trojaner in 1und1 rechnung? Einstellungen

[Frakster]

hi
hab heute diese mail von 1und1 bekommen:

Received: from [213.156.55.214] (helo=static.out.messinaline.it)
by mx25.web.de with esmtp (WEB.DE 4.107 #114)
id 1H3Lrz-0001KJ-00
for mich; Sun, 07 Jan 2007 01:26:39 +0100
Received: from dipalma (dipalma [172.19.0.7])
by dipalma (8.12.8p1/8.12.8) with ESMTP id i505B5AFB8B31C
for <mich>; Sun, 7 Jan 2007 02:26:37 +0100
(envelope-from info@1und1.de)
Date: Sun, 7 Jan 2007 02:26:37 +0100
From: 1&1 <info@1und1.de>
Reply-To: 1&1 <info@1und1.de>
X-Priority: 3 (Normal)
Message-ID: <052640089.20070107012637@1und1.de>
To: mich
Subject: 1&1 Internet AG - Ihre Rechnung 34932845
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------FA9E3368AF4874B"
Sender: info@1und1.de

Sehr geehrter 1&1 Kunde,

anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.

Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung finden Sie als Anhang im PDF-EXE-Format. Zum Lesen und Ausdrucken benötigen Sie kein zusätzliches Programm!

Fragen zu Ihrer Rechnung beantwortet Ihnen gerne unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
Übrigens: Wir haben unsere Servicezeiten für Sie erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.

Mit freundlichen Grüßen

Ihr 1&1 WebHosting-Team

[Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender. Falls Sie Fragen an den 1&1 Support haben, verwenden Sie bitte das Kontaktformular unter www.1und1.de/cc ]


im anhang war die datei "Rechnung.pdf.exe"
hat mich erstmal gewundert weil ich kein 1und1-kunde bin, nie war und auch nicht vorhab es zu werden.
leider hab ich den anhang doch geöffnet.
da hat sich dann die "adsmsextf.exe" bei mir eingenistet.
Antivir hat da gar nix gefunden, bei AVG steht das auf diese exe nicht zugegriffen werden kann.
im systemstart steht das ding 3 mal drin, habs deaktiviert aber nach nem neustart sind 2 davon wieder aktiviert und es wird auch 2mal gestartet (hab die über taskmanager wieder ausgemacht).
in meiner firewall hab ich das ding erstmal geblockt.

hab dann hijackthis durchlaufen lassen. hier der log:

C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Download\HijackThis.exe
C:\WINDOWS\system32\WgaTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F3 - REG:win.ini: load=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

in der auswertung auf der hijackthis-homepage steht bei der "adsmsextf.exe" nur "unbekanntes Programm" oder so ähnlich.


ich werd jetzt nochmal killbox laufen lassen wie hier im thread empfohlen (http://board.protecus.de/t18796.htm), und alle temporären dateien löschen. dann mal schauen...

hat sonst noch jemand hinweise wie ich das ding ohne format c: wieder los werde
danke im voraus
frakster

[Voyager]

Die einzige Möglichkeit das loszuwerden ist den PC im abgesicherten Modus zu starten und diese adsmsextf.exe im System32 zu löschen. Dann muss die dazugehörige adsmsextf.pif und ipv6monl.exe (NICHT die ipv6mon.exe) noch gelöscht werden .
Anschliessend gleich noch im Hijackthis die Starteinträge [WinUpdate] zu löschen.
Ich hatte es schon in der virtuellen Maschine getestet, so funktioniert es.

Beim nächsten mal , ALLES aus einer zweifelhaften Email NIE anklicken !

Der Beitrag wurde von bond7 bearbeitet: 07.01.2007, 15:02

[Yopie]

hi
hab heute diese mail von 1und1 bekommen:

Received: from [213.156.55.214] (helo=static.out.messinaline.it)

Seit wann sitzt 1&1 in Italien? Die Mail ist nicht von 1&1!

im anhang war die datei "Rechnung.pdf.exe"
hat mich erstmal gewundert weil ich kein 1und1-kunde bin, nie war und auch nicht vorhab es zu werden.
leider hab ich den anhang doch geöffnet.

Warum? Und warum machst du sowas als Administrator?
Klarer als mit "pdf.exe" kann man einen Wurm/Virus doch wohl kaum kennzeichnen?

Hinweise zum Entfernen hat bond7 schon gegeben; ich persönlich würde aber ein sauberes Image wieder einspielen oder neu aufsetzen.

Siehe auch http://www.heise.de/newsticker/meldung/83295

Der Beitrag wurde von Yopie bearbeitet: 07.01.2007, 15:06

[Chaos64]

Hinweise zum Entfernen hat bond7 schon gegeben; ich persönlich würde aber ein sauberes Image wieder einspielen oder neu aufsetzen.

Richtig, umd beim nächsten öffnen einer eMail erst prüfen ob das seine richtigkeit hat.( zB anrufen beim Provider)
Rechnung von 1&1 über eMail kommt mir bei T-Online nicht in die Tüte.


Die beste Lösung ist halt Formatieren.

[Frakster]

hab meinen teil draus gelernt, die *.pdf.exe ist mir vorher noch nie untergekommen deswegen hab ich auch keinen großen verdacht geschöpft.

also ich hab die "adsmsextf.exe" mit killbox gelöscht, anschließend die rregistry-einträge mit nem reg-cleaner entfernt.
die registry ist jetzt sauber und auf dem rechner ist das ding auch nich mehr zu finden.

hier der neue hijackthislog:

Logfile of HijackThis v1.99.1
Scan saved at 15:23:19, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1518A9BF-0C1A-46C1-A388-7C7F7FE834C8}: NameServer = 139.30.8.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-rostock.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-rostock.de
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


@bond:
die beiden dateien adsmsextf.pif und ipv6monl.exe find ich im system32-ordner nicht (im normalen wie im abgesicherten modus... ich denk mal die sind nicht vorhanden)

@Yopie:
hab den artikel nicht gekannt vorher, sonst wär das anders gelaufen.


danke allen für die schnelle hilfe, ich hoffe mal das jetzt wieder alles in ordnung ist bei mir.
mfg
frakster

[Yopie]

Rechnung von 1&1 über eMail

Ich glaube, ich bekomme die immer per Mail. Von 1&1, meine ich.

hab den artikel nicht gekannt vorher, sonst wär das anders gelaufen.

