Hallo @all,

ich weiß hier irgendwie nicht mehr weiter und hoffe, daß vielleicht Ihr mir helfen könnt.

Also, folgendes ist passiert: Vorhin beim E-Mail-Abrufen (ich war zu der Zeit weder mit dem Browser im Internet unterwegs, noch habe ich auf einen Link in den Mails geklickt) öffnete sich plötzlich der IE (welche Seite weiß ich nicht mehr...) und gleich darauf sprangen mehrere Fenster vom KAV-Hintergrundwächter auf: er hatte u.a. den "Exploit.CodeBaseExec" in

"C:\Dokumente und Einstellungen\Nici\Lokale Einstellungen\Temporary Internet
Files\Content.IE5\IE5\CDMN4PMF\send_exe1(1).htm"

gefunden und auch andere, alle unter "C:\Dokumente und Einstellungen \Nici\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IE5\..." Zonealarm lief zu der Zeit nicht. Irgendwie ging das alles so schnell, habe dann vor Schreck erstmal alles weggeklickt.

Nach einem Neustart fragte ZA, ob eine "logon.exe" auf das Internet zugreifen darf. Lt. ZA liegt diese "logon.exe" in "C:\Windows\logon.exe". Diese Datei wurde auch mit heutigem Datum erstellt. Ich habe dann KAV über diese Datei laufen lassen, es wurde aber nicht gefunden (KAV mit heutigem Update). Spybot findet auch nichts.

Habe dann nach dieser "logon.exe" gegooglet, aber nichts genaues gefunden, außer daß es sich evtl. um den "Troj/Golon-A" handeln könnte. Aber dieser ist ja schon älter und dann müßte ihn KAV doch erkennen, oder? Im Taskmanager läuft diese "logon.exe", aber auch eine "winlogon.exe". Kann diese "winlogon.exe" mit der "logon.exe" zu tun haben, oder gehört diese zu xp? *verwirrtbin*.

Hoffe, daß klingt jetzt alles nicht zu konfus, aber ich weiß nun gar nicht, was ich machen soll. Habe ich mir da jetzt was eingefangen oder nicht? *grübel* Diese "logon.exe" kommt mir jedenfalls merkwürdig vor.

Viele liebe Grüße
Nici

P.S.: BS ist XP Home

Hallo nici,
poste bitte ein Log mit HijackThis.

Hallo und danke Haui, hier isses:

Logfile of HijackThis v1.98.2
Scan saved at 22:28:07, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\logon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\AvpM.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\IncrediMail\bin\IncMail.exe
D:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\Nici\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\AvpM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: concept/design's onlineTV - {3EC38D54-07BF-493A-B341-A989CD0C34B2} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095717914485
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC5FF285-6D20-45D9-A436-B381E3A191B3}: NameServer = 213.191.92.87 213.191.74.18

Lieben Gruß
nici

Sende die Datei C:\WINDOWS\logon.exe an partytime-germany.ice@web.de

Leere deine Temp. Internet Files und deinen Temp-Ordner.

Anschließend lösche die Datei C:\WINDOWS\logon.exe im abgesicherten Modus.

Fixe mit HijackThis dies:

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab

@Christian

hab lieben Dank! Sende Dir die Datei gleich zu. Soll ich sie gezippt oder einfach so schicken?

Lieben Gruß
Nici

Gezippt und mit Passwort geschützt bitte.

Danke!

@Christian

Okay, geht gleich raus! Und danach mach ich mich ans Löschen und fixen.

Herzlichen Dank nochmal für die schnelle und nette Hilfe!

Lieben Gruß
Nici

Soo, Mail ist gestern noch raus. Die Temp. Internet Files und Temp Ordner sind geleert, die "logon.exe" gelöscht und die drei Einträge in Hijack This gefixt.

Hier ein neues Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:01:40, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\IncrediMail\bin\IncMail.exe
D:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\Nici\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\AvpM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: concept/design's onlineTV - {3EC38D54-07BF-493A-B341-A989CD0C34B2} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095717914485
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC5FF285-6D20-45D9-A436-B381E3A191B3}: NameServer = 213.191.92.87 213.191.74.18


Eben habe ich dann nochmal KAV komplett durchlaufen lassen und folgendes hat er gefunden und gelöscht:

C:\WINDOWS\wsem302.dll Infiziert TrojanDownloader.Win32.Dyfuca.dc

C:\WINDOWS\Downloaded Program Files\ABoxInst.exe Infiziert TrojanDownloader.Win32.VB.ff

Können die was mit der "logon.exe" zu tun haben? Aber wahrscheinlich wohl eher weniger, denn sonst hätte KAV ja auch bei der "logon.exe" gemeckert...

Liebe Grüße
nici

@nici
dein log schaut sauber aus.
hoffentlich hast du die 2 dateien gesichert, als beweismittel
http://www.sophos.de/virusinfo/analy...aldyfucaa.html
wahrscheinlich gehört der zweite zu diese familie
http://www.pestpatrol.com/pestinfo/t...r_win32_vb.asp
chaosman

@chaosman

danke dir

...nein, gesichert habe ich die beiden Dateien nicht...

Lieben Gruß
nici