Hallo,

heute erhielt ich eine Mail von Ebay wegen Gebühren, die angeblich noch nicht bezahlt seien und, dass ich dies mit der angehängten Rechnung begleichen solle.

Dumm wie ich bin, hab ich versehentlich die angehängte Datei geöffnet, bevor ich daran dachte, dass es sich nicht um eine pdf, sondern um eine exe Datei handelte.

Wie kann ich feststellen, ob besagte Datei evtl. einen Trojaner enthielt, bzw. was sollte ich nun tun, damit keine Daten an unberechtigte Dritte gelangen können. (ich denke da bspw. insbesondere an Kontodaten, da ich auch OnlineBanking nutze).

Das Ebay Passwort hab ich schonmal geändert, man kann ja nie wissen.

Hab leider keine Ahnung wie ich nun vorgehen soll.

Gruß

Hallo,

ein erster Anfang wäre sicher, wenn wir herausfinden könnten, um welchen Schädling es sich handelt.

Überprüfe die Datei bitte mal online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Zitat:

bzw. was sollte ich nun tun, damit keine Daten an unberechtigte Dritte gelangen können. (ich denke da bspw. insbesondere an Kontodaten, da ich auch OnlineBanking nutze).

Zunächstz solltest du das betroffene System herunterfahren oder durch Ziehen des Netzwerkkabels vom Internet trennen. D.h. wenn du einen Zweitrechner zur Verfügung hast, solltest du diesen zum posten etc. verwenden.

Also bei dem Test, erscheint bei Status:


"OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) "


Ansonsten wurde nichts gefunden.

Überprüfe die Datei noch online bei http://www.virustotal.com und poste das Ergebnis.
Schicke die Datei außerdem gepackt und mit Passwort versehen an newvirus[at]kaspersky.com (das [at] durch @ ersetzen). Warte die Antwort ab.



Poste außerdem ein HijackThis-Logfile.

Gepackt und mit PW? Wie kann die Datei dann überprüft werden? Soll ich da sonst noch irgendwas reinschreiben oder einfach nur schicken?


Die andere Seite brachte auch keine Viren hervor.



Die File:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:23:36, on 11.9.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FRITZ!\FriWeb32.exe
D:\Daten\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8272411-AB60-4E13-B52E-D02415AD50A9}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

Das Passwort musst du mitschicken
Du kannst natürlich einen kurzen Text dazuschreiben, vorzugsweise auf auf Englisch.

Kannst evtl. die Code-Tags entfernen, das macht das Auswerten um einiges leichter. Danke!

Das Log schaut sauber aus. Das heißt allerdings nicht, dass es das System auch ist. Ich würde zunächst die Antwort von Kaspersky abwarten.

Ok,
hab ich mal hingeschickt.

Hmm, er sagt, dass die Datei nix macht.

Trotzdem mysteriös das ganze. Ich wüsste nicht, warum Ebay so komische Dateien verschicken sollte, aber wenn es tatsächlich nix gemacht hat, bin ich ja zufrieden.

Danke für die Hilfe schonmal!

Wie lautet denn die genaue Antwort von Kaspersky?

"Hello, this file does nothing. Now just delete it. "

Zitat:

Zitat von Shadowfax

"Hello, this file does nothing. Now just delete it. "

Dann würde ich mal sagen: "Glück gehabt!"
In Zukunft solltest du aber besser auf deinen nervösen Zeigefinger aufpassen.

Vielleicht wollte da einer nen Virus programmieren, hat aber zu früh auf "Absenden" geklickt. Denn komisch ist das ganze schon. Oder es soll sowas wie ein realitätsnahster Hoax sein...

Zitat:

Zitat von Haui45

Dann würde ich mal sagen: "Glück gehabt!"
In Zukunft solltest du aber besser auf deinen nervösen Zeigefinger aufpassen.

Da is was dran.

Allerdings wundert es mich ja, dass die Mail überhaupt in mein Thunderbird durchgekommen ist. Normalerweise lässt web.de ja nur die E-Mails durch, die man auch wirklich authorisiert hat. Deswegen ging ich auch zunächst davon aus, dass die Mail von Ebay kommt...

Hi Shadowfax,

auch wenn mir noch keine endgültige Analyse unter die Finger gekommen ist, solltest Du folgendes besser im Auge behalten:
-> http://www.trojaner-board.de/showthread.php?t=21740