Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ebay-Rechnung.pdf.exe (https://www.trojaner-board.de/21684-ebay-rechnung-pdf-exe.html)

Shadowfax 11.09.2005 15:55
Ebay-Rechnung.pdf.exe
 
Hallo,

heute erhielt ich eine Mail von Ebay wegen Gebühren, die angeblich noch nicht bezahlt seien und, dass ich dies mit der angehängten Rechnung begleichen solle.

Dumm wie ich bin, hab ich versehentlich die angehängte Datei geöffnet, bevor ich daran dachte, dass es sich nicht um eine pdf, sondern um eine exe Datei handelte.

Wie kann ich feststellen, ob besagte Datei evtl. einen Trojaner enthielt, bzw. was sollte ich nun tun, damit keine Daten an unberechtigte Dritte gelangen können. (ich denke da bspw. insbesondere an Kontodaten, da ich auch OnlineBanking nutze).

Das Ebay Passwort hab ich schonmal geändert, man kann ja nie wissen.

Hab leider keine Ahnung wie ich nun vorgehen soll.

Gruß

Haui45 11.09.2005 16:08
Hallo,

ein erster Anfang wäre sicher, wenn wir herausfinden könnten, um welchen Schädling es sich handelt.

Überprüfe die Datei bitte mal online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Zitat:
bzw. was sollte ich nun tun, damit keine Daten an unberechtigte Dritte gelangen können. (ich denke da bspw. insbesondere an Kontodaten, da ich auch OnlineBanking nutze).
Zunächstz solltest du das betroffene System herunterfahren oder durch Ziehen des Netzwerkkabels vom Internet trennen. D.h. wenn du einen Zweitrechner zur Verfügung hast, solltest du diesen zum posten etc. verwenden.

Shadowfax 11.09.2005 16:13
Also bei dem Test, erscheint bei Status:


"OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) "


Ansonsten wurde nichts gefunden.

Haui45 11.09.2005 16:17
Überprüfe die Datei noch online bei http://www.virustotal.com und poste das Ergebnis.
Schicke die Datei außerdem gepackt und mit Passwort versehen an newvirus[at]kaspersky.com (das [at] durch @ ersetzen). Warte die Antwort ab.



Poste außerdem ein HijackThis-Logfile.

Shadowfax 11.09.2005 16:24
Gepackt und mit PW? Wie kann die Datei dann überprüft werden? Soll ich da sonst noch irgendwas reinschreiben oder einfach nur schicken?


Die andere Seite brachte auch keine Viren hervor.



Die File:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:23:36, on 11.9.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FRITZ!\FriWeb32.exe
D:\Daten\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8272411-AB60-4E13-B52E-D02415AD50A9}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

Haui45 11.09.2005 16:25
Das Passwort musst du mitschicken ;)
Du kannst natürlich einen kurzen Text dazuschreiben, vorzugsweise auf auf Englisch.

Kannst evtl. die Code-Tags entfernen, das macht das Auswerten um einiges leichter. Danke! :)

Haui45 11.09.2005 16:33
Das Log schaut sauber aus. Das heißt allerdings nicht, dass es das System auch ist. Ich würde zunächst die Antwort von Kaspersky abwarten.

Shadowfax 11.09.2005 16:58
Ok,
hab ich mal hingeschickt.

Shadowfax 11.09.2005 17:36
Hmm, er sagt, dass die Datei nix macht.

Trotzdem mysteriös das ganze. Ich wüsste nicht, warum Ebay so komische Dateien verschicken sollte, aber wenn es tatsächlich nix gemacht hat, bin ich ja zufrieden.

Danke für die Hilfe schonmal! :daumenhoc

Haui45 11.09.2005 19:14
Wie lautet denn die genaue Antwort von Kaspersky?

Shadowfax 11.09.2005 19:26
"Hello, this file does nothing. Now just delete it. "

Haui45 11.09.2005 19:30
Zitat:
Zitat von Shadowfax
"Hello, this file does nothing. Now just delete it. "
Dann würde ich mal sagen: "Glück gehabt!"
In Zukunft solltest du aber besser auf deinen nervösen Zeigefinger aufpassen. ;)

greenglow 11.09.2005 19:47
Vielleicht wollte da einer nen Virus programmieren, hat aber zu früh auf "Absenden" geklickt. Denn komisch ist das ganze schon. Oder es soll sowas wie ein realitätsnahster Hoax sein...

Shadowfax 11.09.2005 20:03
Zitat:
Zitat von Haui45
Dann würde ich mal sagen: "Glück gehabt!"
In Zukunft solltest du aber besser auf deinen nervösen Zeigefinger aufpassen. ;)
Da is was dran.

Allerdings wundert es mich ja, dass die Mail überhaupt in mein Thunderbird durchgekommen ist. Normalerweise lässt web.de ja nur die E-Mails durch, die man auch wirklich authorisiert hat. Deswegen ging ich auch zunächst davon aus, dass die Mail von Ebay kommt...

Lutz 12.09.2005 16:54
Hi Shadowfax,

auch wenn mir noch keine endgültige Analyse unter die Finger gekommen ist, solltest Du folgendes besser im Auge behalten:
-> http://www.trojaner-board.de/showthread.php?t=21740


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:30 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19