Hallöchen Leute




freunde von mir machten mich aufmerksam das ich dauernd einen JPG anhang in der mail mit schicke was ich aber nicht tue. eine bekannte hat das aufgemacht und fragte ob ich verrückt sei usw aber mehr meinte sie nicht dazu. und meine frage nun was kann das sein und wie werde ich den JPG anhang in meinen mails los.


viele dank im vorraus karin

hätte auch HijackThis log falls es sein müsste

Was für ein E-Mail Konto hast du genau und welches Programm verwendest du dafür? (Ich denke doch, das du das E-Mail Konto intern hast?)

Ansonsten poste mal ein HijackThis Logfile:

Folge dieser Anleitung: HijackThis

hi


ich habe das konto von meinem anbieter und es läuft über incredimail
und habe deine anleitung befolgt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:06, on 26.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\Monitor.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Windows Live\installer\WLSetupSvc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\HiJackThis202.exe
C:\WINDOWS\system32\msiexec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://****.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h****://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: 207.210.117.53 ***.winmx.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [IncrediMail Tray Application] C:\PROGRA~1\INCRED~1\bin\IncMail.exe
O4 - HKCU\..\Run: [IncrediMail Tray Application750] C:\PROGRA~1\INCRED~1\bin\IncMail.exe
O4 - HKCU\..\Run: [IncrediMail Tray Application330] C:\PROGRA~1\INCRED~1\bin\IncMail.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - ****://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - ****://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - *****.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196102546875
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6817 bytes

Hallo Racheengel,

kennst Du diese Seite? hast Du sie absichtlich eingetragen?
O1 - Hosts: 207.210.117.53 ***.winmx.com
Falls nicht, fixe den Eintrag schonmal.

Damit ist es wahrscheinlich nicht getan, wahrscheinlich ist es besser einen eScan zu machen, auf den sich die Experten dann stürzen können .
Die genaue Anleitung findest Du unter diesem Link:

http://www.trojaner-board.de/42731-escan-anleitung.html

Die find.bat läd man runter, in dem Du dort dann auf den entsprechenden Link rechtsklickst -> speichern unter...
Viel Erfolg

hm eigentlich kenne ich den eintrag nicht nur das programm winmx mehr aber auch nicht aber werde mal schauen hoffe das ich das alles schaffe habe noch keine erfahrung mit sowas. und ich nutze auch das winmx programm meistens spielt das ein rolle? nicht das ich dann nicht mehr rein komm.

so ich habe das jetzt alles gemacht und raus ist das gekommen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/26/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\System Volume Information\_restore{6D051F5D-9012-4032-8123-CC80701F57CC}\RP146\A0094540.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\d800339846ac9b1bf6008e10b882cb43\BIT4E.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :207.210.117.53 .winmx.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 84307
Gefundene Viren: 1
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 24
Dauer des Scans bisher: 00:50:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:57:08,73
Batchende: 15:57:29,39



ich hoffe ihr könnt damit was anfangen weil der anhang ist noch immer in der mail und falls es was bringt habe auch das ganze protokoll gespeichert. der anhang ist noch immer in der mail leider und soll kann ich das wixmx ding da löschen oder kann ich das programm dann vielleicht nicht mehr benutzen?

gruss karin

Werte diese Dateien mal bei Virustotal aus:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay\ebay.url

-Klick auf Durchsuchen und wähle die oben genannte Datei aus.
-Klick auf Senden und die Datei wird hochgeladen.
-Entweder steht dort nun:
a) Show last Report
b) Reanalyse File now
-Wähle bitte b).
-Nun wertet Virustotal die Datei aus und scannt sie, dies kann einige Minuten dauern, habe bitte etwas Gedult.
-Bitte kopiere nun die Scanergebnisse und noch zusätzlich (Auch wenn kein Virus gefunden wurde) die "Additional information"/"Zusätzlichen Informationen".
-Poste sie hier!

Außerdem hast du die genauen Anweisungen zu EScan nicht genau befolgt...

Zitat:

Zitat von WildliFe

Werte diese Dateien mal bei Virustotal aus:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay\ebay.url

Das ist ein bekannter Fehlalarm von eScan



@Racheengel:

Dein eScan Log hat verdächtig wenige Fehlalarme

- Bennene die HJT.exe in z.B. asdf.com um, und poste ein neues Log

- Deinstalliere ZoneAlarm komplett

- Mach einen neuen eScan, und genau nach der Anleitung.

Zitat:

Zitat von -SkY-

Das ist ein bekannter Fehlalarm von eScan



@Racheengel:

Dein eScan Log hat verdächtig wenige Fehlalarme

- Bennene die HJT.exe in z.B. asdf.com um, und poste ein neues Log

- Deinstalliere ZoneAlarm komplett

- Mach einen neuen eScan, und genau nach der Anleitung.

Hallöchen


öhm ich kenne mich da nicht so gut aus sorry und darf ich fragen was ist HJT und wie nenne ich das um? und wenn ich zonealarm komplett instaliere dann bin ich doch vor garnichts geschützt ist das nicht ein bisschen zu gefährlich??? ach und ich habe eigentlich alles gemacht wie es in der anleitung stand nur ging das 8. Start > Ausführen > mwavscan.com nicht habe dann im abgesicherten modus das programm so gestartet war das vielleicht ein fehler oder wie sonst ?

lieben gruss karin

HJT = Hijackthis

ZoneAlarm bietet überhaupt garkeinen Schutz, kann aber die Logs verbiegen, und ist einfach nur unnötig.

Mach einfach nach der Deinstallation einen neuen eScan.