Auch ohne den Artikel sollst du keine angeblichen Rechnungen anklicken, die als Endung nicht PDF haben! Und, wie gesagt, als Admin arbeiten ist böse! Naja, aber ich denke, du hasts nun begriffen.

(Heute morgen fragte ich mich noch, ob diese Masche tatsächlich immer noch zieht. )

[Voyager]

@Yopie

Du vergisst das der Explorer im Defaultmode bekannte Dateiendungen ausblendet von daher erscheint der Anhang als Rechnung.pdf , das .exe blendet der Explorer aus. Die User merken das Mißgeschick erst wenn es zu spät ist und der Trojaner nur eine simple Fehlermeldung zur Täuschung einblendet.

[Yopie]

@Yopie

Du vergisst das der Explorer im Defaultmode bekannte Dateiendungen ausblendet von daher erscheint der Anhang als Rechnung.pdf , das .exe blendet der Explorer aus. Die User merken das Mißgeschick erst wenn es zu spät ist und der Trojaner nur eine simple Fehlermeldung zur Täuschung einblendet.

Ach ja, das ist ja diese grenzdebile Standardeinstellung bei Windows (wie sieht das bei Vista aus?). Sind denn davon dann auch Non-MS-Mailprogramme betroffen? Ich weiß allerdings nicht, welches Prog Frakster nutzt.

[Voyager]

Dummerweise blockiert Outlook Express (in der Defaulteinstellung) EXE Anhänge , der Anhang war hier eingegraut und ich musste erst die Einstellungen ändern um die Rechnung auf HD kopieren zu können. Ich frage mich wie andere User das schaffen konnten das Ding trotzdem anzuklicken ?

Vll erleuchtet mich Frakster wie er das geschafft hat .

[Frakster]

zu meiner schande muss ich zugeben das ich die datei mit endung "*.pdf.exe" gesehen habe. ich benutz kein outlook oder ähnliche programme, sondern bin direkt über web.de in die mail-box gegangen und bei web.de werden auch alle endungen angezeigt.
bin also offenen auges in mein verderben gerannt...
wird wohl nicht nochmal vorkommen ^^

[Yopie]

Mmmmh.... Tja.

Dann bringe ich noch einmal den dringenden Hinweis, in Zukunft nicht mehr als Admin zu arbeiten.

[Sasser]

Hi Frakster,
mal ne Frage bezogen auf Web.de, hatten die etwa die Mail unter Ordner "Unbekannt" oder Spam ?
Habe mit dem Web.de Center auch schon meine Erfahrung gesammelt, das leider trotz Spam und
Virenschutz solche Mails überhaupt noch gelistet werden anstatt Sie gleich zu löschen.

Antwort vom Support: Sie hätten derzeit Schwierigkeiten mit neuen Spam-Verteilern.
Für mich sieht es eher so aus, dass aufgrund zu hoher Werbetrommel ? zuviele Neukunden bearbeitet werden
und die Sicherheit dabei zweitrangig geworden ist.
Kann jemand diesen Verlauf bestätigen oder kennt Presseberichte in dieser Richtung ?
Vor 1Jahr sah das noch anders aus, meine mich zu entsinnen, das im Ordner Unbekannt niemals
Sex und oder Kaufaufforderungen landeten.

[Gast_Hänschen_*]

Hallo allemiteinander,

bei mir wurde der Anhang in der gefakten 1und1 Rechnung von einer Freundin ausgeführt, die online ihren Web.de Account gecheckt hat. Auf die freundliche Nachfrage von Opera, ob er dies wirklich tun sollte, klickte sie fröhlich "ja" . Was dann passiert ist, lässt sich nicht mehr sagen (ich stand ja leider nicht dabei ).

Allerdings war das im normalen Benutzermodus und ich habe den Computer seither nicht noch einmal neu hochgefahren.

Ich kenne mich leider mit Trojanerbefall so gut wie gar nicht aus. Meine Fragen an Euch: Ist es möglich, dass sich das Programm gar nicht installieren konnte. Wenn ja, wie finde ich das heraus? Kann ich noch etwas tun, bevor ich den Computer neu hochfahre.

Einen Hinweis auf die Datei adsmsextf.exe bietet mein hijack - logfile nicht.

Für eine Antwort von Euch wäre ich sehr dankbar! Vielen Dank schon mal
Hänschen

p.S.:
hier der log (bitte um Entschuldigung, wenn ich dies hier hätte nicht posten sollen):
Logfile of HijackThis v1.99.1
Scan saved at 17:09:08, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\rmnradio\ps_agent.exe
C:\Programme\rmnradio\ps_timer.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RMNAgent] C:\Programme\rmnradio\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\rmnradio\ps_timer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - d:\programme\lotus\organize\bandobjs.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1147873111265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1147873297875
O17 - HKLM\System\CCS\Services\Tcpip\..\{539D5D8E-7DB4-4D02-B066-011FAA3914C5}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[Voyager]

Im Log ist nichts , bist du sicher das Sie das nicht nur auf der Platte abgespeichert hatte ?

[Gast_Hänschen_*]

Hallo Bond7 (danke für die schnelle Antwort ),

nein, da bin ich mir nicht sicher; vielmehr das ist genau meine Hoffnung.

Die Freundin hat sicher das Teil gestartet. Dann aber eine Fehlermeldung bekommen, von der sie nicht mehr sagen konnte welche. Aus dem Operacache habe ich es inzwischen gelöscht und nur noch auf Diskette.

Wenn die Registry sauber ist, kann ich ja meinen Computer vielleicht einfach neu starten und dann noch einmal schauen?!

Vielen Dank für die Hilfe und Grüße
Hänschen

[Voyager]

Die gefälschte Fehlermeldung heisst "Acrobat Reader ERROR 31847" , dann ist es aber schon zu spät , das System ist infiziert !

