|
Beunruhigt wg. Trojaner-Fund: hijackthis-Log Hallo nach langer Zeit habe ich auf meinem XP-Rechner mal wieder den Luke Filewalker (AntiVir) angeschmissen (zuvor natürlich aktualisiert). Er hat mich auf einen Fund aufmerksam gemacht, der mich etwas beunruhigt: TR/Dldr.iBill.Y wurde gefunden. Nach einigen Minuten im Google konnte ich nachlesen, dass dies ein Trojaner ist und als Rechnung über 50€ von single.de getarnt war. Ich erinnere mich, diese Mail bekommen zu haben. Wunderte mich jedoch so, dass ich an single.de eine Mail schrieb (die leider unbeantwortet blieb). Ob ich den Anhang damals geöffnet habe, weiß ich nicht. daher poste ich mein HiJackThis Logfile und bitte um Kontrolle. Bereits besten Dank.... Logfile of HijackThis v1.99.1 Scan saved at 17:20:35, on 08.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\Java\jre1.6.0\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\MoneyBar\moneybar.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\CC-Bar\cashcrawler.exe C:\Programme\CSpace\CSpace.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.ex e C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: MoneyBar.LNK = C:\Programme\MoneyBar\moneybar.exe O4 - Global Startup: CC-Bar.lnk = C:\Programme\CC-Bar\cashcrawler.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo, ich nehme mal an, "moneybar", "cashcrawler" und "cspace" sind dir bekannt und von dir gewollt. Davon abgesehen, ist dein Logfile meiner Meinung nach unauffällig. Ein Java-Update ist allerdings fällig. Zu dem Fund von Avira: In welchem Pfad soll der Trojaner sein? |
Hallo und Dank für die Antwort, "moneybar", "cashcrawler" und "cspace" sind bekannt und gewollt. Wie kann ich Java aktualisieren? Bisher ging das immer "vollautomatisch" :) Bin etwas erleichtert, wenn sonst alles i.O. ist. Dennoch hier der Avira - Report zu den entsprechenden Stellen. Mein Email-Programm ist Mozilla Thunderbird. Die Email lässt sich jedoch nicht mehr finden...???? Ist da was faul? Die habe ich gelöscht (dann wird sie ja in den Papierkorb geworfen) und den Papierkorb geleert. Sollte also weg sein, oder gibt es da noch Reste? Gruß, bierbauch C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\Local Folders\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Message-ID: <8BFC1266.3944525@iwon.com>][From: Rechnung Singel.de <gebuehrenzentrale862@single][Subject: Klubmitgliedschaft Single.de]10790.mim [1] Archivtyp: MIME --> 63039.zip [FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Worm.Gen-Virus [2] Archivtyp: ZIP --> Rechnung-singel.de.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.Y [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\Local Folders\Trash [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Message-ID: <8BFC1266.3944525@iwon.com>][From: Rechnung Singel.de <gebuehrenzentrale862@single][Subject: Klubmitgliedschaft Single.de]5788.mim [1] Archivtyp: MIME --> 63039.zip [FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Worm.Gen-Virus [2] Archivtyp: ZIP --> Rechnung-singel.de.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.Y [WARNUNG] Die Datei wurde ignoriert. |
Hallo, warum sollte die E-Mail zu finden sein, wenn du sie gelöscht und den Papierkorb geleert hast? Was Avira gemeldet hat, war die E-Mail in der Inbox bzw. im Papierkorb. Wenn du den Anhang nicht geöffnet hast, hat er dein System auch nicht infiziert. Da du nicht sicher bist, ob du ihn geöffnet hast, lässt sich ohne Weiteres nicht sagen, ob dein Rechner sauber ist. Um ganz sicher zu gehen, kannst du gern einen eScan machen und die Ergebnisse der find.bat posten. Dazu gibt es eine ausführliche Anleitung in den FAQ. |
@Franz1968 Ich habe keine Ahnung, warum die Email nicht so gelöscht ist, wie ich es gerne hätte. Vielleicht trägt Thunderbird 2.0 irgendwo noch eine Kopie mit sich rum???? Ich wollte mich beruhigen und habe nach der Anleitung einen eScan gemacht. Das Ergebnis ist leider alles anderes als beruhigend, aber seht selbst. Gibt es eine einfacherere Lösung als XP neu zu installieren? Ich sehe nur, dass die Viren im Dateisystem gefunden wurden, aber ob sie aktiv sind, kann ich da so nicht erkennen, oder? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.1 Sprache: German Virus-Datenbank Datum: 9/9/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. System found infected with cws Browser Hijacker (web.exe)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\pop3.web.de\components.sbd\talkback.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\h8p1e9cy.default\Mail\pop3.web.de\uninstall.sbd\UninstallThunderbird.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\***\09_Sicherungen\Outlook - Backup\backup.pst//Persönliche Ordner/Posteingang/28 Nov 2001 17:37 from ***:Re:/news_doc.DOC.scr infiziert von "Email-Worm.Win32.BadtransII" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\***\09_Sicherungen\Outlook - Backup\Posteingang.pst//Persönliche Ordner/Posteingang/28 Nov 2001 17:37 from ***:Re:/news_doc.DOC.scr infiziert von "Email-Worm.Win32.BadtransII" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\***\***\Thunderbird-Account\components.sbd\talkback.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\***\***\Thunderbird-Account\uninstall.sbd\UninstallThunderbird.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Programme\CSpace\CSpace.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei C:\Programme\CSpace\CSpaceVNCClient.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei C:\Programme\CSpace\CSpaceVNCServer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei C:\Programme\CSpace\CSpaceVNCViewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei C:\Programme\CSpace\CSpaceWinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei C:\Programme\CSpace\VNCHooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll Offending file found: C:\Dokumente und Einstellungen\***\Desktop\treiber mustek scanner\web.exe\web.exe Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 134409 Gefundene Viren: 18 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 69 Dauer des Scans bisher: 01:14:53 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:48:59,95 Batchende: 21:49:11,06 |
Hallo, das Problem besteht weiterhin, kann mir vielleicht jemand helfen? Wäre sehr nett :) Danke, Gruß Bierbauch |
Hi, wenn man in Thunderbird eine Email löscht, wird sie nur als nicht mehr vorhanden markiert, ist aber in der Mailboxdatei noch vorhanden. Das ist mehr ein Schönheitsfehler, standardmäßig scannt Antivir sowieso keine Mailboxdateien, da es dort auch nicht löschen könnte (dann wären alle Mails gelöscht). Man kann die Meldungen einfach ignorieren. Oder: Nach dem löschen den Papierkorb leeren (den in Thunderbird), Menü Datei -> Alle Ordner des Kontos komprimieren. Außerdem stecken noch in D:\***\09_Sicherungen\Outlook - Backup zwei an Mails angehängte Würmer, der Rest dessen, was Escan gemeldet hast ist mal wieder Beweise dafür, dass Escan nichts taugt. Gruß, Karl |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board