HILFE!: Habe mir irgendwas über e-mail die angeblich von der Telekom war eingefangen!

Trojanergeplagter · 03.10.2006, 13:52

Hallo!
Ich habe folgendes Problen.
Ich habe am Donnerstag abend eine e-mail geöffnet die angeblich von der Telekom war in dieser email stand das meine rechnung für August 6700 euro beträgt. Das konnte aber nicht stimmen. Nun habe ich blöderweise den anhang mit dem namen telekom-rechnung.pdf geöffnet. allerdings war das einzigste was für wenige sekunden zusehen war eine Eieruhr und dann weiter nichts. nach einem telefonat mit der Telekom erfuhr ich das die email nicht von ihnen war aber dafür getarnte emails mit Vieren und trojanern unterwags sind. Ich ärgere mich etzt schon seit tagen mit dem ding rum werde es aber einfach nicht los. Ich hoffe hier kann mir einer helfen.
Für Lösungsvorschläge bin ich sehr dankbar!!!
Hier ist das was ich bis jetzt rausgefunden habe wenn ich auch nichts damit anfangen kann da ich in der Materie nicht sehr bewandert bin.

Logfile of HijackThis:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:35:31, on 03.10.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Spax.COMPUTER-Z3203O\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.giga.de/showthread.php?p=12365157#post12365157
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Avast! bericht:

Code:

ATTFilter

09/28/2006 20:09
Scan aller lokalen Laufwerke
Datei C:\WINDOWS\system32\ipf.exe ist infiziert von Win32:Agent-BVU [Trj], Gelöscht

Prüfung abgebrochen

Anzahl durchsuchter Ordner: 2118
Anzahl der geprüften Dateien: 33707
Anzahl infizierter Dateien: 1

----------------------------------------
10/01/2006 12:41
Scan aller lokalen Laufwerke
Datei C:\System Volume Information\_restore{7B919744-A521-4C57-8DA5-21929F5793B8}\RP55\A0029627.exe ist infiziert von Win32:Agent-BVU [Trj], Gelöscht

Anzahl durchsuchter Ordner: 2902
Anzahl der geprüften Dateien: 41778
Anzahl infizierter Dateien: 1

Spyware Scan:

Code:

ATTFilter

Spyware Scan Details
Start Date: 01.10.2006 18:23:13
End Date: 01.10.2006 18:36:40
Total Time: 13 mins 27 secs 

Detected spyware

Trojan.Schoeberl.D Trojan  more information...
Status: Ignored

Infected files detected
C:\Dokumente und Einstellungen\Spax.COMPUTER-Z3203O\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\\6635zipper\Telekom-Rechnung.pdf.exe


Cookie: DoubleClick Cookie (General)  more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count 
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\spax.computer-z3203o\cookies\spax@doubleclick[1].txt


Cookie: Mediaplex.com Cookie (General)  more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count 
Status: Ignored

Infected cookies detected
c:\dokumente und einstellungen\spax.computer-z3203o\cookies\spax@mediaplex[1].txt

Ich habe den emailanhang auch bei Virustotal auswerten lassen vom ergebnis habe ich nen Screenshoot weiss allerdings nicht wie ich den der Comunety zugänglich machen soll.
Ich hoffe mir kann einer sagen wie ich das ding wieder loswerde!
was ich bis jetzt an Vierenscannern versucht habe hat nichts geholfen. habe sogar windows 2x installiert. (servicepack 2 lässt sich nicht installieren. Fehlermeldung datei ist beschädigt.)

Danke für Antworten!

HILFE!: Habe mir irgendwas über e-mail die angeblich von der Telekom war eingefangen!

Plagegeister aller Art und deren Bekämpfung: HILFE!: Habe mir irgendwas über e-mail die angeblich von der Telekom war eingefangen!

HILFE!: Habe mir irgendwas über e-mail die angeblich von der Telekom war eingefangen!

Ähnliche Themen: HILFE!: Habe mir irgendwas über e-mail die angeblich von der Telekom war eingefangen!