) limiet nooit gehaald worden. Als deze limiet wel gehaald wordt, is er dus vrijwel altijd sprake van spam. Om verdere overlast te voorkomen, is het na die hoeveelheid berichten niet meer mogelijk om nog e-mail te versturen die dag.

Om de spam te versturen is gebruik gemaakt van de inloggegevens van de betreffende e-mailaccounts. Iemand beschikte dus over de inloggegevens van specifiek die accounts. Dit kan op de volgende manieren zijn gebeurd:

1. Je gebruikt onveilige (korte) wachtwoorden;
2. Er staat een virus op je computer, waardoor wachtwoorden eenvoudig kunnen worden achterhaald. Het kan dan gaan om het 'Gumblar'-virus, welke inloggegevens steelt uit een FTP-client;
3. Je gaat onverantwoordelijk met je wachtwoorden op, bijvoorbeeld door deze te delen met anderen of op te schrijven op papiertjes.

We raden je aan om, voor zover dat nog niet is gedaan, de volgende stappen te ondernemen, zodat een duurzame oplossing voor het probleem wordt gevonden:

1. Scan je computer met behulp van een goede virusscanner;
2. Wijzig al je wachtwoorden, inclusief die van databaseaccounts, DirectAdmin, Mijn Antagonist, FTP-accounts en e-mailaccounts. Vergeet ook niet de wachtwoorden van de software op je webruimte (Joomla, phpBB, Wordpress, etc);
3. Update de software op jouw computer, waaronder de FTP-client en het programma welke je gebruikt om PDF-bestanden te bekijken (vanwege Gumblar).
4. Sla geen wachtwoorden op in de FTP-client of in een ander programma

We raden je aan om wachtwoorden van FTP en dergelijke niet (meer) op te slaan op je computer, maar deze bij iedere verbinding opnieuw in te voeren, aangezien deze anders eenvoudig achterhaald kunnen worden. Ook is het van belang dat je wachtwoorden voor jezelf houdt, lastig te raden maakt en niet opschrijft. Als je het beheer met anderen deelt kun je het beste zoveel mogelijk gebruik maken van losse accounts met dezelfde beheerrechten, zodat iedereen een eigen wachtwoord heeft.


Met vriendelijke groet,

Erwin Bronkhorst
Antagonist B.V.

Hoi,

wiltin schreef:Zoals hun het weergeven zou hier op de pc toch iets van een virus aktief moeten zijn:

Dit is ook het eerste waaraan ik dacht, maar op de betreffende computer zijn geen sporen van actieve malware of restanten daarvan aangetroffen.
Is dit de enige computer die gebruik maakt van deze accounts, of zijn er toevallig ook nog andere systemen waarop deze inloggegevens zijn gebruikt?

Montage-service-velp.nl wordt op deze pc en op mijn phone gebruikt.
Stargazers.nl wordt alleen op deze pc gebruikt en op de pc van de webmaster.
De upcmail wordt alleen op deze computer gebruikt.
Alle accounts hebben andere gebruikersnamen en wachtwoorden.
Heb vandaag een brief van upc gekregen wet nieuwe wachtwoorden. Zij hadden direct geconstateerd dat de mail buiten mijn schuld misbruikt werd en hadden direct het account gelockt.
Ook hun advies is het systeem te checken op virussen etc.

Het is wel duidelijk dat alleen via deze pc allen 3 accounts gebruikt worden en al deze 3 accounts zijn misbruikt.

Krijg nu toch wel de kriebels. Er worden hier geen gekke mailtjes geopend, mbam is altijd aktief en avira is de virusscanner. Het gebruikte mail programma is outlook express.

Edit, ben begonnen met een uitgebreide pc scan. Complete scan van Avira heeft niets opgeleverd Mbam is nu een complete scan aan het uitvoeren nadat de snelle scan niets opleverde. Hij is nog bezig en heeft inmiddels 4 infecties ontdekt. Zodra hij klaar is zal ik hier een log plaatsen.

ok Hier de Log:
alwarebytes Anti-Malware (PRO) 1.70.0.1100
http://www.malwarebytes.org" onclick="window.open(this.href);return false;

Databaseversie: v2013.02.19.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jordy Nijenhuis :: MSV [administrator]

Bescherming: Ingeschakeld

19-2-2013 20:21:24
mbam-log-2013-02-19 (20-21-24).txt

Scan type: Volledige scan (C:\|)
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 361068
Verstreken tijd: 2 uur/uren, 34 minuut/minuten, 17 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 4
C:\download\fast amr m4a ac3 wav mp3 wma audio converter.exe (PUP.Offerware) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\download\flvmplayer.exe (PUP.Offerware) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\System Volume Information\_restore{146F0C1C-BD94-4F0C-8B3C-59FBBA38409D}\RP81\A0005462.exe (PUP.Adware.Agent) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Willem\telefoon\installer_ffdshow_mpeg-4_video_decoder_20101006_32_bits_Dutch.exe (PUP.SmsPay.PGen) -> Succesvol in quarantaine geplaatst en verwijderd.

