Hallo zusammen,

habe gerade eben leider eine gefälschte Mail von angeblich der Mindfactory AG geöffnet und leider auch den Link in dieser Mail kopiert und in ein neues Explorer-Fenster eingegeben.

Mindfactory warnt auf seiner Homepgae vor diesen gefälschten Mails mit angeblich Trojanern.

Ich lasse gerade mein Virensuchprogramm über den rechner laufen (Avast).

Wie erkenne ich den Trojaner ?
Was kann ich tun, um mich zu schützen ?
Muss ich bei Online-Banking, etc. jetzt aufpassen ?
Wann kann ich mich wieder sicher fühlen ?

Wäre super, wenn Ihr mir weiterhelfen könntet ?!

Danke, Lennon

Hallo Lennon

Zitat:

Ich lasse gerade mein Virensuchprogramm über den rechner laufen (Avast).

Falls Du den Trojaner schon auf Deinem Rechner hast, ist der Scan von Avast nicht mehr zuverlässig, könnte bereits manipuliert sein. Sofern der Scanner etwas finden sollte, poste bitte den genauen Pfad.

Zitat:

Wie erkenne ich den Trojaner ?

Entweder Dein Rechner macht Sachen, die er vorher nicht gemacht hat, z. B. langsamer Bootvorgang, ständige Pop-ups, Du wirst auf Seiten verlinkt, die Du nicht angeklickt hast, das wären einige der offensichtlichen Veränderungen. Es kann aber auch sein, daß Du zunächst nichts merkst, dann wäre ein HijackThis-Log die 1. Wahl, hier ist der Link: HijackThis - bebilderte Anleitung

Persönliche Angaben (z. B. Dein Benutzername u. etwaige Links bitte anonymisieren, bzw. aussternen).

Zitat:

Was kann ich tun, um mich zu schützen ?

Du zäumst das Pferd von hinten auf, der Schutz hätte vorher passieren müssen, nicht, wenn es bereits zu spät ist, aber poste erst mal das Logfile.

Zitat:

Muss ich bei Online-Banking, etc. jetzt aufpassen ?

Würde ich erst mal lassen, bis zur endgültigen Klärung.

Zitat:

Wann kann ich mich wieder sicher fühlen ?

Wenn sich der Verdacht mit dem Trojanerbefall bestätigt, durch format : C.

Gruß

Bisher läuft alles normal. Habe mich ja auch bisher geschützt. Als ich den Link eingegeben habe, kam auch "Internal Error" oder sowas ähnliches. Habe das Programm, das Du nanntest runtergeladen und hier ist das Log-File.

KANNST DU WAS ERKENNEN UND MI WEITERHELFEN ???

Logfile of HijackThis v1.99.1
Scan saved at 22:43:42, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Programme\HPQ\Shared\hpqwmi.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\C9753~1.ROT\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{412E1593-5D56-4EBA-AD74-835944DCDC22}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo Lennon,

Zitat:

Bisher läuft alles normal.

Das alleine besagt gar nichts, wie ich schon in meinem 1. Post anmerkte, gibt es Schädlinge, die ihr "Unwesen" im "Dunkeln" treiben, ohne, daß Du etwas davon merkst.

Zitat:

Habe mich ja auch bisher geschützt.

Wie? Indem Du Mails öffnest, ohne Dir vorher darüber im Klaren zu sein, ob der Absender auch authentisch ist? Nicht zu reden vom unvorsichtigen Klick auf den in dieser gefakten Mail enthaltenen Link........

Nicht böse sein, aber zu einem "guten" Schutz gehört mehr, als sich auf ein Virenproggi und/oder eine Firewall zu verlassen.

Zu Deiner Frage zum Logfile, ich kann auf Anhieb nichts Schlimmes erkennen, aber auch das alleine besagt noch nichts. Du hast diverse Einträge in der Sektion 02, BHO=BrowserHelperObjekt, das sind kleine Programme, die die Funktion Deines Browsers erweitern, z. B.

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

bietet die Möglichkeit, Adobe-Dokumente (pdf-Dateien) direkt im Browserfenster zu betrachten. Ob das in jedem Fall wünschenswert ist, bezweifle ich. Denn diese BHOs können durch ihre enge Verzahnung mit dem IE auch Schadcode zur Ausführung bringen.

Du würdest Dich besser schützen, wenn Du statt des IE besser den FF oder Opera nutzt. Diese verwenden im übrigen auch keine Active-X-Komponenten, das macht nur der IE, ein weiteres Einfallstor für Schädlinge, nur mal so als Beispiel.

Ferner ist mir aufgefallen, daß Dein Autostart überladen ist, sag, muß das alles beim Starten geladen werden? Ich würde mit msconfig in der Eingabeaufforderung mal prüfen, ob nicht das eine oder andere vom Autostart entbunden wird. Du deaktivierst das Programm damit nicht, sondern nimmst nur unnütze heraus, die nicht unbedingt geladen werden müssen.

Dies hat u. a. den Vorteil, daß der Rechner ein wenig schneller wird, vllt. nicht so, wie Du es Dir wünscht, aber ein Vorteil ist es allemal.

Desweiteren ist mir noch aufgefallen, daß Deine Java-Version nicht aktuell ist, schau hier:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe "


Aktuell ist die Version 6.1, und nicht 1.5.0!

Ansonsten muß ich passen, ich bin nicht der absolute Crack auf dem Gebiet des Logfile-Interpretierens, ich kann Dir nur allgemeine Hinweise geben, wie Du möglichst sicher surfst.

Wenn Du magst, kann ich Dir gerne noch mehr sagen, bzgl. der Logfile-Auswertung macht es aber Sinn zu warten, bis sich einer der "Spezis" hier meldet, die haben da mehr Plan von als ich.

Gruß