Hallo
nach langer Zeit habe ich auf meinem XP-Rechner mal wieder den Luke Filewalker (AntiVir) angeschmissen (zuvor natürlich aktualisiert). Er hat mich auf einen Fund aufmerksam gemacht, der mich etwas beunruhigt: TR/Dldr.iBill.Y wurde gefunden. Nach einigen Minuten im Google konnte ich nachlesen, dass dies ein Trojaner ist und als Rechnung über 50€ von single.de getarnt war. Ich erinnere mich, diese Mail bekommen zu haben. Wunderte mich jedoch so, dass ich an single.de eine Mail schrieb (die leider unbeantwortet blieb). Ob ich den Anhang damals geöffnet habe, weiß ich nicht. daher poste ich mein HijackThis Logfile und bitte um Kontrolle. Bereits besten Dank....




Logfile of HijackThis v1.99.1
Scan saved at 17:20:35, on 08.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MoneyBar\moneybar.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\CC-Bar\cashcrawler.exe
C:\Programme\CSpace\CSpace.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.ex e
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: MoneyBar.LNK = C:\Programme\MoneyBar\moneybar.exe
O4 - Global Startup: CC-Bar.lnk = C:\Programme\CC-Bar\cashcrawler.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

ich nehme mal an, "moneybar", "cashcrawler" und "cspace" sind dir bekannt und von dir gewollt. Davon abgesehen, ist dein Logfile meiner Meinung nach unauffällig. Ein Java-Update ist allerdings fällig.

Zu dem Fund von Avira: In welchem Pfad soll der Trojaner sein?

Hallo und Dank für die Antwort,

"moneybar", "cashcrawler" und "cspace" sind bekannt und gewollt. Wie kann ich Java aktualisieren? Bisher ging das immer "vollautomatisch" Bin etwas erleichtert, wenn sonst alles i.O. ist. Dennoch hier der Avira - Report zu den entsprechenden Stellen. Mein Email-Programm ist Mozilla Thunderbird. Die Email lässt sich jedoch nicht mehr finden...???? Ist da was faul? Die habe ich gelöscht (dann wird sie ja in den Papierkorb geworfen) und den Papierkorb geleert. Sollte also weg sein, oder gibt es da noch Reste?

Gruß, bierbauch


C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <8BFC1266.3944525@iwon.com>][From: Rechnung Singel.de <gebuehrenzentrale862@single][Subject: Klubmitgliedschaft Single.de]10790.mim
[1] Archivtyp: MIME
--> 63039.zip
[FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Worm.Gen-Virus
[2] Archivtyp: ZIP
--> Rechnung-singel.de.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.Y
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\Local Folders\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <8BFC1266.3944525@iwon.com>][From: Rechnung Singel.de <gebuehrenzentrale862@single][Subject: Klubmitgliedschaft Single.de]5788.mim
[1] Archivtyp: MIME
--> 63039.zip
[FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Worm.Gen-Virus
[2] Archivtyp: ZIP
--> Rechnung-singel.de.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.Y
[WARNUNG] Die Datei wurde ignoriert.

Hallo,

warum sollte die E-Mail zu finden sein, wenn du sie gelöscht und den Papierkorb geleert hast?

Was Avira gemeldet hat, war die E-Mail in der Inbox bzw. im Papierkorb. Wenn du den Anhang nicht geöffnet hast, hat er dein System auch nicht infiziert. Da du nicht sicher bist, ob du ihn geöffnet hast, lässt sich ohne Weiteres nicht sagen, ob dein Rechner sauber ist. Um ganz sicher zu gehen, kannst du gern einen eScan machen und die Ergebnisse der find.bat posten. Dazu gibt es eine ausführliche Anleitung in den FAQ.

@Franz1968

Ich habe keine Ahnung, warum die Email nicht so gelöscht ist, wie ich es gerne hätte. Vielleicht trägt Thunderbird 2.0 irgendwo noch eine Kopie mit sich rum????

Ich wollte mich beruhigen und habe nach der Anleitung einen eScan gemacht. Das Ergebnis ist leider alles anderes als beruhigend, aber seht selbst.
Gibt es eine einfacherere Lösung als XP neu zu installieren?

Ich sehe nur, dass die Viren im Dateisystem gefunden wurden, aber ob sie aktiv sind, kann ich da so nicht erkennen, oder?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 9/9/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cws Browser Hijacker (web.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\pop3.web.de\components.sbd\talkback.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\pop3.web.de\uninstall.sbd\UninstallThunderbird.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\***\09_Sicherungen\Outlook - Backup\backup.pst//Persönliche Ordner/Posteingang/28 Nov 2001 17:37 from ***:Re:/news_doc.DOC.scr infiziert von "Email-Worm.Win32.BadtransII" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\***\09_Sicherungen\Outlook - Backup\Posteingang.pst//Persönliche Ordner/Posteingang/28 Nov 2001 17:37 from ***:Re:/news_doc.DOC.scr infiziert von "Email-Worm.Win32.BadtransII" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\***\***\Thunderbird-Account\components.sbd\talkback.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\***\***\Thunderbird-Account\uninstall.sbd\UninstallThunderbird.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\CSpace\CSpace.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceVNCClient.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceVNCServer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceVNCViewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\CSpaceWinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Programme\CSpace\VNCHooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\treiber mustek scanner\web.exe\web.exe
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 134409
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 69
Dauer des Scans bisher: 01:14:53
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:48:59,95
Batchende: 21:49:11,06

Hallo,

das Problem besteht weiterhin, kann mir vielleicht jemand helfen? Wäre sehr nett

Danke, Gruß Bierbauch

Hi,

wenn man in Thunderbird eine Email löscht, wird sie nur als nicht mehr vorhanden markiert, ist aber in der Mailboxdatei noch vorhanden. Das ist mehr ein Schönheitsfehler, standardmäßig scannt Antivir sowieso keine Mailboxdateien, da es dort auch nicht löschen könnte (dann wären alle Mails gelöscht). Man kann die Meldungen einfach ignorieren. Oder: Nach dem löschen den Papierkorb leeren (den in Thunderbird), Menü Datei -> Alle Ordner des Kontos komprimieren.

Außerdem stecken noch in D:\***\09_Sicherungen\Outlook - Backup zwei an Mails angehängte Würmer, der Rest dessen, was Escan gemeldet hast ist mal wieder Beweise dafür, dass Escan nichts taugt.

Gruß, Karl