Hi,

seit ein paar Tagen versuchen eine price.exe oder auch price.cpl lustig E-mails zu versenden. Nach Google-Recherche habe ich festgestellt, daß es sich dabei um einen Bagel (oder auch Beagle) Wurm handeln soll. Diverse Viren- btw, Trojaner-Scanner (jeweils neuste Version von McAfee, AntiVir, a², Ad-Aware, Avert Stinger, Ikarus usw.) finden allerdings absolut keine Einträge. Auch fehlen die typischen Reg-Einträge der wingo.exe oder bbeagle.exe. Ich kann auch keinen unbekannten, oder ungewöhnlichen Eintrag im Taskmanager feststellen. Aber trotzdem versucht irgendetwas weiterhin E-mails zu verschicken. Ich habe dies festgestellt, weil ich in meiner Adress-Liste von Outlook an 1. Stelle eine nicht existierende Adresse eingesetzt habe und ich immer eine Meldung des Mailer-Demons bekomme, daß die E-mail an diese Adresse nicht zugestellt werden konnte.

Also ich weiß nicht mehr weiter. Ich hoffe jemand von Euch kann mir helfen.


Achja, ein Sys:

Win XP Pro mit SP2 und aktuellen Updates,
McAfee Virus Scan und Personal Firewall
Ad-Aware Pro mit aktiviertem AdWatch


GREETZ TWO_DOGS

-lade dir escan runter und gehe genau nach dieser anleitung vor
-wenn der scan fertig ist, öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-erstelle ein HijackThis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es

Hi,

also e-scan lieferte absolut keine Ergebnisse. Auch habe ich in den letzten Tagen weitere Virenscanner getestet. Diverse installierte und auch verschiedene Online Scans (u.a. die von Bitdefender, Panda, Rav und TrendMicro). Die haben zwar unterschiedliche Ergebnisse angezeigt (ist echt schon erstaunlich, daß jeder Virenscanner irgendwie immer noch etwas findet, obwohl andere mein Sys als sauber meldeten), aber den eigentlichen Schädling hat bisher noch keiner entlarven können. Das fröhliche E-mail-Versenden geht lustig weiter.

Also ich vermute mal, daß wohl nur noch das gute alte Format C:\ (oder in meinem Fall Format E:\) wirklich Abhilfe schafft.

Da e-Scan keine Ergebnisse liefert (und ja: Ich bin genau nach Anleitung vorgegangen!), poste ich trotzdem mal mein hijackthis -Log.

Logfile of HijackThis v1.99.1
Scan saved at 13:02:01, on 03.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Sygate\SPF\smc.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Microsoft IntelliPoint\point32.exe
E:\WINDOWS\system32\CTSvcCDA.EXE
E:\PROGRA~1\eScan Antivirus\TRAYSSER.EXE
E:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
E:\PROGRA~1\eScan Antivirus\avpm.exe
E:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
E:\Programme\PopUp Killer\PopUpKiller.EXE
E:\Programme\SaferSurf Setup\SaferSurf Active.exe
E:\WINDOWS\system32\oodag.exe
E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
E:\Programme\InkSaver\InkSaver.exe
E:\PROGRA~1\eScan Antivirus\AVPMWrap.EXE
E:\PROGRA~1\eScan Antivirus\TRAYICOS.EXE
E:\PROGRA~1\eScan Antivirus\AvpM.exe
E:\Programme\TypeItIn\TypeItIn.exe
E:\WINDOWS\system32\taskmgr.exe
E:\Programme\Outlook Express\msimn.exe
E:\WINDOWS\explorer.exe
E:\Programme\Creative\MediaSource\CTCMS.exe
E:\Programme\Creative\MediaSource\Detector\CTDetect.exe
F:\Security Toolz\HijackThis 1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IntelliPoint] "E:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CTSysVol] E:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] E:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [PopUpKiller] E:\Programme\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [SaferSurf Active] E:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [InkSaver] E:\Programme\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan Antivirus\AVPMWrap.EXE
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan Antivirus\TRAYICOS.EXE /App
O4 - Startup: NDetect.lnk = E:\Programme\ICQ\NDetect.exe
O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D0FD37C-E366-4FEC-90D9-713E9BE63789}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CAILI - Unknown owner - E:\WINDOWS\system32\caili.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - E:\PROGRA~1\eScan Antivirus\TRAYSSER.EXE
O23 - Service: GEARSecurity - GEAR Software - E:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan Antivirus\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - E:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\SPF\smc.exe

GREETZ TWO_DOGS

Hi,

teile doch mal folgendes mit:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****
lade auch mal die folgenden Dateien (siehe mein Link kostenlos auf Malware prüfen) hoch und warte auf das Ergebnis (kann einen Tag dauern)
poste dann was festgestellt wurde

E:\Programme\TypeItIn\TypeItIn.exe
E:\WINDOWS\system32\caili.exe

Hi,

hier reiche ich dann mal noch die von Dir gewünschten Daten nach.

Do Mrz 03 15:47:32 2005 => ***** Analysis Completed. *****
Do Mrz 03 15:47:32 2005 =>
Do Mrz 03 15:47:32 2005 => Total Number of Files Scanned: 89828
Do Mrz 03 15:47:32 2005 => Total Number of Files Infected: 0
Do Mrz 03 15:47:32 2005 => Total Number of Files Disinfected: 0
Do Mrz 03 15:47:32 2005 => Total Number of Files Renamed: 0
Do Mrz 03 15:47:32 2005 => Total Number of Files Deleted: 0
Do Mrz 03 15:47:32 2005 => Total Number of Errors: 0
Do Mrz 03 15:47:32 2005 => Time Elapsed:: 01:46:40

Date of Virus Signature: 03 Mrz 2005 1:21:56


Wie ich schon sagte, liefert e-Scan leider keine Ergebnisse. Auf den ersten Blick würde ich behaupten, daß mein Sys sauber ist. Aber leider tauchen immer wieder diese Meldungen des Mailer-Demons über die unzustellbare E-Mail auf, die von einer gewissen price.exe, price.cpl und price.nochirgendwas verschickt werden.


GREETZ TWO_DOGS