trojaner in 1und1 rechnung? Einstellungen

[Frakster]

hi
hab heute diese mail von 1und1 bekommen:

Received: from [213.156.55.214] (helo=static.out.messinaline.it)
by mx25.web.de with esmtp (WEB.DE 4.107 #114)
id 1H3Lrz-0001KJ-00
for mich; Sun, 07 Jan 2007 01:26:39 +0100
Received: from dipalma (dipalma [172.19.0.7])
by dipalma (8.12.8p1/8.12.8) with ESMTP id i505B5AFB8B31C
for <mich>; Sun, 7 Jan 2007 02:26:37 +0100
(envelope-from info@1und1.de)
Date: Sun, 7 Jan 2007 02:26:37 +0100
From: 1&1 <info@1und1.de>
Reply-To: 1&1 <info@1und1.de>
X-Priority: 3 (Normal)
Message-ID: <052640089.20070107012637@1und1.de>
To: mich
Subject: 1&1 Internet AG - Ihre Rechnung 34932845
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------FA9E3368AF4874B"
Sender: info@1und1.de

Sehr geehrter 1&1 Kunde,

anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.

Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung finden Sie als Anhang im PDF-EXE-Format. Zum Lesen und Ausdrucken benötigen Sie kein zusätzliches Programm!

Fragen zu Ihrer Rechnung beantwortet Ihnen gerne unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
Übrigens: Wir haben unsere Servicezeiten für Sie erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.

Mit freundlichen Grüßen

Ihr 1&1 WebHosting-Team

[Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender. Falls Sie Fragen an den 1&1 Support haben, verwenden Sie bitte das Kontaktformular unter www.1und1.de/cc ]


im anhang war die datei "Rechnung.pdf.exe"
hat mich erstmal gewundert weil ich kein 1und1-kunde bin, nie war und auch nicht vorhab es zu werden.
leider hab ich den anhang doch geöffnet.
da hat sich dann die "adsmsextf.exe" bei mir eingenistet.
Antivir hat da gar nix gefunden, bei AVG steht das auf diese exe nicht zugegriffen werden kann.
im systemstart steht das ding 3 mal drin, habs deaktiviert aber nach nem neustart sind 2 davon wieder aktiviert und es wird auch 2mal gestartet (hab die über taskmanager wieder ausgemacht).
in meiner firewall hab ich das ding erstmal geblockt.

hab dann hijackthis durchlaufen lassen. hier der log:

C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Download\HijackThis.exe
C:\WINDOWS\system32\WgaTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F3 - REG:win.ini: load=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

in der auswertung auf der hijackthis-homepage steht bei der "adsmsextf.exe" nur "unbekanntes Programm" oder so ähnlich.


ich werd jetzt nochmal killbox laufen lassen wie hier im thread empfohlen (http://board.protecus.de/t18796.htm), und alle temporären dateien löschen. dann mal schauen...

hat sonst noch jemand hinweise wie ich das ding ohne format c: wieder los werde
danke im voraus
frakster

[Voyager]

Die einzige Möglichkeit das loszuwerden ist den PC im abgesicherten Modus zu starten und diese adsmsextf.exe im System32 zu löschen. Dann muss die dazugehörige adsmsextf.pif und ipv6monl.exe (NICHT die ipv6mon.exe) noch gelöscht werden .
Anschliessend gleich noch im Hijackthis die Starteinträge [WinUpdate] zu löschen.
Ich hatte es schon in der virtuellen Maschine getestet, so funktioniert es.

Beim nächsten mal , ALLES aus einer zweifelhaften Email NIE anklicken !

Der Beitrag wurde von bond7 bearbeitet: 07.01.2007, 15:02

[Yopie]

hi
hab heute diese mail von 1und1 bekommen:

Received: from [213.156.55.214] (helo=static.out.messinaline.it)

Seit wann sitzt 1&1 in Italien? Die Mail ist nicht von 1&1!

im anhang war die datei "Rechnung.pdf.exe"
hat mich erstmal gewundert weil ich kein 1und1-kunde bin, nie war und auch nicht vorhab es zu werden.
leider hab ich den anhang doch geöffnet.

Warum? Und warum machst du sowas als Administrator?
Klarer als mit "pdf.exe" kann man einen Wurm/Virus doch wohl kaum kennzeichnen?

Hinweise zum Entfernen hat bond7 schon gegeben; ich persönlich würde aber ein sauberes Image wieder einspielen oder neu aufsetzen.

Siehe auch http://www.heise.de/newsticker/meldung/83295

Der Beitrag wurde von Yopie bearbeitet: 07.01.2007, 15:06

[Chaos64]

Hinweise zum Entfernen hat bond7 schon gegeben; ich persönlich würde aber ein sauberes Image wieder einspielen oder neu aufsetzen.

