Ich habe heute so eine gefälschte T-Online-Rechnung mit diesem Anhang rechnung.pdf.exe bekommen und diesen blöderweise angeklickt, obwohl mein ZoneAlarm mich gewarnt hat (gefährlicher Mail-Anhang). Ich bin sonst sehr vorsichtig, habe in über 13 Jahren PC- und Net-Arbeit nie einen Virus oder dgl. gehabt, aber heute war ich einfach einmal zu schnell beim klicken. AntiVir hat erst die Signatur erneuert, nachdem ich das Ding geklickt hatte, ich update tgl. Er hat dann den Trojaner TR/Dldr.Small.aty erkannt. Ich hab die Datei gelöscht und danach The Cleaner, Spybot, AdAware und F-Prot und nochmals AntiVir mit neuesten Updates drüberlaufen lassen. Außerdem habe ich mit TrojanCheck gesucht, alles negativ, keine Funde. Trotz allem habe ich Schiss, dass noch was sein könnte, hier mein HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:55:52, on 10.05.2005
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
D:\ONLINE\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
D:\PROGRAMME\ZONEALARMPRO\ZLCLIENT.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
D:\ONLINE\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\ONLINE\MOZILLA\FIREFOX\FIREFOX.EXE
E:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [0190 Warner] D:\ONLINE\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarmPro\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Proxomitron.lnk = D:\Online\Proxomitron\Proxomitron.exe
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -


Kann mir jemand sagen, ob das was gefährliches zu sehen ist und wie ich sicher sehen kann, dass nichts zurückgeblieben ist?

@yepper
In dem Teil deines Logs musst du Folgendes fixen:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)

zwar die letzten 2 sind nicht gefährlich, aber unnotig.

Zitat:

O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll

Die 2 DL-Manger kenne ich nicht, kann aber Ad- oder Spyware hinterher vermuten. Bitte die DLL-Files bei http://virusscan.jotti.org/ überprüfen.
Bitte den nächsten Log komplett posten (auch ab O16 weiter).

Zur Info. Antivir erkennt alle vier Dateien, die mit diesem Downloader heruntergeladen werden. Wenn Antivir im abgesicherten Modus nichts mehr findet und ein aktualisiertes(!)eScan auch nicht, bist du diese Malware los.

Zitat:

Zitat von raman

Zur Info. Antivir erkennt alle vier Dateien, die mit diesem Downloader heruntergeladen werden. Wenn Antivir im abgesicherten Modus nichts mehr findet und ein aktualisiertes(!)eScan auch nicht, bist du diese Malware los.

Habe beides im abgesicherten Modus gemacht. AntiVir mit neueuster Virus-Def. und auch eScan ebenso.

AntiVir: keine Funde

eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
Wed May 11 19:19:17 2005 => File D:\SOFTWARE\SECURITY\THE VIRUS CATCHER\vcsetup.exe infected by "not-a-virus:AdWare.BiSpy.d" Virus. Action Taken: No Action Taken.
Wed May 11 20:17:43 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
Wed May 11 18:54:08 2005 => File C:\Programme\Iomega\DriveIcons\imghr.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed May 11 18:58:23 2005 => File C:\98SETUP\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Wed May 11 19:19:23 2005 => File D:\SOFTWARE\SECURITY\PASSWORD-FINDER\password.exe tagged as not-a-virus:RiskWare.PSWTool.Finder.a. No Action Taken.
Wed May 11 19:20:06 2005 => File D:\SOFTWARE\TUNING+SYSINFO\TUNE_UP\TUSetup710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed May 11 19:21:04 2005 => File D:\SOFTWARE\TREIBER\IOMEGA\Deutsch\Programm\ioware-w32-x86-31.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_X\mwav.log
Wed May 11 20:17:43 2005 => Total Objects Scanned: 41132

---------- c:\bases_X\mwav.log
Wed May 11 20:17:43 2005 => Total Virus(es) Found: 6

---------- c:\bases_x\mwav.log
Wed May 11 20:17:43 2005 => Total Errors: 12

---------- c:\bases_x\mwav.log
Wed May 11 20:17:43 2005 => Time Elapsed: 02:48:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Allerdings habe ich den Eindruck, als wäre das nichts, denn alles läuft schon ewig bei mir. The Virus Catcher ist selbst ein Anti-Virus-Tool, Drive-Icons wird beim Start geladen und gehört schon Jahre zu meinem Iomega-Zip, ebd.cab ist von einem Tool (98lite) mit dem man WIN98 abspecken kann (IE weg etc.), Passwort-Finder und TuneUp sind gebäuchliche und bekannte Programme und ioware-w32-x86-31.exe ist die Installationsdatei (Treiber) für das Iomega-Zip. Das meiste schlummert schon lange in meinem Software-Archiv. Kann es sein, das dies "Fehlalarme" sind? Ist da nun ein Hinweis auf den "Telekom-Trojaner" dabei?

Also der Telkom-Trojaner ist da nicht mehr. Das andere ist nur "Riskware" in diesem fall nichts schlimmes.

Schick die vcsetup.exe an virus at rokop-security.de oder wenn du willst gleich selber an newvirus at kaspersky.com und frag, ob es ein Fehlalarm ist.....

Zitat:

Zitat von raman

Also der Telkom-Trojaner ist da nicht mehr. Das andere ist nur "Riskware" in diesem fall nichts schlimmes.

Schick die vcsetup.exe an virus at rokop-security.de oder wenn du willst gleich selber an newvirus at kaspersky.com und frag, ob es ein Fehlalarm ist.....

Hab ihn getestet bei http://virusscan.jotti.org/de/ , die Datei wurde bei 2 von 13 als infectet erkannt, die Datei war von 2003, ich hatte sie nie installiert und nun gelöscht. Danke für die Hilfe!

Zitat:

Zitat von Rene-gad

@yepper
In dem Teil deines Logs musst du Folgendes fixen:

zwar die letzten 2 sind nicht gefährlich, aber unnotig.

Die 2 DL-Manger kenne ich nicht, kann aber Ad- oder Spyware hinterher vermuten. Bitte die DLL-Files bei http://virusscan.jotti.org/ überprüfen.
Bitte den nächsten Log komplett posten (auch ab O16 weiter).

Die beiden Downloadmanager sind gebräuchlich und auch i.O.

neuster Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:04, on 11.05.2005
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
D:\ONLINE\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
D:\PROGRAMME\ZONEALARMPRO\ZLCLIENT.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\ONLINE\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
E:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [0190 Warner] D:\ONLINE\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarmPro\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Proxomitron.lnk = D:\Online\Proxomitron\Proxomitron.exe
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -

Mehr Zeilen hab ich nicht, O 16 ist die letzte! Die R0-EInträge, die jetzt noch stehen, kommen nach dem fixen erneut, sind die "gefährlich"?