(einde)

Hoi,

De items die Malwarebytes Anit-Malware heeft gevonden zijn in ieder geval niets om je zorgen over te maken aangezien het hier om potentieel ongewenst programma's gaat.
Maar ontvang je nu nog berichten met de mededeling dat bepaalde e-mails niet afgeleverd kunnen worden?

Nee inmiddels ontvang ik geen return delivery mails meer.

Heb voor de zekerheid de pc nog met Emisoft een deep scan gegeven, maar hier ook geen infecties meer gevonden.
\
edit:

Toch doen zich gekke dingen voor. Na dat alle scanners zeggen dat alles schoon is Komt mijn Avira anti virus zo'n 3 x per dag met de melding een trojan gevonden te hebben en deze in carrantaine te hebben geplaatst. het betreft de volgende infectie: TR/Trash.gen
in het verleden stak dit ding ook al regelmatig de kop op en dan was het zo opeens weer weg..
Andere scanners oa Mban en emisoft vinden niets, hier onder een logje van avira:


Avira Free Antivirus
Report file date: vrijdag 22 februari 2013 18:29

Scanning for 5062522 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available.

Licensee : Avira Free Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Microsoft Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : MSV

Version information:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11-10-2012 15:58:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14-11-2012 15:32:55
AVSCAN.DLL : 12.3.0.15 54736 Bytes 8-5-2012 20:32:38
LUKE.DLL : 12.3.0.15 68304 Bytes 8-5-2012 20:32:38
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 8-5-2012 20:32:39
AVREG.DLL : 12.3.0.17 232200 Bytes 10-5-2012 20:32:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6-11-2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14-12-2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20-12-2011 12:27:04
VBASE003.VDF : 7.11.21.238 4472832 Bytes 1-2-2012 19:06:33
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28-3-2012 17:03:03
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29-6-2012 09:06:27
VBASE006.VDF : 7.11.41.250 4902400 Bytes 6-9-2012 08:29:13
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22-11-2012 15:31:57
VBASE008.VDF : 7.11.60.10 6627328 Bytes 7-2-2013 15:26:22
VBASE009.VDF : 7.11.60.11 2048 Bytes 7-2-2013 15:26:24
VBASE010.VDF : 7.11.60.12 2048 Bytes 7-2-2013 15:26:24
VBASE011.VDF : 7.11.60.13 2048 Bytes 7-2-2013 15:26:24
VBASE012.VDF : 7.11.60.14 2048 Bytes 7-2-2013 15:26:24
VBASE013.VDF : 7.11.60.62 351232 Bytes 8-2-2013 15:26:25
VBASE014.VDF : 7.11.60.115 190976 Bytes 9-2-2013 15:24:33
VBASE015.VDF : 7.11.60.177 282624 Bytes 11-2-2013 15:26:07
VBASE016.VDF : 7.11.60.249 215552 Bytes 13-2-2013 15:25:40
VBASE017.VDF : 7.11.61.65 151040 Bytes 15-2-2013 15:25:17
VBASE018.VDF : 7.11.61.135 159232 Bytes 18-2-2013 15:24:44
VBASE019.VDF : 7.11.61.163 152064 Bytes 18-2-2013 15:24:40
VBASE020.VDF : 7.11.61.207 164352 Bytes 19-2-2013 15:24:40
VBASE021.VDF : 7.11.62.43 206336 Bytes 21-2-2013 15:24:46
VBASE022.VDF : 7.11.62.44 2048 Bytes 21-2-2013 15:24:46
VBASE023.VDF : 7.11.62.45 2048 Bytes 21-2-2013 15:24:46
VBASE024.VDF : 7.11.62.46 2048 Bytes 21-2-2013 15:24:46
VBASE025.VDF : 7.11.62.47 2048 Bytes 21-2-2013 15:24:46
VBASE026.VDF : 7.11.62.48 2048 Bytes 21-2-2013 15:24:46
VBASE027.VDF : 7.11.62.49 2048 Bytes 21-2-2013 15:24:46
VBASE028.VDF : 7.11.62.50 2048 Bytes 21-2-2013 15:24:46
VBASE029.VDF : 7.11.62.51 2048 Bytes 21-2-2013 15:24:46
VBASE030.VDF : 7.11.62.52 2048 Bytes 21-2-2013 15:24:46
VBASE031.VDF : 7.11.62.86 74240 Bytes 22-2-2013 15:24:47
Engine version : 8.2.12.8
AEVDF.DLL : 8.1.2.10 102772 Bytes 11-7-2012 08:42:10
AESCRIPT.DLL : 8.1.4.94 467324 Bytes 22-2-2013 15:24:49
AESCN.DLL : 8.1.10.0 131445 Bytes 13-12-2012 15:30:11
AESBX.DLL : 8.2.5.12 606578 Bytes 15-6-2012 07:55:54
AERDL.DLL : 8.2.0.88 643444 Bytes 10-1-2013 15:27:59
AEPACK.DLL : 8.3.1.10 815480 Bytes 19-2-2013 15:24:41
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 5-11-2012 15:35:33
AEHEUR.DLL : 8.1.4.218 5792121 Bytes 22-2-2013 15:24:49
AEHELP.DLL : 8.1.25.2 258423 Bytes 12-10-2012 11:15:49
AEGEN.DLL : 8.1.6.16 434549 Bytes 24-1-2013 15:28:13
AEEXP.DLL : 8.4.0.4 188789 Bytes 22-2-2013 15:24:49
AEEMU.DLL : 8.1.3.2 393587 Bytes 11-7-2012 08:43:44
AECORE.DLL : 8.1.31.2 201080 Bytes 19-2-2013 15:24:40
AEBB.DLL : 8.1.1.4 53619 Bytes 5-11-2012 15:35:32
AVWINLL.DLL : 12.3.0.15 27344 Bytes 8-5-2012 20:32:37
AVPREF.DLL : 12.3.0.32 50720 Bytes 14-11-2012 15:32:55
AVREP.DLL : 12.3.0.15 179208 Bytes 8-5-2012 20:32:39
AVARKT.DLL : 12.3.0.33 209696 Bytes 14-11-2012 15:32:55
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 8-5-2012 20:32:38
SQLITE3.DLL : 3.7.0.1 398288 Bytes 8-5-2012 20:32:39
AVSMTP.DLL : 12.3.0.32 63480 Bytes 8-8-2012 08:07:13
NETNT.DLL : 12.3.0.15 17104 Bytes 8-5-2012 20:32:38
RCIMAGE.DLL : 12.3.0.31 4445944 Bytes 8-8-2012 08:07:10
RCTEXT.DLL : 12.3.0.32 97056 Bytes 14-11-2012 15:32:54