Logfile of HijackThis v1.99.1
Scan saved at 17:49:50, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\VPCMap.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\adsldpr.exe
Y:\rechnung.pdf.exe
C:\WINDOWS\system32\adsldpp.exe
C:\Dokumente und Einstellungen\Jens\Desktop\rechnung.pdf.exe
C:\WINDOWS\system32\accessd.exe
C:\Dokumente und Einstellungen\Jens\Desktop\rechnung.pdf.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\apcupsf.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis! 1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {23314D99-1240-4d4f-A25C-17E44823D048} - C:\WINDOWS\system32\ipv6monl.dll
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

Das zeigt einen Auszug eines systemes aus der Virtuellen Maschine an , adsldpr.exe adsldpp.exe accessd.exe apcupsf.exe ipv6monl.dll sind Infektionen aus ein und derselben pdf.exe.
Irgendwie hatte ich das aber zu Oft angeklickt , nuja in der VM darf man klickern bis zum Abwinken

@raman
der BHO ist wieder mit dabei.

[Chaos64]

1&1 warnt Kunden vor gefälschten Rechnungen :

Achtung an alle 1&1 Kunden !!!

Für einige wohl zu spät, für andere gerade noch rechtzeitig

Der Beitrag wurde von Chaos64 bearbeitet: 07.01.2007, 18:12

[Gast_Hänschen_*]

Nochmals Danke für die schnelle Antwort,
das müsste doch dann heißen, dass mein System doch nicht korrumpiert ist und die Freundin eine andere Fehlermeldung bekommen hat. Mein Logfile hat ja die entsprechenden Einträge nicht und die genannten Dateien sind auch nicht auf der Platte (aber wie gesagt, ich habe das System seither nicht neu hochgefahren).

Habe ich das richtig verstanden - sorry, wenn ich etwas dumm frage?!
Grüße und Dank
Hänschen

[Voyager]

Soweit der Starteintrag O4 - HKCU\..\Run: [WinUpdate] ...fehlt hatte es dein system scheinbar doch nicht erwischt, ich weiss es aber nicht warum.

@Chaos64
Meinste mich ? Ich darf das Zeug anklicken, ich habn Darfschein .

Der Beitrag wurde von bond7 bearbeitet: 07.01.2007, 18:34

[Yopie]

Soweit der Starteintrag O4 - HKCU\..\Run: [WinUpdate] ...fehlt hatte es dein system scheinbar doch nicht erwischt, ich weiss es aber nicht warum.

Vielleicht meint

Allerdings war das im normalen Benutzermodus und ich habe den Computer seither nicht noch einmal neu hochgefahren.

einen eingeschränkten Benutzer? So hab ichs jedenfalls verstanden.

[Gast_Hänschen_*]

Ja, genau, ich laufe im eingeschränkten Benutzermodus, und das war die Frage, ob ich damit jetzt Schwein gehabt habe und weiter machen kann wie bisher... Bzw. vor einer eventuellen abschließenden Installation des Schädlings beim nächsten Start noch irgendetwas dagegen tun kann.

Tut mir echt leid, dass ich hier so ahnungslos frage...

Vielleicht hat mir der _eingeschränkte_ Benutzermodus doch ein Paar Stunden Arbeit gerettet.

Vielen, vielen Dank für die Antworten , war schon arg verzweifelt
Grüße
Hänschen

p.S.: Bin ab kurz nach sieben weg und dann erst wieder gegen zehn da - nur damit ihr nicht denkt ich hätte mich mit meinem Compi vielleicht doch noch aus dem Fenster...

[Yopie]

Ich würde mal sagen, du hast Schwein gehabt. Bzw. dein Sicherheitskonzept hat gegriffen.

[Gast_Hänschen_*]

Puh, da wäre ich aber echt froh,
dann kann ich ja nachher den Computer einfach mal neu starten und das System dann noch einmal durch checken...
Grüße
Hänschen (und nochmals danke an Euch beide)

[Chaos64]

@Chaos64
Meinste mich ? Ich darf das Zeug anklicken, ich habn Darfschein .

Klares NEIN, aber den Threadersteller und alle anderen 1&1- Benutzer denen vielleicht auch noch so'ne Mail in's Fach flattert.
Ist mir klar das Du in ner VM alles anklicken und öffnen und was auch immer machen kannst

[Gast_Dylan_*]

Ich würde mal sagen, du hast Schwein gehabt. Bzw. dein Sicherheitskonzept hat gegriffen.

Auch ein eingeschränktes Benutzerkonto kann nich 100% der Malware abweisen,es gibt auch schon Rootkits die mit eingeschränkten Rechten lauffähig sind.
Zu meinem Sicherheitskonzept gehört jetzt nich unbedingt ein eingeschränktes Benutzerkonto,ich (persönlich) verwende hier NIS2007,Brain und ein gutes Imageprogramm.
Dennoch hat hier der wichtigtste Teil eines Konzeptes versagt ....

EDIT:
Brain und nicht Brian war gemeint.

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 20:19

[citro]

Ich habe die Mail gerade bekommen und vorher schon gewußt um was es sich da handelt.
WEB.de schlägt bei infizierten Anhängen mit seinem Virenscanner (McAffee ?) normalerweise Alarm -- diesmal nicht, obwohl die Mail über 17 Std. alt ist.

Habe sie mit meinem Mailprogramm geladen und ein Screenshot einfach mal zur Ansicht gemacht:




citro

edit: dann steht direkt in der Mail, dass es sich um einen Anhang im .pdf-exe Format handelt

Der Beitrag wurde von citro bearbeitet: 07.01.2007, 20:06

[Yopie]

Zu meinem Sicherheitskonzept gehört jetzt nich unbedingt ein eingeschränktes Benutzerkonto,ich (persönlich) verwende hier NIS2007,Brian und ein gutes Imageprogramm.
Dennoch hat hier der wichtigtste Teil eines Konzeptes versagt ....

Der Virenscanner?

Oder Brian? Prian? Jehova?

[Rios]

Hallo Citro,

Mc Afee hatte mir bei Web.de auch schon mal einen übersehen, dies erledigte aber dann Väterchen Frost. Der Vorgänger bei Web.de F-Secure, hatte seinen Job sehr gut gemacht.

[Gast_Dylan_*]

Oder Brian?

...schon gut,schon gut,Verschreiber.

Aber mit dem Wort Brian auch als Brain bekannt ( ) liegst du schon richtig.

