| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 1&1 RechnungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.01.2007, 18:59
| #1 |
| |  1&1 Rechnung Hallo, wie viele andere auch habe ich eine 1&1 Rechnung erhalten und morgens nicht die nötige Aufmerksamkeit und Vorsicht aufgebracht. Ablauf: 1&1 Mail erhalten Ich habe zu schnell versucht es zu öffnen. Ich wurde jedoch daran gehindert es auszuführen, da mich entweder die Firewall oder Spybot gefragt hat, ob ich es wirklich möchte. Ich habe auf abbrechen geklickt. Danach habe ich AniVir drüberlaufen lassen.Es wurde eine Datei gefunden und in die Quarantäne verschoben und dann gelöscht. Vorher habe ich die Datei an Antivir gesendet. Sie ist noch als Email Anhang vorhanden. Das Original der 1&1 Email lagert noch bei GMX. Ich habe auch Spybot drüberlaufen lassen. Es folgte keine Meldung. Trotzdem habe ich die Befürchtung, dass sich der Trojaner eingenistet haben könnte. Dies ist das erste Mal, dass ich etwas in ein Forum einstelle. Ich hoffe alles war richtig und ausreichend. Es folgt der Report von Antivir und der Logfile von HijackThis Viele Grüße Bafay AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Montag, 8. Januar 2007 13:31 Es wird nach 619674 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Computername: Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.4 208936 Bytes 20.12.2006 10:09:17 AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 12:10:09 LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 12:10:10 LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 12:10:10 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:31:20 ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 10:05:46 ANTIVIR2.VDF : 6.37.0.114 874496 Bytes 07.01.2007 11:47:49 ANTIVIR3.VDF : 6.37.0.119 12288 Bytes 08.01.2007 11:47:49 AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 22.12.2006 22:35:30 AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 12:10:09 AVREP.DLL : 6.37.0.119 1052712 Bytes 08.01.2007 11:47:49 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 05.05.2006 09:38:34 AVPACK32.DLL : 7.2.0.5 368680 Bytes 30.10.2006 09:17:56 AVREG.DLL : 7.0.1.1 30760 Bytes 15.12.2006 12:10:09 NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48 RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 12:10:02 RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 12:10:02 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: F:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 8. Januar 2007 13:31 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'Notifier.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'sc_watch.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kernel.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'thunderbird.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'PROFIL~1.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'LxUpdateManager.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'AnyDVD.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'TOMCAT.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'schedhlp.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'TimounterMonitor.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'VCDDaemon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'Liveupdate.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'Warn0190.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'mixer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'vcdplayx.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'vdtask.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'InCD.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'opware32.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'MZCCntrl.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4ss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'schedul2.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'w0svc.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '51' Prozesse mit '51' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'F:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 31 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <WinXP 1> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\TFTP2564 [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f64823.qua' verschoben! Beginne mit der Suche in 'F:\' <Daten 1> Ende des Suchlaufs: Montag, 8. Januar 2007 15:06 Benötigte Zeit: 1:35:05 min Der Suchlauf wurde vollständig durchgeführt. 5009 Verzeichnisse wurden überprüft 496451 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 496450 Dateien ohne Befall 2243 Archive wurden durchsucht 2 Warnungen 0 Hinweise Logfile of HijackThis v1.99.1 Scan saved at 17:44:29, on 08.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\FarStone\VirtualDrive\VDTask.exe C:\WINDOWS\vcdplayx.exe C:\WINDOWS\Mixer.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe X:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe X:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\DOKUME~1\++\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [VirtualDrive] "C:\Programme\FarStone\VirtualDrive\VDTask.exe" /AutoRestore O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe O4 - HKLM\..\Run: [VirtualCloneDrive] "X:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [AnyDVD] X:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136996378593 O17 - HKLM\System\CCS\Services\Tcpip\..\{92B9AEB4-0C71-43BC-814F-BCFCBB733131}: NameServer = 217.237.150.205 217.237.150.188 O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing) O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing) O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
08.01.2007, 19:09
| #2 | ||
| Moderator, a.D.   | 1&1 Rechnung Dein Log sieht ok aus (lt. automatischer Auswertung auf hijackthis.de), aber:
__________________Zitat:
Zitat:
Gruß  Yopie |
|
08.01.2007, 19:14
| #3 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™   | 1&1 RechnungZitat:
 Bis auf ein paar mir unbekannte Einträge sieht das Log auch sauber aus, jedenfalls nicht von dem pdf.exe-Trojaner befallen. Die unbekannten Einträge werden aber wohl vermutlich legitime Programme sein. Für die Zukunft solltest du aus diesem Beinahe-GAU lernen: 1. Nicht auf Virenscanner oder so verlassen, die meisten haben vor wenigen Stunden den Schädling in dieser oder einer ähnlichen Mail nicht erkannt! 2. Zum Surfen bzw. normalen Arbeiten mit dem Rechner ein eingeschränktes Konto verwenden, das begrenzt den Schaden meist erheblich, Viren und so können sich dann zumindest nicht im System breit machen. Dann fiel mir noch Folgendes auf: Zitat:
Zitat:
Edit: Oh mist, diese hab ich hier ja komplett übersehen => C:\WINDOWS\system32\TFTP2564  Nabend Yopie! 