Configuration settings for the scan:
Jobname.............................: AVGuardAsyncScan
Configuration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_51270c3d\guard_slideup.avp
Logging.............................: default
Primary action......................: Repair
Secondary action....................: Quarantine
Scan master boot sector.............: on
Scan boot sector....................: off
Process scan........................: on
Scan registry.......................: off
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: Complete

Start of the scan: vrijdag 22 februari 2013 18:29

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avshadow.exe' - '1' Module(s) have been scanned
Scan process 'TeamViewer_Service.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned
Scan process 'NMSAccessU.exe' - '1' Module(s) have been scanned
Scan process 'mbamgui.exe' - '1' Module(s) have been scanned
Scan process 'sqlservr.exe' - '1' Module(s) have been scanned
Scan process 'mbamservice.exe' - '1' Module(s) have been scanned
Scan process 'mbamscheduler.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'IJPLMSVC.EXE' - '1' Module(s) have been scanned
Scan process 'ETService.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned

Starting the file scan:

Begin scan in 'C:\System Volume Information\_restore{146F0C1C-BD94-4F0C-8B3C-59FBBA38409D}\RP124\A0009740.exe'
C:\System Volume Information\_restore{146F0C1C-BD94-4F0C-8B3C-59FBBA38409D}\RP124\A0009740.exe
[DETECTION] Is the TR/Trash.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '55090a18.qua'.


End of the scan: vrijdag 22 februari 2013 18:30
Used time: 00:50 Minute(s)

The scan has been done completely.

0 Scanned directories
33 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 Files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
32 Files not concerned
0 Archives were scanned
0 Warnings
1 Notes

Hoi,

Deze detectie van Avira komt doordat er besmette systeemherstelpunten aanwezig zijn.
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.

• Hoe u de herstelpunten verwijderd leest u hier