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 20:21

[Frakster]

@ Sasser:
Web.de hat die mail bei mir in den Ordner "Unbekannt" verschoben, deswegen war ich wahrscheinlich auch etwas blauäugiger als sonst... im spam-ordner schau ich eh nie nach, der wird sofort gelöscht.

achja und der anhang wurde vom web.de-eigenen virenscanner (steht ja immer daneben ob die datei geprüft ist und was rauskam) nicht als virus erkannt...

Der Beitrag wurde von Frakster bearbeitet: 07.01.2007, 20:55

[Gast_Jens1962_*]

Ach ja, das ist ja diese grenzdebile Standardeinstellung bei Windows

Debile Windows-User
Trotz dieser Systemeinstellung zeigt Outlook die doppelte Dateiendung an, in der Standardeinstellung wird der Zugriff auf ausführbare Dateien geblockt. Andere Mailclienten beherrschen die Anzeige von doppelten Dateiendungen ebenfalls.
Wenn es die Datei dann doch geschafft hat, diese Hürden zu überwinden und im Explorer sichtbar zu werden: Wieso soll ein User davor zurückschrecken, diese Datei zu öffnen Er hat die pdf-Dateiendung ignoriert, die da gar nicht stehen dürfte, wieso sollte er nicht auf die exe drücken?

Gruß Jens

Der Beitrag wurde von Jens1962 bearbeitet: 07.01.2007, 22:38

[Gast_Hänschen_*]

Hallo, guten Morgen allerseits,

nach Neustart im Benutzer und im Administratorenmodus ist mein System wohl immer noch sauber (an dem HiJackThisLog hat sich nichts verändert). Da habe ich ja noch einmal Glück gehabt -

nochmals danke für Eure Beratung (Bond7, Yopie) - die hat mir diese Woche viel Zeit gespart
viele Grüße
Hänschen

[citro]

Pc-Welt meldet, es wäre ein Rootkit vom Goldun-/Haxdoor-Typ mit dabei.

KLICK

citro

[Voyager]

Ist es auch , der Rootkit ist allerdings nicht gänzlich unsichtbar
eetvpn.dll
eetvpn.sys
eexvpn.sys
Die eetvpn.sys ist nicht unsichtbar aber gesperrt und die eetvpn.dll wird übern Winlogon geladen und ist im Hijackthis auch noch sichtbar

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 18:06

[Sturmfalke]

hi, bin neu hier und bedanke mich für die nachsicht bei meinen blöden fragen.
ich hatte die mail und habe sie unter änderung der dateiendung gespeichert - als .pdf
Dann die .pdf geöffnet und nichts gefunden, dann alles gelöscht.
bin ich nun infiziert????
anbei - das habe ich mir hier angeschaut - ein sogenannter hijack-log...
kann jemand von euch was sehen?????
danke für eure hilfe!!!!!
_______________________________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 21:30:47, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\PROGRA~1\DeskView\DNAgent\DNAgent.Exe
C:\PROGRA~1\DeskView\DVAnPMan\DVAnPMan.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Apoint2K\Apntex.exe
C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\aspecta\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: DeskView Agent - Fujitsu Siemens Computers - C:\PROGRA~1\DeskView\DNAgent\DNAgent.Exe
O23 - Service: DeskView AnP Manager (DVAnPMan) - Fujitsu Siemens Computers - C:\PROGRA~1\DeskView\DVAnPMan\DVAnPMan.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
O23 - Service: DeskView MT Alerting Service (MTAlerting) - Fujitsu Siemens Computers - C:\PROGRA~1\DeskView\DVCC\MTALER~1.EXE
O23 - Service: Notebook Encrytion Service (NACSERVICE) - Mobile Security GmbH - C:\WINDOWS\NAC\nacservice.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

[Voyager]

Ist nichts bösaertiges zu erkennen im Log allerdings solltest du mal diese Dinge auf Echtheit prüfen
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll

ich bin mir nicht sicher aber ich glaube das gehört zu Symantec Client Security.

p.s.
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\RegSrvc.exe
Das sieht auch noch verdächtig aus, bitte prüfen um was es sich dabei handelt z.b. über die Dateieigenschaften -> Hersteller.

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 22:02

[citro]

Könnte das alles zu Intel gehören ?

Bis auf NavLogon.dll. --> Anmeldedienst-Dynamic Link Library von Norton (Symantec)

citro

[Sturmfalke]

danke für deine hilfe, abgesehen von dem was ich prüfen soll - trojaner zunächst auszu-
schließen??
wo und wie kann ich vorgehen, um die von dir genannten daten zu prüfen?

[Voyager]

@Citro
Das ist nicht von Norton , er hat SCS drauf.

@Sturmfalke
Du gehst mit deinem Dateiexplorer ins System32 Verzeichnis und machst ein Rechtsklick auf die Dateien , unter Version sollte ein Hersteller stehen z.b. Microsoft oder Intel ect... Wenn es nichts gibt lade die 3 Dateien einzeln bei http://virusscan.jotti.org/de/ hoch.

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 22:17

[Sturmfalke]

hab ich gemacht, scan ist OK, hersteller gibt es auch...
kann ich schon von entwarnung ausgehen???

[Voyager]

Wenn du alle aufgezählten 6 Dateien durch bist und bestimmt hast zu wem das gehört dann ja.

[Sturmfalke]

später kann nichts mehr passieren?

[Voyager]

Das liegt ganz bei dir wenn du in Zukunft dein System stichprobenartig selbst kontrollierst und auf Veränderungen überwachst , eine Vorgehensweise kennst du ja bereits

[dingdang]

Hallo!

Es ist zum "Koxxxx"
Habe fast 1 Woche lang erst vor 2 Tagen neu aufgerüstet und Komplett installiert.
und jetzt das...
Normalerweise bin ich ein vorsichtiger Mensch, aber diesmal hats mich erwischt.
Um Mitternacht um 2 Uhr morgens 07.01.2007 (im halbschlaf) hollte ich noch schnell meine Mails...dann öffnetete ich mehrmals die Datei------> Adobe error.
Zu meiner Pech. Ich habe Steganos Virus Definition vom 06.01.2007 hat leider nix gefunden.
Hätte ich bloß vorher entschieden welcher ich zusätzlich installieren soll. Antivir oder Kaspersky.
(Weil die beiden vertragen sich ja nicht)
Welcher ist nun besser?

