Hallo liebe Sachkundige,

heute erzählte mir meine Freundin, dass sie "vor einigen Tagen" eine von den Mails wo ein beliebiger Name als Absender und kein Betreff aber dafür ein Anhang zu erkennen sind. Die Mail wurde (versehentlich) geöffnet und es erschien ein Foto Marke "Partyschnappschuss". Das Attachment hat sie nicht geöffnet, sondern die Mail wieder geschlossen. Die Mail ist noch nicht gelöscht worden.
Gestern war ich zeitweise als Admin angemeldet, zur Zeit der Öffnung war aber nicht der Admin Account sondern ein Benutzer mit eingeschränkten Rechten aktiv.
Eben habe ich einen Scan der Systemverzeichnisse mit AVguard durchgeführt, keine Funde. Allerdings konnte die Bootsektion nicht geöfnet werden. Habe dies vom eingeschränkten Benutzer aus gemacht.

Daten zum Rechner:
Windows XP, SP2. Firefox & Thunderbird in Benutzung. Alles auf neuestem Stand.
Die Mail wurde mit einem aktuell geupdateten Thunderbird geöffnet.

Ich stelle das HJT-Log hier herein, wenn jemand es sich einmal ansehen oder sonstwie Tips geben könnte, wie ich nun prüfen kann, ob diese ominöse Mail Schaden angerichtet hat, wäre ich sehr dankbar.

Gruß,
Al

Logfile of HijackThis v1.99.1
Scan saved at 18:54:44, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DOKUME~1\Sandra_2\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://***.travel24.com/buffer.jsp?pid=30978&t=0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ISDNStatus] C:\Programme\ISDN_UTL\isdnsta.exe
O4 - HKLM\..\Run: [Launcher] C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://***.sertek.com.tw/
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h***://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150460709165
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h***://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo Al.

Normalerweise dürfte die Mail, wenn der Anhang nicht geöffnet wurde keinen Schaden angerichtet haben. Etwas verwirrt bin ich allerdings durch deinen Topic Namen. Wurde der Anhang nun geöffnet oder net?

Lösche die Mail und versuche einen VOLLEN Systemscan zu machen. Zur Öffnung des Bootsektors mit AV könnte ich jetzt auch nur googeln und das kannst du selber. Sollte aber natürlich gehen!

HJT log ist sauber.

mfg

Undoreal

Moin undoreal,

txs für die schnelle Antwort. Ich habe mich tatsächlich etwas missverständlich ausgedrückt: Das attachment wurde nicht geöffnet, aber trotzdem erschien ein Foto nach dem öffnen der MAIL.
Voller Scan folgt morgen früh.

Gruß,
Al

Hallo nochmal:

AV Scan durchgeführt: keine Funde. (als Admin angemeldet konnte er auch den Bootsektor scannen)
Adaware "deep scan" durchgeführt: keine Ergebnisse.

scheint alles in Ordnung zu sein.

Danke & Gruß,
Al