Hallo,

Vorgestern habe ich längere Zeit nach einem Ort in Google recherchiert (Garmisch-Partenkirchen)
Anderthalb Tage später bekomme ich eine Russische Mail:

Betreff: Garmisch-Partenkirchen
Datum: Sat, 7 Jul 2007 15:30:33 -0200
Von: "hgump" <ilosvybf@z-nsk.ru>

Only we offer:
* Only you know what you want to improve with yourself
........

Kann das Zufall sein, oder habe ich einen keylogger drauf ??? (ich habe nirgendswo was bestellt und habe auch meine eMail Adresse nirgends bekanntgegeben)

Vielen Dank für Eure Vorschläge

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

So ich habe jetzt mal den Spyware Doctor drüberlaufen lassen:

gefunden: trojan.psw.onlinegames.kw (!)
aha, ich dachte, dass wäre die Lösung: aber die entsprechende Datei ist kavss.dll (aus dem Jahre 2004) und gehört zu Kaspersky
also vielleicht eine Falschmeldung ??

Ich habe sie bei Kaspersky mal beim onlinescan hochgeladen, der hat nichts gefunden

Bitte poste unter Beachtung von GUAs Hinweisen ein neues HJT-Logfile und den genauen Pfad der Infektionsmeldung. Die als infiziert gemeldete Datei prüfe außerdem bitte auf www.virustotal.com und poste im Anschluss das komplette Ergebnis.

Hallo Franz,
danke, dass Du Dich dem Thema annimmst (das ist jetzt übrigens schon das 2. mal, das Du mir hilfst (*hüstel*)

also der Pfad lautet: C:\dokumente und einstellungen\rechnername\lokale einstellungen\temp\kavss.dll
virustotal.com: abgekürzt: no virus found

mein log (ich hoffe, dass es jetzt okay ist !?)

Logfile of HijackThis v1.99.1
Scan saved at 19:34:29, on 08.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\rechnername\Desktop\tools neu\sicherheit\hjt1991.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**tp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?******
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = 217.237.148.70 217.237.150.115
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Ich erinnere mich. Das wird dann ja wieder eine längere Sitzung.
In deinem Logfile sehe ich aber keinen Kaspersky. Hast du neulich einen eScan gemacht?

Hallo Franz,

ich glaube, die überlassen dir hier immer die unmöglichen/schwierigen Fälle

Stimmt, sorry, hatte ich vergessen, Kaspersky hatte ich wieder runtergeschmissen (ich hatte irgendwann mal eine Demoversion)
Es laufen nur AntiVir und ZoneAlarm (und vielleicht diverse Trojaner, aber die halten wenigstens mein System stabil )

Ich habe schon fast gerechnet, dass du nach eScan fragst. Wenn ich es schaffe, werde ich heute abend noch einen durchführen, ansonsten erst morgen abend

Gruss
Markus