Dann anschließend ging ich noch unter mein 1und1.kundenlogin...fand da nix.
während der Zeit habe ich mein MSN, Yahoo, ICQ auch noch an.

Kann mir vielleicht sagen, was genau geschied?
Hat der jetzt meine Passwörter, insbesonders mein 1und1 Account?

Die Frau an der Hotline von 1und1 meint ich sollte mein Kontoauszug genau beobachten,
da ich zuvor auch noch Homebanking gemacht habe....


Durch 100% Scannung der Steganos hat der jetzt "7 Viren" gefunden und ich sie jetzt gelöscht.

Leider kenne ich nicht nicht so gut aus:
Hier meine Hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 02:19:05, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Winamp\winampa.exe
C:\Programme\Analog Devices\SoundMAX\SMax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
E:\Steganos AntiVirus 2006\kavsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\dingdong\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] E:\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Steganos Personal Firewall 2006.lnk = E:\Steganos Personal Firewall 2006\KAVPF.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1167532175233
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/...ash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Steganos GmbH - E:\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe

Antivir habe ich erst hinterher installiert und mache gerade ne komplettcheck.


Am liebsten würde ich Windows neuinstalliere.
Meine Frage:
ich habe 4 gleiche Festplatten Seagate SATA2 250GB (ursprünglich wollte ich Raid 5, bis ich merkte dass
für ein Desktoprechner ungeeignet war).

Daher habe ich das Windowssystem 2 Festplatten als Raid 0. (mit C, E, F, G)
3. Festplatte (J) für meine Urlaubsfilme und Fotos die ich jetzt zum Glück von meinen Camcorder noch nicht auf Festplatte Konventiert habe.
4. Festplatte Backup.

Ich würde ganz gerne 1. Festplatte nicht formatieren um die alten Backups (E) die leider noch auf dem Raid 0 Platten sind auf Platte verschieben.

Kann, falls Viren vorhanden die Platte 3 bzw. 4. infizieren?
Wenn ja, dann bringt mir ja gar nix nur die Raid 0 zu formatieren?
Weil die Viren wieder die anderen Platten infiziert wird?

Alternative könnte ich noch alles auf eine 120GB extern schieben?


Vielen Dank für Euren Hilfe.

[Voyager]

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\a15h.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\a15h.exe

Beachte Reinigungsbeschreibungen ab Posting 2 in diesem Thema.

[tenniscrack]

Guten Morgen,
da ich 1und1 kunde bin und bei web.de meine mails aufrufe bin ich auch ion die falle getappt. allerding hae ich die datei direkt geöffnet ohne sie zu speichern. die von bond genannten dateien habe ich nicht finden koennen. aber wenn ich neu starte fragt mein fritz router protect ob er dieses programm ausführen darf.....ich breche diese funktion dann ab......
Meine Frage? wie kann ich diesen Startbefehl löschen ?
Bitte einfach antworten.......ich verstehe nicht viel von Befehlen....bin nur einfacher user.....
Bei den Antivirenprogrammen habe ich ncoh nichts gefunden....
gruss

[Voyager]

Ich schätze du hast die Rechnung Nummer 2 aktiviert , das ist der Rootkit. Da du selber sagst du bist mit dem PC ungeübt rate ich dir setze dein Windows neu auf, das wird für dich die einzig praktikable Lösung sein da eine Rootkitentfernung für dich doch zu kompliziert sein wird.

Du kannst es natürlich gern mit einem Rootkitentferner probieren, F-secure Blacklight soll in der c`t am besten abgeschnitten haben.
http://www.f-secure.com/blacklight/try_blacklight.html
Unten auf Accept klicken und dann den oberen Downloadbutton drücken. "Click the button/link to download Blacklight Beta (graphical user interface version)"

[Caimbeul]

Die Frau an der Hotline von 1und1 meint ich sollte mein Kontoauszug genau beobachten,
da ich zuvor auch noch Homebanking gemacht habe....

Lass im Zweifel immer sofort Deine Tan-Liste sperren und Dir eine neue zusenden. Sicher ist sicher. Auch die PIN würde ich ändern.

[Lucky]

Lass im Zweifel immer sofort Deine Tan-Liste sperren und Dir eine neue zusenden. Sicher ist sicher. Auch die PIN würde ich ändern.

Warum die TAN Liste sperren? Können die aus einer TAN die Liste berechnen? Also die PIN sehe ich ja ein, aber das mit der TAN wäre mir neu. Jedenfalls kenne ich das noch so das ich die auf Papier bekommen habe.

Lucky

[Gast_Dylan_*]

Habe fast 1 Woche lang erst vor 2 Tagen neu aufgerüstet und Komplett installiert.
und jetzt das...

Ich würde dir empfehlen ein Image Programm zu verwenden,so hätte dein System schon in wenigen Minuten wieder einsatzfähig sein können.

Hätte ich bloß vorher entschieden welcher ich zusätzlich installieren soll. Antivir oder Kaspersky.

Steganos verwendet Kaspersky Signaturen.

[DC01]

@Dylan


Aber ob die Signaturen soo schnell weitergeleitet wurden??


Kaspersky hat diese Datei ja schon sehr sehr früh erkannt...ich habe übrigens auch diese Meldung bekommen....und habe mal nur den proaktiven Schutz aktiviert der mich zum glück geschützt hat


Also insbesondre bei solchen Gerschichten bin ich doch froh immer noch ein halbwegs sicheres "letztes Schutzglied" zu haben

[Gast_Dylan_*]

@Dylan
Aber ob die Signaturen soo schnell weitergeleitet wurden??
Kaspersky hat diese Datei ja schon sehr sehr früh erkannt...

Kaspersky hat eine dieser vielen Dateien erkannt,es sind ja mittlerweile mehere im Umlauf.
Steganos reagiert aber schon noch etwas langsamer als Kaspersky.

[dingdang]

Hallo!

Vielen Dank für die Infos, aber ich denke ich werde gleich komplett neuinstallieren.
Habe die die Datei a15h.exe gefunden und gelöscht. Und unter log auch.

Nun kommst:
Wenn ich nach ne Datei suche dann kommt die Fehlermeldung:

Der Pfad unter C:......Eigene Datei kann nicht gefunden werden....kann sein dass der Pfad in ein Netzwerk
aus dem Internet bezieht....

