Hallo zusammen,

ich hab die Befürchtung, dass sich zwei Trojaner Dateien bei mir eingenistet haben. Leider komm ich nicht dran und kann sie nicht löschen. Könnt ihr mir vielleicht über die Logfile helfen?

Gruß
Wörb

Logfile of HijackThis v1.99.1
Scan saved at 14:43:40, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ]*ttp://***.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://****.***.dell.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - ***://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - ***://67.15.101.3/g_bin/eng/poker_2_0_0_43.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - ***://67.15.101.3/g_bin/eng/mahjong_2_0_0_24.cab
O16 - DPF: {F1946764-3B40-4BE3-A87D-F371B112308F} (WPActiveX Control) - ***://rcsmiletiger.bitmedia.cc/wp/wpax.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe

Hi,
lass bitte die Datei:

Zitat:

C:\WINDOWS\system32\adsmsextp.exe

bitte mal bei virustotal auswerten.

lg myrtille

EDIT: moin Sunny Bitte Sunnys Post befolgen, da viel ausführlicher.

Hallo.

1.) Welche Dateien wurden dir denn von deinem AV-Scanner benannt, bei denen es sich um Schädlinge handeln soll?

Bitte genau Verzeichnisangabe posten. Sieh mal in dem letzten Report von McAfee nach..

2.) Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\adsmsextp.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

Hallo,

leider kann ich diese Datei im "System32" Ordner nicht finden. Aber sobald ich den PC starte will er genau diese Datei zwei mal ausführen.

Hab heute eine E-Mail, die angeblich von 1&1 kam, geöffnet. Dort war eine Rechnung angehängt, welche ich zweimal versucht habe zu öffnen.
Die E-Mail war gut gemacht und da ich mal Kunde bei 1&1 war, naja...

Gibt es eine Möglichkeit irgendwie anders an die Datei zu kommen?

Gruß
Wörb

Hi,
Dateien sichtbar machen kann man so
Ansonsten einfach mal versuchen den Pfad bei virustotal ins Fenster einzugeben, gelegentlich funktioniert das auch.

Wenn du allerdings glaubst, dass der Anhang für deinen Virus zuständig ist, kannst du auch einfach den Anhang mal bei virustotal hochladen und schauen was sich hinter der Rechnung in Wirklichkeit versteckt.

lg myrtille

Zitat:

Zitat von Woerb

Hab heute eine E-Mail, die angeblich von 1&1 kam, geöffnet. Dort war eine Rechnung angehängt, welche ich zweimal versucht habe zu öffnen.
Die E-Mail war gut gemacht und da ich mal Kunde bei 1&1 war, naja...

Nein, dort war eine Datei "rechnung.pdf.exe" angehängt. Sowas führt man nicht aus, und schon gar nicht als Administrator!

Die Mail war auch nicht gut gemacht, aber für die üblichen Verdächtigen hats mal wieder gereicht. Nämlich für diejenigen, die meinen, ein Virenscanner schützt auch dann, wenn man das Hirn abschaltet. Nimms nicht persönlich, aber lass es dir eine Lehre sein.

Entfernungshinweise findest du z.B. unter trojaner in 1und1 rechnung? - Rokop Security , ich persönlich würde aber mein System neu aufsetzen.

Gruß
Yopie

@woerb

Mach mal das was Myrtille auch schon schrieb:

Zitat:

Ansonsten einfach mal versuchen den Pfad bei virustotal ins Fenster einzugeben, gelegentlich funktioniert das auch.

Also diesen Pfad -> C:\WINDOWS\system32\adsmsextp.exe in das weiße Kästchen bei Virustotal reinkopieren und dann auf SEND klicken..

Gruß
Sunny

Hallo,

so hat jetzt doch mit dem direkt den Pfad eintippen geklpappt.
Hier also das Ergabnis von VirusTotal.

Gruß
Wörb

------------------

STATUS: FINISHEDComplete scanning result of "adsmsextp.exe", received in VirusTotal at 01.07.2007, 15:18:08 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.07.2007 HEUR/Crypted
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.06.2007 no virus found
BitDefender 7.2 01.07.2007 no virus found
CAT-QuickHeal 9.00 01.06.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 01.07.2007 Trojan.Downloader-462
DrWeb 4.33 01.07.2007 Trojan.DownLoader.17212
eSafe 7.0.14.0 01.07.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3307 01.06.2007 no virus found
Ewido 4.0 01.06.2007 no virus found
Fortinet 2.82.0.0 01.07.2007 suspicious
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.07.2007 Trojan-Downloader.Win32.Small.dib
Kaspersky 4.0.2.24 01.07.2007 Backdoor.Win32.Agent.akf
McAfee 4933 01.05.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1960 01.06.2007 no virus found
Norman 5.80.02 12.31.2007 Suspicious_F.gen
Panda 9.0.0.4 01.07.2007 Suspicious file
Prevx1 V2 01.07.2007 Virus.Rechnung
Sophos 4.13.0 01.05.2007 Mal/Packer
Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious
TheHacker 6.0.3.145 01.07.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.07.2007 no virus found
VirusBuster 4.3.19:9 01.06.2007 novirus:Packed/FSG


Aditional Information
File size: 9181 bytes
MD5: 19a960f2ae534915040bcb60afaa295f
SHA1: 446daf524cb3508edf3014d93fee11c4b7dc451b
packers: FSG
packers: FSG
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=864168551064
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Zitat:

Zitat von Yopie

Die Mail war auch nicht gut gemacht, aber für die üblichen Verdächtigen hats mal wieder gereicht. Nämlich für diejenigen, die meinen, ein Virenscanner schützt auch dann, wenn man das Hirn abschaltet. Nimms nicht persönlich, aber lass es dir eine Lehre sein.

Entfernungshinweise findest du z.B. unter trojaner in 1und1 rechnung? - Rokop Security , ich persönlich würde aber mein System neu aufsetzen.

Du hast schon recht, ein bisschen überlegen hätte nicht geschadet. Ist ja nicht umsonst im Spamordner gelandet. Und ein Vergleich mit meinen anderen Rechnungen hätte auch schon gereicht. Ist mir aufjedenfall eine Lehre.

Soll ich wie in dem Beispiel vorgehen, um die Dateien zu entfernen oder muss ich etwas anderes beachten?

Gruß
Wörb