__________________ Geändert von cosinus (08.01.2007 um 19:19 Uhr) Grund: * Tomaten auffe Augen hab * |
|
08.01.2007, 19:36
| #4 |
 |  1&1 Rechnung guten tag liebe helfer und user, ich bin auch kunde bei 1und1 und habe heute in meiner mail entsprechendes gehabt, aus routine der rechnungszustellung fast alles überlesen und die .exe runtergeladen und doppelgeklickt !!! es tat sich allerdings nichts (öffnung von extra fenster zur installation). als dann um 19:45uhr rtl-aktuell bekam habe ich einen schock bekommen, dass genau diese mail "havvy" ist. mein riesen problem, bevor ich dies geshen habe, bin ich auf mein postbank konto online gegangen, allerdings ihne eine TAN für transaktionen zu verwenden. kann dann trotzdem etwas passieren ? ich habe deshalb eine sehr grpße bitte, hoffentlich wird diese auch einem neuling in not gewährt.da kaspersky online check noch läuft: bisher viren gefunden: 2, infizierte objekte 7 die ich bisher noch nicht einsehen kann_ob bitte jemand mal über den HijackThis auszug schauen kann ? bitte Logfile of HijackThis v1.99.1 Scan saved at 19:22:44, on 08.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\BRMFRSMG.EXE C:\Programme\T-DSL SpeedManager\TSMSvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe C:\DOKUME~1\Hope\LOKALE~1\Temp\~e5d141.tmp C:\DOKUME~1\Hope\LOKALE~1\Temp\~e5d141.tmp C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Programme\Microsoft Office\Office12\EXCEL.EXE I:\Programme\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=012107 serial=DR12CUB-6411814-RGH lang=EN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{46F0C1F8-C163-4D0B-B976-2E408BB71E98}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: McDetect.exe - Macromedia - (no file) O23 - Service: McTskshd.exe - Macromedia - (no file) O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe vielen vielen dank an euch vorab gruss sony |
|
08.01.2007, 19:44
| #5 | |
| Moderator, a.D. | 1&1 RechnungZitat:
Schädling war / ist aktiv: Neuaufsetzen gem. Anleitung im Anleitungsforum! Anschließend (oder von einem sauberen Rechner) das Password für die Postbank (und alle anderen Passwörter, die du eingegeben hast!) ändern, falls dies möglich ist! Gruß Yopie |
|
08.01.2007, 20:10
| #6 |
| | 1&1 Rechnung hallo yopie und vielen dank für deine info. ist das Neuaufsetzen wirklich und unbedingt nötig !? oder kann ich dies durch hoffentlich ein aktuellen online scanner beheben ? neues PW von einem "sauberen" rechner geht leider erst morgen von der arbeit oder heute telefonisch sperren lassen. mfg sony |
|
08.01.2007, 20:14
| #7 | |
| Moderator, a.D. | 1&1 RechnungZitat:
(Ja, das ist eine rhetorische Frage!) Gruß Yopie |
|
08.01.2007, 20:31
| #8 | |
| | 1&1 Rechnung OK Zitat:
|
|
08.01.2007, 20:38
| #9 |
| | 1&1 Rechnung Hallo, bin hier gerade bei Freunden, die ebenfalls eine vermeintliche 1&1-Mail über 59,99 Euro erhalten haben. Die E-Mail wurde zwar gelöscht, jedoch ist nicht mehr gewiß, ob vorher noch der exe-Anhang ausgeführt wurde. Daher mal hier der Auszug aus hijackthis, vielleicht könnt ihr mir da weiterhelfen. Meine Vermutung: O20 ist nicht ganz so in Ordnung...  Danke, Skedee Wedee. Logfile of HijackThis v1.99.1 Scan saved at 20:29:46, on 08.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\system32\atwtusb.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Baumann\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
08.01.2007, 20:45
| #10 | |
| Moderator, a.D. | 1&1 RechnungZitat:
Auch sonst kein Befall festzustellen anhand des Logs! An weitere Hilfesuchende: Erstellt eigene Threads; dies ist eigentlich der Thread von BAFAY Danke! Gruß Yopie |
|
08.01.2007, 20:51
| #11 | |
| | 1&1 RechnungZitat:
