Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe!!! Schon wieder infiziert??? (https://www.trojaner-board.de/9975-hilfe-schon-infiziert.html)

leni 23.11.2004 13:14
Hilfe!!! Schon wieder infiziert???
 
Hallo!
Seit Tagen werden wir mit Mail von Fremden beschossen! Wie es scheint, haben wir uns da was eingefangen, denn wir haben auch unwillkürlich Mails versendet!
Wer kann mir wie helfen?
Liebe Grüße
Leni:heulen:

Yopie 23.11.2004 13:22
Erstmal: Tief durchatmen, keine Panik! :)

Zitat:
Zitat von leni
Hallo! Seit Tagen werden wir mit Mail von Fremden beschossen!
Ja, es gehen zur Zeit einige Mailwürmer ru.
Zitat:
Zitat von leni
Wie es scheint, haben wir uns da was eingefangen, denn wir haben auch unwillkürlich Mails versendet!
Woher weißt Du das? Diese Würmer fälschen die Absendeadresse. Kann so ein Wurm sich nicht zum "richtigen" Empfänger verschicke, bekommst Du die Nachricht darüber, ohne einen Wurm auf dem Rechner zu haben.

Ein Scan mit einem aktuellen AV-Programm kann natürlich nicht schaden.

Gruß :daumenhoc
Yopie

charlie1 23.11.2004 13:24
Ja, ein wenig dünn die Info, hört sich nach einem Mail-Worm an, poste mal ein HJT.
Liebe Grüße, Charlie

Nachtrag; da war wer schneller!

leni 23.11.2004 14:13
Danke erst einmal. Aber ich benötige ine Schritt-für-Schritt-Erklärung, da ich nicht so fit bin am PC.
Warum ich glaube, dass wir Mails versenden? Mein Mann hat im Büro eine Mail erhalten, die einen Verteiler hat, der ein Bekannter von uns ist und uns manchmal Mails sendet. Es war ja nur ´ne Vermutung.
Wie gehe ich jetzt vor?
Gruß und Danke
LENI

Haui45 23.11.2004 15:01
HijackThis Logfile erstellen und ins Forum kopieren.
eScan im abgesicherten Modus laufen lassen und posten was gefunden wurde (falls was gefunden wird).

leni 24.11.2004 10:22
und jetzt????



Logfile of HijackThis v1.97.7

Scan saved at 19:14:18, on 23.11.2004

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\STARTER.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PQSC\PROGRAM\SCTRAY.EXE

C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE

C:\WINDOWS\DIT.EXE

C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE

C:\PROGRAMME\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\SCTRAY.EXE

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [dit] dit.exe

O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"

O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Mobilen Favoriten erstellen (HKLM)

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)

O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .scr: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/sa/commo.../bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/nav/comm...in/avsniff.cab

O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...852.0579050926

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

chaosman 24.11.2004 12:51
@leni
bitte den aktuellen version http://www.hijackthis.de/
und nach möglichkeit ein freundlichere schriftart wählen ;)
chaosman

leni 24.11.2004 14:08
download hat funktioniert. Aber sie öffne ich die zip-datei?????

leni 24.11.2004 14:23
Also DOCH! Ich habe niemals eine Mail dorthin versendet!

Ich habe gerade folgende Mail erhalten. Wie lösche ich den Virus????


VIRUS ALERT

Our virus checker found
virus: W32/Netsky.p@MM
in your email to the following recipient:
-> m1.hotline@compugroup.com

Delivery of the email was stopped!

Please check your system for viruses,
or ask your system administrator to do so.

