guten tag,

ich war auf ww .medi-learn.de
eine eigentlich seriöse seite - bei betreten der seite wird ein dateidownload angeboten - den ich mir runtergeladen habe "photo.scr" wisst ihr wie schädlich diese datei ist?

hier mein hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 15:46:01, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.rkg-abi04.de/forum/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C66 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P33 "EPSON Stylus C66 Series (Kopie 1)" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Servus,

Also der Dateiendung nach, müsste "photo.scr" ein Bildschirmschoner sein. Im prinzip also harmloß. Über Bildschirmschoner können natürlich auch Viren eingeschleppt werden, was aber meist erst richtig gefährlich wird, wenn du die Datei ausführst. Momentan seh ich in deinem Logfile nix Ungewöhnliches. Wenn du willst, kannst du die Datei aber sicherheitshalber vorm Ausführen z.B. bei Jotti scannen lassen: http://virusscan.jotti.org/de/

Die Datei auf keinen Fall ausführen!

Zitat:

Hallo,

seit heute morgen um ca. 9.00 Uhr war die Webseite von MEDI-LEARN leider nicht erreichbar. Betroffen waren neben den Seiten und dem Forum von MEDI-LEARN auch die Webseiten von Rippenspreizer und zwai.net.

Grund für den Ausfall war eine Hackattacke. Unser Provider hat inzwischen alle notwendigen Schritte eingeleitet, Polizei und Staatsanwaltschaft sind informiert und die Webseiten wurden rekonstruiert. Leider konnten wir noch nicht alle Seiten von MEDI-LEARN wieder rekonstruieren (z.B. die Studienplatztauschbörse). Wir arbeiten jedoch auf Hochtouren daran die Webseiten wieder komplett zum Laufen zu bringen.

Während des Absturzes wurden alle Besucher auf eine fremde Seite weitergeleitet. Auf dieser Seite wurde ein Datei, die sich als Bildschirmschoner und als PlugIn für den Internet Explorer tarnt, zum Download angeboten. Es handelt sich dabei um eine Virendatei. Sollte sich jemand diese Datei heruntergeladen haben, sollte er sie dringend löschen. In diesem Zusammenhang möchten wir darauf hinweisen, dass wir niemals von MEDI-LEARN Datei beim Aufruf der MEDI-LEARN Seiten zum direkten Download anbieten werden.

Die Umstände und der Ausfallzeit der Webseiten und des Servers tun uns sehr leid. Wir haben zusammen mit unseren Partner alle Kräfte eingesetzt, um das Problem schnellstmöglich zu lösen. Insbesonderen Dank gilt Herr Scheld.

Sollten Euch noch Probleme auffallen, könnt Ihr uns diese gerne an redaktion[ät]medi-learn.net schicken.

Quelle: http://h**p://www.medi-learn.de/medi...87&page=1&pp=5


*EDIT*

Zitat:

File: photo.scr
Status: INFECTED/MALWARE
MD5 d9a11f28de43ddfcbcb9ad091de81c5c
Packers detected: PETITE

Scanner results:
AntiVir Found nothing
ArcaVir Found nothing
Avast Found Win32:Banker-WV
AVG Antivirus Found nothing
BitDefender Found GenPack:Trojan.Banker.Delf.E63D83CD
ClamAV Found nothing
Dr.Web Found BACKDOOR.Trojan (probable variant)
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Banker.apt
NOD32 Found probably a variant of Win32/Spy.Banpaes.O (probable variant)
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Trojan-Spy.Banbra.13 (probable variant)

Kaspersky verhindert den Download der Datei als Trojan-Spy.Win32.Banker.apt, so weit so gut.
Das stimmt auch mit dem Ergebnis der Prüfung, die Haui45 gepostet hat überein.
Schlecht ist, dass der Download noch möglich ist.