Danke cosinus für die freundliche und schnelle Antwort. Ich vernichte vielleicht den vorher gemachten guten Eindruck, aber was bedeutet das für mich. Die Datei wurde vom Virenscanner in die Quarantäne verschoben. Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ. Ist die Datei immer noch vorhanden, und/oder bedeutet ihr Vorhanden gewesen sein, dass etwas irreparables passiert ist? Danke im Voraus BAFAY |
|
08.01.2007, 20:57
| #12 |
| | 1&1 Rechnung Hallo Yopie, danke für die schnelle Antwort und für die große Hilfe. Ich postete hier, da ich nicht wußte, ob mehrere Threads zum gleichen Thema erwünscht sind. Heute Nachmittag wurde einer geschlossen... Hui, dann möchte ich nicht weiter stören und Euch noch viel Glück wünschen, diesen Mist (den Trojaner) auszumerzen!  Viele Grüße, Skedee Wedee |
|
08.01.2007, 21:01
| #13 | |
| Moderator, a.D. | 1&1 RechnungZitat:
Denn laut Google handelt es sich (bzw. um die vorher vom AV erkannte Datei) um einen Backdoor. Aber Antivir hat sie nur heuristisch erkannt, das heißt, ein Fehlalarm ist nicht ausgeschlossen. Würde mich aber bei dem Dateinamen wundern. Wenns ein Backdoor wäre: siehe Signatur. Gruß Yopie |
|
08.01.2007, 21:05
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | 1&1 RechnungZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.01.2007, 21:46
| #15 |
| | 1&1 Rechnung Hallo Yopie, vielen Dank für die schnelle Antwort. Die Datei habe ich auf der angegben Seite scannen lassen. Das Ergebnis steht unten. Mir stellte sich nur eine Frage. Die Datei mit der Endung qua konnte ich an die Email hängen und zu AntiVir schicken. Die Datei selbst ist noch in der Quarantäne. Ich kann diese auch nicht gefahrlos irgendwohin speichern, weil ich mich zuwenig damit auskenne. Scanne ich also möglicherweise eine völlig unnütze Sache? Danke im Voraus BAFAY Complete scanning result of "45f64823.qua", received in VirusTotal at 01.08.2007, 21:26:00 (CET). Antivirus Version Update Result AntiVir 7.3.0.21 01.08.2007 no virus found Authentium 4.93.8 12.30.2006 no virus found Avast 4.7.892.0 12.30.2006 no virus found AVG 386 01.08.2007 no virus found BitDefender 7.2 01.08.2007 no virus found CAT-QuickHeal 9.00 01.08.2007 no virus found ClamAV devel-20060426 01.08.2007 no virus found DrWeb 4.33 01.08.2007 no virus found eSafe 7.0.14.0 01.08.2007 no virus found eTrust-InoculateIT 23.73.107 01.06.2007 no virus found eTrust-Vet 30.3.3311 01.08.2007 no virus found Ewido 4.0 01.08.2007 no virus found Fortinet 2.82.0.0 01.08.2007 no virus found F-Prot 3.16f 01.05.2007 no virus found F-Prot4 4.2.1.29 01.05.2007 no virus found Ikarus T3.1.0.27 01.08.2007 no virus found Kaspersky 4.0.2.24 01.08.2007 no virus found McAfee 4934 01.08.2007 no virus found Microsoft 1.1904 01.07.2007 no virus found NOD32v2 1963 01.08.2007 no virus found Norman 5.80.02 12.31.2007 no virus found Panda 9.0.0.4 01.07.2007 no virus found Prevx1 V2 01.08.2007 no virus found Sophos 4.13.0 01.05.2007 no virus found Sunbelt 2.2.907.0 01.05.2007 no virus found TheHacker 6.0.3.146 01.08.2007 no virus found UNA 1.83 01.06.2007 no virus found VBA32 3.11.1 01.08.2007 no virus found VirusBuster 4.3.19:9 01.08.2007 no virus found Aditional Information File size: 15134 bytes MD5: 78bcf4744e1c9c4f79a91447d579a0bb SHA1: 898b5c97ff151fc0c0ba9e5808d5578dd939b13c VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. > Go to: Home Contactar En Español |
|
| Themen zu 1&1 Rechnung |
| 0 bytes, 1.exe, antivir, avgnt.exe, avira, bho, browser, ctfmon.exe, disk director, einstellungen, email, email anhang, erste mal, firefox.exe, free download, ftp, hijack, internet, internet explorer, jusched.exe, kaspersky, kernel.exe, lexware, liveupdate.exe, logfile, logon.exe, mozilla, mozilla firefox, nt.dll, prozesse, quara, registry, rundll, services.exe, software, suchlauf, svchost.exe, system, t-online, trojaner, verweise, virus, virus gefunden, warnung, windows, wlan |
Linear-Darstellung