For your reference, here are headers from your email:
------------------------- BEGIN HEADERS -----------------------------
Received: from compugroup.com (p508DC22F.dip0.t-ipconnect.de [80.141.194.47])
by SMXKO1.compugroup.com (Postfix on SuSE Linux 8.0 (i386)) with ESMTP id 94DB262AED
for <m1.hotline@compugroup.com>; Tue, 23 Nov 2004 11:00:54 +0100 (CET)
From: birgit.chulek@web.de
To: m1.hotline@compugroup.com
Subject:
Date: Tue, 23 Nov 2004 10:51:14 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20041123100054.94DB262AED@SMXKO1.compugroup.com>
-------------------------- END HEADERS ------------------------------



Received: from compugroup.com (p508DC22F.dip0.t-ipconnect.de [80.141.194.47])
by SMXKO1.compugroup.com (Postfix on SuSE Linux 8.0 (i386)) with ESMTP id 94DB262AED
for <m1.hotline@compugroup.com>; Tue, 23 Nov 2004 11:00:54 +0100 (CET)
From: birgit.chulek@web.de
To: m1.hotline@compugroup.com
Subject:
Date: Tue, 23 Nov 2004 10:51:14 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20041123100054.94DB262AED@SMXKO1.compugroup.com>

Yopie 24.11.2004 14:27
Über welchen Provider gehst Du ins Netz?

Nachtrag: Lass mal Stinger drüberlaufen, der sollte Netsky erkennen.

Gruß :daumenhoc
Yopie

leni 24.11.2004 20:18
Ich gehe über BERGNET ins Internet.

Sorry für die doppelte Frage!
Wie gehe ich jetzt mit der zip-datei weiter?
gruß
leni

Yopie 24.11.2004 21:06
Die Zip-Datei entpackst Du mit einem Zip-Programm wie z.B. 7-Zip http://www.7-zip.org/ oder Winzip http://www.winzip.de/

Dann die enthaltene Exe in einen neuen Ordner entpacken und ausführen.

Stinger kannst Du so laufen lassen. Eine Infektion würde Dir angezeigt.

Bzgl. des Providers kann ich Dir leider noch keine Entwarnung geben. Der Wurm wurde imho von einem T-DSL-Anschluß versandt (IP 80.141.194.47) , und den habt ihr ja auch bei Bergnet.

Lass am besten den Stinger laufen, dann hast Du Gewissheit.

Gruß :daumenhoc
Yopie

leni 24.11.2004 21:56
was würde stinger melden? das?

cAfee AVERT Stinger Version 2.4.5.1 built on Nov 19 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Nov 19 2004.

Ready to scan for 45 viruses, trojans and variants.



Scan initiated on Wed Nov 24 20:37:25 2004

Number of clean files: 97999

leni 24.11.2004 22:18
hier noch die meldung von hijack:

Logfile of HijackThis v1.98.2

Scan saved at 22:26:30, on 24.11.2004

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE

C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\STARTER.EXE

C:\PQSC\PROGRAM\SCTRAY.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE

C:\WINDOWS\DIT.EXE

C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE

C:\PROGRAMME\WINZIP\WZQKPICK.EXE

C:\PROGRAMME\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\SCTRAY.EXE

O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET

O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [dit] dit.exe

O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"

O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL

O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .scr: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/sa/commo.../bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/nav/comm...in/avsniff.cab

O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Yopie 24.11.2004 22:21
Eine evtl. Infektion mit Netsky.P hätte Dir Stinger gemeldet:

Das hätte dann so ähnlich wie hier ausgesehen:

C:\Dokumente und Einstellungen\Yopie\Anwendungsdaten\Mozilla\Profiles\default\oecggqbn.slt\Mail\Local Folders\Ablage.sbd\Malware.sbd\Netsky.P\message.scr
Found the W32/Netsky.p@MM virus !!!

Wenn keine solche Meldung kam, dann kannst Du eine Infektion mit Netsky und den anderen Würmern, die Stinger erkennt, auf Deinem Rechner ausschließen. :)

ACHTUNG: Stinger löscht in der Default-Einstellung sofort. Mir hat er dabei einige Mailordner meiner "Wurmfarm" in die ewigen Jagdgründe geschickt. Naja, selbst schuld.... :D

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19