trojaner in 1und1 rechnung? Einstellungen

[Frakster]

hi
hab heute diese mail von 1und1 bekommen:

Received: from [213.156.55.214] (helo=static.out.messinaline.it)
by mx25.web.de with esmtp (WEB.DE 4.107 #114)
id 1H3Lrz-0001KJ-00
for mich; Sun, 07 Jan 2007 01:26:39 +0100
Received: from dipalma (dipalma [172.19.0.7])
by dipalma (8.12.8p1/8.12.8) with ESMTP id i505B5AFB8B31C
for <mich>; Sun, 7 Jan 2007 02:26:37 +0100
(envelope-from info@1und1.de)
Date: Sun, 7 Jan 2007 02:26:37 +0100
From: 1&1 <info@1und1.de>
Reply-To: 1&1 <info@1und1.de>
X-Priority: 3 (Normal)
Message-ID: <052640089.20070107012637@1und1.de>
To: mich
Subject: 1&1 Internet AG - Ihre Rechnung 34932845
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------FA9E3368AF4874B"
Sender: info@1und1.de

Sehr geehrter 1&1 Kunde,

anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.

Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung finden Sie als Anhang im PDF-EXE-Format. Zum Lesen und Ausdrucken benötigen Sie kein zusätzliches Programm!

Fragen zu Ihrer Rechnung beantwortet Ihnen gerne unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
Übrigens: Wir haben unsere Servicezeiten für Sie erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.

Mit freundlichen Grüßen

Ihr 1&1 WebHosting-Team

[Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender. Falls Sie Fragen an den 1&1 Support haben, verwenden Sie bitte das Kontaktformular unter www.1und1.de/cc ]


im anhang war die datei "Rechnung.pdf.exe"
hat mich erstmal gewundert weil ich kein 1und1-kunde bin, nie war und auch nicht vorhab es zu werden.
leider hab ich den anhang doch geöffnet.
da hat sich dann die "adsmsextf.exe" bei mir eingenistet.
Antivir hat da gar nix gefunden, bei AVG steht das auf diese exe nicht zugegriffen werden kann.
im systemstart steht das ding 3 mal drin, habs deaktiviert aber nach nem neustart sind 2 davon wieder aktiviert und es wird auch 2mal gestartet (hab die über taskmanager wieder ausgemacht).
in meiner firewall hab ich das ding erstmal geblockt.

hab dann hijackthis durchlaufen lassen. hier der log:

C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Download\HijackThis.exe
C:\WINDOWS\system32\WgaTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F3 - REG:win.ini: load=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

in der auswertung auf der hijackthis-homepage steht bei der "adsmsextf.exe" nur "unbekanntes Programm" oder so ähnlich.


ich werd jetzt nochmal killbox laufen lassen wie hier im thread empfohlen (http://board.protecus.de/t18796.htm), und alle temporären dateien löschen. dann mal schauen...

hat sonst noch jemand hinweise wie ich das ding ohne format c: wieder los werde
danke im voraus
frakster

[Gast_rock_*]

@ genrix,

an deinem log ist keine aktive malware zu sehen...

was die vielen einträge im taskmanager bescherrt wird wohl zu 2/3 zu f-secure gehören...und ich kann mir nicht vorstellen das der rechner samt emule im autostart und der fetten f-secure i-security jemals "schnell" gelaufen ist...

normalerweise hätte dein mailschutz schon vor dem öffnen die datei löschen oder verschieben müssen....oder f-secure kennt ihn noch nicht...

räum den pc einfach mit dem ccleaner auf - dann sollte er wieder etwas speed bekommen...



Der Beitrag wurde von rock bearbeitet: 09.01.2007, 19:21