Richtig, umd beim nächsten öffnen einer eMail erst prüfen ob das seine richtigkeit hat.( zB anrufen beim Provider)
Rechnung von 1&1 über eMail kommt mir bei T-Online nicht in die Tüte.


Die beste Lösung ist halt Formatieren.

[Frakster]

hab meinen teil draus gelernt, die *.pdf.exe ist mir vorher noch nie untergekommen deswegen hab ich auch keinen großen verdacht geschöpft.

also ich hab die "adsmsextf.exe" mit killbox gelöscht, anschließend die rregistry-einträge mit nem reg-cleaner entfernt.
die registry ist jetzt sauber und auf dem rechner ist das ding auch nich mehr zu finden.

hier der neue hijackthislog:

Logfile of HijackThis v1.99.1
Scan saved at 15:23:19, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1518A9BF-0C1A-46C1-A388-7C7F7FE834C8}: NameServer = 139.30.8.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-rostock.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-rostock.de
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


@bond:
die beiden dateien adsmsextf.pif und ipv6monl.exe find ich im system32-ordner nicht (im normalen wie im abgesicherten modus... ich denk mal die sind nicht vorhanden)

@Yopie:
hab den artikel nicht gekannt vorher, sonst wär das anders gelaufen.


danke allen für die schnelle hilfe, ich hoffe mal das jetzt wieder alles in ordnung ist bei mir.
mfg
frakster

[Yopie]

Rechnung von 1&1 über eMail

Ich glaube, ich bekomme die immer per Mail. Von 1&1, meine ich.

hab den artikel nicht gekannt vorher, sonst wär das anders gelaufen.

Auch ohne den Artikel sollst du keine angeblichen Rechnungen anklicken, die als Endung nicht PDF haben! Und, wie gesagt, als Admin arbeiten ist böse! Naja, aber ich denke, du hasts nun begriffen.

(Heute morgen fragte ich mich noch, ob diese Masche tatsächlich immer noch zieht. )

[Voyager]

@Yopie

Du vergisst das der Explorer im Defaultmode bekannte Dateiendungen ausblendet von daher erscheint der Anhang als Rechnung.pdf , das .exe blendet der Explorer aus. Die User merken das Mißgeschick erst wenn es zu spät ist und der Trojaner nur eine simple Fehlermeldung zur Täuschung einblendet.

[Yopie]

@Yopie

Du vergisst das der Explorer im Defaultmode bekannte Dateiendungen ausblendet von daher erscheint der Anhang als Rechnung.pdf , das .exe blendet der Explorer aus. Die User merken das Mißgeschick erst wenn es zu spät ist und der Trojaner nur eine simple Fehlermeldung zur Täuschung einblendet.

Ach ja, das ist ja diese grenzdebile Standardeinstellung bei Windows (wie sieht das bei Vista aus?). Sind denn davon dann auch Non-MS-Mailprogramme betroffen? Ich weiß allerdings nicht, welches Prog Frakster nutzt.

[Voyager]

Dummerweise blockiert Outlook Express (in der Defaulteinstellung) EXE Anhänge , der Anhang war hier eingegraut und ich musste erst die Einstellungen ändern um die Rechnung auf HD kopieren zu können. Ich frage mich wie andere User das schaffen konnten das Ding trotzdem anzuklicken ?

Vll erleuchtet mich Frakster wie er das geschafft hat .

[Frakster]

zu meiner schande muss ich zugeben das ich die datei mit endung "*.pdf.exe" gesehen habe. ich benutz kein outlook oder ähnliche programme, sondern bin direkt über web.de in die mail-box gegangen und bei web.de werden auch alle endungen angezeigt.
bin also offenen auges in mein verderben gerannt...
wird wohl nicht nochmal vorkommen ^^

[Yopie]

Mmmmh.... Tja.

Dann bringe ich noch einmal den dringenden Hinweis, in Zukunft nicht mehr als Admin zu arbeiten.

[Sasser]

Hi Frakster,
mal ne Frage bezogen auf Web.de, hatten die etwa die Mail unter Ordner "Unbekannt" oder Spam ?
Habe mit dem Web.de Center auch schon meine Erfahrung gesammelt, das leider trotz Spam und
Virenschutz solche Mails überhaupt noch gelistet werden anstatt Sie gleich zu löschen.

Antwort vom Support: Sie hätten derzeit Schwierigkeiten mit neuen Spam-Verteilern.
Für mich sieht es eher so aus, dass aufgrund zu hoher Werbetrommel ? zuviele Neukunden bearbeitet werden
und die Sicherheit dabei zweitrangig geworden ist.
Kann jemand diesen Verlauf bestätigen oder kennt Presseberichte in dieser Richtung ?
Vor 1Jahr sah das noch anders aus, meine mich zu entsinnen, das im Ordner Unbekannt niemals
Sex und oder Kaufaufforderungen landeten.

