Hallo!

Sowas komisches ist mir echt noch nie passiert. Grad eben vor 5 Minuten hat mich ein Typ namens Max Power im ICQ geadded und hat mir geschrieben:
Hey kennst du mich noch? Und da drunter dann eine URL..
Ich hab mir nix dabei gedacht, draufgeklickt und.. Zack die erste Antivir Nachricht da würde irgendeine Datei hinter stecken oder so. Ich ging auf:
Zugriff verweigern und Datei belassen
Und..
Zack! Zweite Nachricht =)
Das gleiche machte ich bei 4 anderen Nachrichten. Dann öffnete sich da noch ein typisches Downloadfenster mit den üblichen Optionen (Öffnen, Speichern unter usw...) Ich habe natürlich nix gedownloaded. Des weiteren war da noch ein Fenster mit irgendwelchen komischen Zeichen drin und den Optionen "Skript ausführen" und "Abbruch". Ich ging auf Abbruch, schloss den Explorer und direkt erstmal hier zu euch ins Forum.
Ich wollte mal umgehend einen Logcheck von euch haben =)
Bitte sehr:
Logfile of HijackThis v1.99.1
Scan saved at 17:48:01, on 30.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\vsnpstd.exe
C:\Spiele\Winamp\winampa.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\spiele\steam\steam.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\stickies\stickies.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\atight1\EIGENE~1\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Spiele\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43E5873F-0634-43FE-B227-12255C32036D}: NameServer = 62.72.64.241,62.72.64.237
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Ich könnte mich jetzt immer noch mit dem Kopf vor die Wand werfen, dass ich auf sowas reinfalle
Hab den Idioten erstmal schnell wieder gelöscht und hoffe, dass ich nix von der ganzen SAche mitgetragen hab =)

Danke im Vorraus =)
jan

Hallo,

also dein Log zeigt keinerlei Auffälligkeiten! Was aber nichts zu bedeuten hat!
Führe einen eScan aus, und poste anschliessend das Ergebnis. --->eScan

Kann sein das doch irgendwelche Dateien, Programme üebrtragen wurden!

Gruß
Daniel

Sooo..

die Version die ich mir da geladen habe schien mir ein bisschen neuer zu sein (komplett anders aufgebaut), aber ich habe den Scan mal trotzdem gemacht! Hoffe alles ist richtig von mir durchgeführt worden =)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 15:57:05 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Sep 24 16:08:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Sep 24 16:24:36 2005 => Total Disinfected Files: 0
Sun Sep 25 11:59:14 2005 => Total Disinfected Files: 0
Sun Sep 25 12:00:47 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sun Sep 25 12:14:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Sep 25 12:31:17 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 16:04:52 2005 => File C:\mirc\mIRC\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sat Sep 24 16:04:52 2005 => File C:\mirc\mIRC.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sun Sep 25 12:11:02 2005 => File C:\mirc\mIRC\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sun Sep 25 12:11:02 2005 => File C:\mirc\mIRC.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Sep 25 12:00:47 2005 => Offending file found: C:\DOKUME~1\atight1\LOKALE~1\Temp\insthelp.dll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 16:24:36 2005 => Total Virus(es) Found: 3
Sun Sep 25 11:59:14 2005 => Total Virus(es) Found: 0
Sun Sep 25 12:31:17 2005 => Total Virus(es) Found: 3
Sat Sep 24 16:24:36 2005 => Total Errors: 200
Sun Sep 25 11:59:14 2005 => Total Errors: 0
Sun Sep 25 12:31:17 2005 => Total Errors: 202
Sat Sep 24 16:24:36 2005 => Time Elapsed: 00:29:00
Sun Sep 25 11:59:14 2005 => Time Elapsed: 00:00:07
Sun Sep 25 12:31:17 2005 => Time Elapsed: 00:31:20
Sat Sep 24 16:24:36 2005 => Total Objects Scanned: 54943
Sun Sep 25 11:59:14 2005 => Total Objects Scanned: 154
Sun Sep 25 12:31:17 2005 => Total Objects Scanned: 54995
Sat Sep 24 15:55:08 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 16:24:36 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 17:05:08 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 17:05:11 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:58:59 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:13 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:15 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:47 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 12:31:17 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 12:34:12 2005 => Virus Database Date: 2005/09/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Danke für deinen post =)
jan

Ist soweit clean der Bericht! Ich denke nicht das über den Angriff bei ICQ irgendwas ganz extremes gekommen ist...
Lade dir mal bitte das hier ---> Ad-Aware dann kriegst du diese "Alexa-Spyware" auch noch weg...

Gruß
Daniel

Ok dann bedankei ch mich schon einmal =)
bin froh, dass nix zu finden gibt =)

gruß
jan