Dann habe ich unter Sicherheit "Eigenen Dateien" das hier gefunden:
UNBEKANNTES KONTO (S-1-5-32-547) (Zugriff erlaubt für schreiben, löschen,...)
Habe gleich unter Abgesichertes Modus gelöscht.

Das kann nur schlechtes heißen oder???

Achja, das mit Homebanking. Ich habe nur angeschaut wieviel ich noch auf dem Konto hab.
Dann habe ich aber neugestartet gehabt, bevor ich die Datei öffnetete.
(war immer noch beim neueinrichten meines PCs).
Dann dürfte es nicht so schlimm gewesen sein oder?

Ich entscheide mich jetzt für Kaspersky.
Und Kairo Firewall zusätzlich zu meinen langsamen Steganos Security.
(Sicher ist sicher )

In Zukunft werde ich bestimmt keine Dateien mehr öffnen bevor ich es mit Antivirus geprüft habe
und bestimmt kein EXE-Datei mehr.

[Genrix]

Hallo alle zusammen!
Habe das gleiche Problem.
Mein Sohn hat dieses Ding geladen und geklickt. Dann kamen die Problemen.
Nach Aufspielung der Sicherheitskopie von Acronis TrueImage kamen keine Fehlermeldungen mehr. Aber die Kiste arbeitet irgendwie langsam und stötterisch.

F-Secure IS 2007 findet nichts. Bin ich noch infiziert?

Vielleicht kann mir jemand aus diesem hijack-log was sagen, wo kann das Problem liegen und auf was soll ich aufpassen? Welche komische sachen befinden sich noch auf meinem Rechner? (In meinem Task-Manager laufen ständig um die 40 Prozessen. Das ist doch nicht gut oder?)

Danke im voraus.

Logfile of HijackThis v1.99.1
Scan saved at 17:19:58, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Google\Google Talk\googletalk.exe
C:\Programme\eMule\emule.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\FSPC\fspc.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wikula.eu/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[dingdang]

Image Programm in wenige Minuten können?
Denke das was ich durchgemacht habe in den letzten 2 Wochen mit Aufrüsten....
dann kommt eine komplette Neuinstallation auch nicht mehr drauf an.

(Falsches Motherboard empfohlen (ASUS P5B unstützt nur extern Raid),
dann nicht umtauschbar angeblich Pin verbogen,---> neues Board geholt,
Grafikkarte ATI 1650 Pro unterstützt das Samsung TFT Pivot nicht,
Netzteil zu schwach---> neues.
zig Stunden mit Raid 5 herum gemacht zum schluss nix gebracht, dann das ständige
Anrufen beim Microsoft wegen Produktregistrierung und Fragen beantworten
(zu oft installiert-->glaube 4 Mal innerhalb kurzer Zeit)...und die ganzen Service updates....)),...

Weiss jemand schon ab wann das neue Vista für Studenten gibt?
Mein kleiner Bruder studiert Informatik in der 5.Semester.
Aber wenn ich ihn was aus der Praxis frage, dann hat er sogut wie keine Ahnung...
Fragt man sich was die so studieren???

Mein Bruder könnte Windows Vista für Multilizenz als Student holen.
Ich möchte nämlich nicht nach kurzer Zeit nochmal neuinstallieren...
Lohnt sich zu warten?

[Gast_rock_*]

@ genrix,

an deinem log ist keine aktive malware zu sehen...

was die vielen einträge im taskmanager bescherrt wird wohl zu 2/3 zu f-secure gehören...und ich kann mir nicht vorstellen das der rechner samt emule im autostart und der fetten f-secure i-security jemals "schnell" gelaufen ist...

normalerweise hätte dein mailschutz schon vor dem öffnen die datei löschen oder verschieben müssen....oder f-secure kennt ihn noch nicht...

räum den pc einfach mit dem ccleaner auf - dann sollte er wieder etwas speed bekommen...



Der Beitrag wurde von rock bearbeitet: 09.01.2007, 19:21

[derAndere]

Guden leute ihr könnte euch denken was mit meinem System nicht stimmt ^^
Also auf jedenfall hats mein System erwischt aber... jetzt kommt der große Hacken...

Ich finde keine der Genannten Datein... nirgends... weder die Rechnungs.pdf.exe noch adsmsextf.exe noch sonst irgendwelche Dateien die darauf hinweisen.
Mein avast! Antivirus blockt alle paar Minuten eine Datei die zugriff auf eine Internetseite durchführen...

WARNUNG NICHT AUF DIESE SEITEN GEHEN !!! VIRUSGEFAHR !!!
skyinet.info und will dort einen Programm ausführen, was jedoch verhindert Wird...

Er weisst enorme ähnlichkeiten mit dem Wurm der hier beschrieben wird auf:
http://www.antivirus-online.de/german/virusnews060801.php

Trat aber nach dem öffnen der Besagten pdf.exe ein...

Mein System lässt sich ohne Probleme Booten.
Ein neu aufsetzen ist vorerst nicht möglich sonst würde ich ja nicht hier schreiben sondern einfach plätten.
Ich muss das Ding irgendwie bereinigen.

Ich bin für jeden hilfe dankbar...


P.S.:

Mal ganz obligatorisch hier der HijackThis Scan

Logfile of HijackThis v1.99.1
Scan saved at 17:34:35, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Opera\Opera.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\mmc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\der Andere\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [StyleXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Der Beitrag wurde von derAndere bearbeitet: 09.01.2007, 21:06

[Voyager]

Fällt dir in deinem Log garnichts auf ?

C:\WINDOWS\regedit.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
Malware Fälschungen die dem unbedarften User (also dir) einen echten Prozess vorgaukeln sollen

O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
Das ist der Rootkit aus der rechnung.pdf.exe

O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
Das ist ebenfalls höchstverdächtig und sollte dringend geprüft werden

p.s. Rot Schreiben ist nur den Moderatoren vorbehalten.

Der Beitrag wurde von bond7 bearbeitet: 09.01.2007, 20:46

[Genrix]

@rock

Danke viel mals!
Habe f-secure runter gemacht und schirm installiert.

Gruss

[opfer]

Hallo, leider auch Opfer...
Wie so viele über web.de reingefallen.

