Hallo Leute!

Ich habe seit einiger Zeit bemerkt das ich einen sehr hohen Upload habe und dadurch mein Datenguthaben schnell weg ist! Ich befürchte das es sich um einen Trojaner handelt!

Ich habe auf dem PC Anti-Vir XP + Zone Alarm (Firewall) das hilft aber nichts!

Ich habe mir das Programm "A SQUARED" runtergeladen und einen System-Scan gemacht dabei wurden folgende Würmer/Trojaner entdeckt:
Dateiname Diagnose
C:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.68-8876480L\Program\runner.exe Adware.BackWeb.a
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe Adware.BackWeb.a
D:\Dokumente und Einstellungen\Edin\Cookies\edin@2o7[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@advertising[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@as1.falkag[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@atdmt[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@cgi-bin[1].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@doubleclick[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@fastclick[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@hitbox[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@mediaplex[1].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@realmedia[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@revenue[2].txt Trace.TrackingCookie
D:\Dokumente und Einstellungen\Edin\Cookies\edin@servedby.advertising[1].txt Trace.TrackingCookie
G:\Schule\Projektwoche\4AHELI_2003-04\WLA\Sebastian Weinmayr\PRT\Neuer_Ordner\hallo\seraiSYS.exe Backdoor.Win32.IMailer
G:\Schule\Projektwoche\4AHELI_2003-04\WLA\Sebastian Weinmayr\PRT\Neuer_Ordner\serai11usb.exe Backdoor.Win32.IMailer

Diese hab ich mit dem Programm gelöscht!!!

Kann mir wer sagen welche Würmer das sind und was diese Anstellen???

Ich habe auch mein Standard Programm verwendet ==> HIJACKTHIS:
Logfile of HijackThis v1.99.1
Scan saved at 19:22:03, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
E:\AntiVirus\AVGUARD.EXE
E:\AntiVirus\AVWUPSRV.EXE
D:\WINDOWS\system32\LckFldService.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\mHotkey.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Visual TimeAnalyzer\tbaction.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
E:\SpeedTouch\Dragdiag.exe
D:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
E:\AntiVirus\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\aon\aonUpdate\aonUpdate.exe
D:\Programme\Logitech\Video\FxSvr2.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
E:\Winamp\winamp.exe
E:\Programme\DAP\DAP.EXE
D:\DOKUME~1\Edin\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\Edin\LOKALE~1\Temp\kavss.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Dokumente und Einstellungen\Edin\Desktop\ANTI Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - E:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [TBAction] E:\Visual TimeAnalyzer\tbaction.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\SpeedTouch\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [1aonmessagecenter] D:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
O4 - HKLM\..\Run: [AVGCtrl] "E:\AntiVirus\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [aonUpdate] D:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - E:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - E:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AntiVirus\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AntiVirus\AVWUPSRV.EXE
O23 - Service: LckFldService - Unknown owner - D:\WINDOWS\system32\LckFldService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exeIch glaube das vieles davon Ungefährlich ist, aber ich bin ja kein Profi!


Bitte um eure Hilfe!!!

mfg edin

Hallo,
überprüfe diese Dateien:
G:\Schule\Projektwoche\4AHELI_2003-04\WLA\xxxxxxxxxxxx\PRT\Neuer_Ordner\hallo\seraiSYS.exe
G:\Schule\Projektwoche\4AHELI_2003-04\WLA\xxxxxxxxxxxx\PRT\Neuer_Ordner\serai11usb.exe
mal hier und poste das Ergebnis.

Kennst du dieses Programm:
D:\Programme\aon\aon ?


Grüße Wildone

Hier das Ergebnis:

Auslastung: 0% 100%

Datei: SeraiUSB.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: SeraiUSB.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: USB_TEST.EXE
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


P.S.: AON ==> ist mein Provider (in Österrech), das ist schon in Ordnung!

Hallo,
untersuche dein System mal mit Escan (Anleitung sorgfältig lesen!) und poste das Logfile wie in der Anleitung beschrieben.
Du kannst dir auch mal tcpview besorgen und posten was dort so gezeigt wird.


Grüße Wildone

Moin, Moin,

nach so einer mail habe ich lange gesucht!!!

Ich bekomme seit 3 Monaten von meinem DSL-Anbieter freenet erzählt, dass ich mein Kontingent von 3GB pro Monat überschritten hätte. Dies ist so unwahrscheinlich, wie wenn ein Inuit Sonnenbrand bekäme.

Nun erhalte ich seit etwa der gleichen Zeit täglich bis 200 Mails, die mein Virenscanner Antivira zwar zeigt und folgendes mir mitteilt:

"Diese Datei ist eine Mailbox. Um Ihre E-Mails nicht zu beeeinträchtigen, wird der Zugriff auf diese Datei erlaubt und die angegebene Aktion wird ignoriert.
Enthält Signatur der Phish-Datei/ Email PHISH/Bankfraud.3"

Nun habe ich mit den verschiedensten Programmen versucht, diesem Mistvieh auf die Schliche zu kommen, aber alles erfolglos: Pestpatrol, adaware, a2, insert etc.

Fast jeder lässt irgendetwas ab und keiner weiss was genaues. Immerzu wichtigtuerisches Blablablubberblubber.

a2 hat zwar angeblich 51 Dateien gefunden, teilt aber nicht mit, dass mein gesuchter dabei ist, sondern meint, ich solle mal bei google und windows live nachsehen. Das ist doch die wahre Höhe!

So, jetzt habe ich mich genug aufgeregt!

Kennt einer die o. a. Datei, die mittlerweile sogar die emails und Thunderbird stark beeinflusst und weiss jemand, wie das Ding wegzubekommen ist?

Ausserdem müsste ich wissen, ob sich durch diese Datei ( oder auch eine andere! ) jemand einschleichen und mein DSL-Kontingent beeinflussen kann.

Herzlichen Dank im voraus und weiterhin schönen Sonntag.

Hammurabi

www.hammurapi.de