Nach dem Öffnen kam zunächst eine pdf-Fehlermeldung. Dann nix. Habe sofort Leitung gekappt und scan gemacht. Hierbei zwei Trojaner gefunden: trojan-dropper.win32.apkish.a; dann Dateien eliminiert.

Nach dem Neustart wollte wurde vor dem unerlaubten Versuch der Ausführung der Datei 3076.exe oder .pdf (weiss es nicht mehr) gewarnt. Habe dies gestoppt und die Datei gelöscht. Dann scan mit hijack...: in O4 winupdate Eintrag zu 3076, in der Registry dann eine Menge Dateien mit dem Namen gelöscht.

Jetzt läuft alles wieder rund. AVK findet nix mehr. System stabil.

Trojaner weg?

Hier der aktuelle Stand:
Logfile of HijackThis v1.99.1
Scan saved at 22:11:07, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = $STARTSEITE$
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?40a1c8ecf559442885682617f3d186a7
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?40a1c8ecf559442885682617f3d186a7
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093031275031
O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - http://www.pixelnet.de/upload/pixelnet_de_...ebertragung.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe



Programm bzw. Rechner jetzt sicher ?????

[derAndere]

@ bond7

Danke für die schnelle hilfe , ich hoffe es klappt...
Wieso krieg ich solch eine hilfe nichtmal bei "guten" Hotlines?

Die Verdächtigen Datein sind die Druckertreiber für meinen Lexmark...

und die UpdReg.exe ist soweit ich feststellen konnte eine Dateien von meiner Producer Soundkarte.


mfg derAndere

Der Beitrag wurde von derAndere bearbeitet: 10.01.2007, 09:35

[Voyager]

Ok bei der Updreg.exe war ich mir nicht so sicher , das Ding gibts glaube als Updater für Programme aber auch als Malware konnte ich das schon sehen.
Bei dem Rootkit musst du von einer LiveCD auf deinen Rechner zugreifen und diese 3 Dateien löschen
eetvpn.dll
eetvpn.sys
eexvpn.sys
Im Normalmodus und abgesicherten Modus kommst du nicht an die Dateien ran , die andere Möglichkeit wäre ein Rootkitentferner z.b. F-Secure Blacklight daran zu testen.

p.s. blond bin ich sicher nicht, immerhin bist du derjenige der die ganze Schei$$e im Netz angeklickt hatte ohne vorher....[hier steht noch übelstes Zeug]..... !

Der Beitrag wurde von bond7 bearbeitet: 09.01.2007, 23:06

[klaus_ue]

@opfer



Diese Einträge bitte fixen:

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll

O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
Wenn der Eintrag Showdomain links nicht bekannt ist auch fixen:
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

Wenn die Seite nicht bekannt ist auch fixen:

O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - (Rest nicht kopiert, da URL) !

[Voyager]

@opfer
O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe


Das solltest du noch Prüfen, vermeintliche (weniger oder unbekannte) Anwendungsprogramme im Windows bzw. im System-bereich sind grundsätzlich erstmal verdächtig , das sind die Hauptinstallationsordner für Malware.

Der Beitrag wurde von bond7 bearbeitet: 09.01.2007, 23:14

[GrinGo]

hallo,

kann sich vielleicht jmd mein hijackthis log anschauen, ob das in ordnung ist?
mein guard nt hat gestern folgendes gefunden:
Win32.HLLW.Gavir.5
Pfad: e\programme\realplay.exe
Prozess:iexplore.exe

lass nun gerade spywaredoctor laufen(gerade heruntergeladen)

habe gestern abend noch 2 online virenscanner suchen lassen, aber die haben nichts gefunden.

es wäre sehr freundlich wenn sich jmd mein log mal anschaut ob da alles in ordnung ist.

danke

GrinGo

Logfile of HijackThis v1.99.1
Scan saved at 08:46:21, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\security\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
E:\Ikarus\GuardNT\GuardNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\BacsTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\IKAutoUp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\tempo\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [SmcService] C:\security\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Guard NT] E:\Ikarus\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-48.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/aktenkoffer/activex/upload_1119.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - E:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Guard NT - Ikarus Software Wien - E:\Ikarus\GuardNT\GuardNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\security\Sygate\SPF\Smc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

[tinger]

Hallo,

wie erkenne ich denn eine Rootkit. Mit welchem Programm könnte man das prüfen?

Hier mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:06:07, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\CC309A.EXE
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\hardcopy\hardcopy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InstantBurn] C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = ?
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office\2003\PRO\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1145883720301
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpda...api/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = springer-sbm.com
O17 - HKLM\Software\..\Telephony: DomainName = springer-sbm.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = springer-sbm.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = springer-sbm.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

Der Beitrag wurde von tinger bearbeitet: 10.01.2007, 10:14

[christian4u2]

Eine Bitte mal reingeschoben hier: Bitte mit neuen Logs einen eigenen Thread eröffnen!! Ursprünglich ging es in diesem thread um 1&1Rechnungen.....
Ihr habt größere Chancen dass euch geholfen wird, wenn ihr einen eigenen thread eröffnet....und übersichtlicher ist das auch noch nebenbei

[GrinGo]

@christian4u2

sorry,
aber ich hatte die rechnung auch bekommen und war mir nicht mehr sicher; ich hatte auf die datei und ausführen geklickt, bekam aber noch eine warnmeldung( in etwa: "unlizensiert, wollen sie wirklich ausführen?" )und habe dann verneint.

dann wie oben beschrieben

[tinger]

Also, bbei mir ist so eine Rechnung mit dem Betrag 89.99 Euro heute eingetroffen, bei gmx nicht im Spam oder Virenschutz gelandet. Es kam allerdings eine Fehlermeldung, so dass ich mal davon ausgehe, dass etwas installiert wurde. Alle hier beschriebenen Dateien kann ich aber nicht finden. Vielleicht mache ich auch etwas falsch.

TREND MICRO OfficeScan findet auch nichts und der F-Secure Blacklight findet auch nix.

Mein Computer hat beim runterfahren allerdings ein komisches Geräuch gemacht. Darum habe ich das Logfile erstellt und hier in den Thread kopiert.

Der Beitrag wurde von tinger bearbeitet: 10.01.2007, 10:44

[christian4u2]

JA mag ja schon sein das ihr die Rechnung bekommen habt, aber jedes neues LOG bitte in einen neuen thread sonst wird das nachher ein einziges kuddelmuddel und keiner weiß mehr wer wem hilfestellung gibt...

[klaus_ue]

Hallo tinger,



017 alles fixen, falls nicht bekannt.

04 (das ist der Autostart) den bitte mit msconfig aufräumen. Da läuft fast alles, aber kein Sicherheitstool.

zu Rootkit: Scannen z. B. mit F-Secure BlackLight oder mit RootkitRevealer und das Ergebnis posten, im Prinzip wie bei HijackThis.

Sehe gerade, dass Du BlackLight kennst. Lade Dir mal die Trial von Kaspersky runter und scanne damit. Welche Firewall läuft bei Dir



Edit: Gebe Christian recht. Kann das mal ein Mod auseinanderpfücken?

[Voyager]

@GrinGo und Tinger

Die Trojaner bzw. Rootkit aus den Rechnungen habt ihr nicht drauf , allerdings ist es bei der Masse an reininstalllierten Applikationen etwas mühsam etwas maliziöses zu erkennen.
Ikarus und TrendMicro Officescan sind nicht zwangsweise die richtigen AV-scanner. Ich empfehle euch beiden mal Bitdefender und Mcaffee Onlinescan , beide sind meines erachtens recht gut zur Malwareauffindung geeignet .
http://www.bitdefender.com/scan8/ie.html
http://de.mcafee.com/root/mfs/default.asp

Der Beitrag wurde von bond7 bearbeitet: 10.01.2007, 11:17

[GrinGo]

@bond07:

danke, scan jetzt nochmal mit bitdefender.
hab mir heute spyware doctor geholt, welcher folgendes gefunden hat:

Trojan.Proxy.Ranky (Backdoor.Ranky [Symantec]
Proxy-FBSR [McAfee]
Troj/Bloproxy-A [Sophos]
Trojan-Proxy.Win32.Ranky.bp [Kaspersky]
Trojan.Ranck.CZ
Trj/Ranky.HV [Panda])

Gefahrenstufe: Hoch

Beschreibung: Trojan.Proxy.Ranky is a Proxy Trojan which is designed to listen on a specified TCP port for incoming requests. It contacts a remote site to report the infection and then serves as an HTTP proxy, allowing attackers the ability to route HTTP traffic through the infected computer.

wie schlimm ist das?
muss ich noch was anderes machen als das mit spyware doctor zu fixen?


Der Beitrag wurde von GrinGo bearbeitet: 10.01.2007, 11:32

[Yopie]

Ich würde an deiner Stelle nicht lange rummachen, sondern formatieren und neu aufsetzen.

[Caimbeul]

Warum die TAN Liste sperren? Können die aus einer TAN die Liste berechnen? Also die PIN sehe ich ja ein, aber das mit der TAN wäre mir neu. Jedenfalls kenne ich das noch so das ich die auf Papier bekommen habe.

Lucky

Nein das kann man selbstverständlich nicht. TAN Nummern werden zufällig ausgewählt. Allerdings ist der Aufwand ja recht gering und da ich mir über die Wirkungsweise des Trojaners nicht im Klaren bin, mir also die technischen Kenntnisse fehlen, halte ich zumindest bei Online-Banking etwas drastischere Maßnahmen für durchaus gerechtfertigt.

Ich habe - in meiner Zeit als Bankkaufman - mal von einem Trojaner gelesen der in der Lage sein soll die TAN abzufangen und gegen eine andere Nummer zu ersetzen, so das der Nutzer eine weitere TAN eingibt. Mit der so gestohlenen TAN und der PIN wird dann eine gültige Transaktion vorgenommen.

Einige Bankinstitute hatten darauf reagiert indem automatisch nichtgenutze TAN Nummern ihre Gültigkeit verlieren, leider weiß ich nicht mehr welche Institute das waren.

Wie gesagt, bei gültiger PIN/TAN Transaktion ist das Geld weg, daher kann etwas mehr Vorsicht bei einem atkiven Trojaner nicht schaden. Zwingend notwendig ist das natürlich keineswegs. Das nächste mal erkläre ich meine Ratschläge sofort

[GrinGo]

Ich würde an deiner Stelle nicht lange rummachen, sondern formatieren und neu aufsetzen.

hm, laptop läuft seit (3 jahren) ich es habe wunderbar!
habe zwar die daten auf anderen festplatten aber ich würde meine einstellungen doch nie wieder so hinkriegen..
?

[Yopie]

hm, laptop läuft seit (3 jahren) ich es habe wunderbar!
habe zwar die daten auf anderen festplatten aber ich würde meine einstellungen doch nie wieder so hinkriegen..
?

Tja, was soll man dazu sagen? Du weisst aber auch nicht, ob du die Malware komplett entfernen kannst und die Änderungen, die durch die Malware verursacht wurden, komplett rückgängig machen kannst. Du weisst also am Ende nicht, ob dein Rechner wirklich wieder sicher ist.

Mir wäre das Risiko zu groß.

Du kannst natürlich auch das saubere Image von deinem so gut laufenden System wieder einspielen. Aber das hast vermutlich nicht, sonst wärst du ja nicht hier.

Verbuche es als Lehrgeld und beherzige in Zukunft Sicherheitshinweise (nicht als Admin arbeiten, Backupkonzept).

[GrinGo]

Tja, was soll man dazu sagen? Du weisst aber auch nicht, ob du die Malware komplett entfernen kannst und die Änderungen, die durch die Malware verursacht wurden, komplett rückgängig machen kannst. Du weisst also am Ende nicht, ob dein Rechner wirklich wieder sicher ist.

Mir wäre das Risiko zu groß.

Du kannst natürlich auch das saubere Image von deinem so gut laufenden System wieder einspielen. Aber das hast vermutlich nicht, sonst wärst du ja nicht hier.

Verbuche es als Lehrgeld und beherzige in Zukunft Sicherheitshinweise (nicht als Admin arbeiten, Backupkonzept).

du hast ja recht.
danke!
es ist im ersten moment ein schock; und ewig viel arbeit!
aber es wird sich ja lohnen: ein frisches, sauberes system...

und erfahrung