[Gast_Hänschen_*]

Hallo allemiteinander,

bei mir wurde der Anhang in der gefakten 1und1 Rechnung von einer Freundin ausgeführt, die online ihren Web.de Account gecheckt hat. Auf die freundliche Nachfrage von Opera, ob er dies wirklich tun sollte, klickte sie fröhlich "ja" . Was dann passiert ist, lässt sich nicht mehr sagen (ich stand ja leider nicht dabei ).

Allerdings war das im normalen Benutzermodus und ich habe den Computer seither nicht noch einmal neu hochgefahren.

Ich kenne mich leider mit Trojanerbefall so gut wie gar nicht aus. Meine Fragen an Euch: Ist es möglich, dass sich das Programm gar nicht installieren konnte. Wenn ja, wie finde ich das heraus? Kann ich noch etwas tun, bevor ich den Computer neu hochfahre.

Einen Hinweis auf die Datei adsmsextf.exe bietet mein hijack - logfile nicht.

Für eine Antwort von Euch wäre ich sehr dankbar! Vielen Dank schon mal
Hänschen

p.S.:
hier der log (bitte um Entschuldigung, wenn ich dies hier hätte nicht posten sollen):
Logfile of HijackThis v1.99.1
Scan saved at 17:09:08, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\rmnradio\ps_agent.exe
C:\Programme\rmnradio\ps_timer.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RMNAgent] C:\Programme\rmnradio\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\rmnradio\ps_timer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - d:\programme\lotus\organize\bandobjs.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1147873111265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1147873297875
O17 - HKLM\System\CCS\Services\Tcpip\..\{539D5D8E-7DB4-4D02-B066-011FAA3914C5}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[Voyager]

Im Log ist nichts , bist du sicher das Sie das nicht nur auf der Platte abgespeichert hatte ?

[Gast_Hänschen_*]

Hallo Bond7 (danke für die schnelle Antwort ),

nein, da bin ich mir nicht sicher; vielmehr das ist genau meine Hoffnung.

Die Freundin hat sicher das Teil gestartet. Dann aber eine Fehlermeldung bekommen, von der sie nicht mehr sagen konnte welche. Aus dem Operacache habe ich es inzwischen gelöscht und nur noch auf Diskette.

Wenn die Registry sauber ist, kann ich ja meinen Computer vielleicht einfach neu starten und dann noch einmal schauen?!

Vielen Dank für die Hilfe und Grüße
Hänschen

[Voyager]

Die gefälschte Fehlermeldung heisst "Acrobat Reader ERROR 31847" , dann ist es aber schon zu spät , das System ist infiziert !

Logfile of HijackThis v1.99.1
Scan saved at 17:49:50, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\VPCMap.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\adsldpr.exe
Y:\rechnung.pdf.exe
C:\WINDOWS\system32\adsldpp.exe
C:\Dokumente und Einstellungen\Jens\Desktop\rechnung.pdf.exe
C:\WINDOWS\system32\accessd.exe
C:\Dokumente und Einstellungen\Jens\Desktop\rechnung.pdf.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\apcupsf.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis! 1.99.1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {23314D99-1240-4d4f-A25C-17E44823D048} - C:\WINDOWS\system32\ipv6monl.dll
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsldpr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

Das zeigt einen Auszug eines systemes aus der Virtuellen Maschine an , adsldpr.exe adsldpp.exe accessd.exe apcupsf.exe ipv6monl.dll sind Infektionen aus ein und derselben pdf.exe.
Irgendwie hatte ich das aber zu Oft angeklickt , nuja in der VM darf man klickern bis zum Abwinken

@raman
der BHO ist wieder mit dabei.

[Chaos64]

1&1 warnt Kunden vor gefälschten Rechnungen :

Achtung an alle 1&1 Kunden !!!

Für einige wohl zu spät, für andere gerade noch rechtzeitig

Der Beitrag wurde von Chaos64 bearbeitet: 07.01.2007, 18:12

[Gast_Hänschen_*]

Nochmals Danke für die schnelle Antwort,
das müsste doch dann heißen, dass mein System doch nicht korrumpiert ist und die Freundin eine andere Fehlermeldung bekommen hat. Mein Logfile hat ja die entsprechenden Einträge nicht und die genannten Dateien sind auch nicht auf der Platte (aber wie gesagt, ich habe das System seither nicht neu hochgefahren).

Habe ich das richtig verstanden - sorry, wenn ich etwas dumm frage?!
Grüße und Dank
Hänschen

[Voyager]

Soweit der Starteintrag O4 - HKCU\..\Run: [WinUpdate] ...fehlt hatte es dein system scheinbar doch nicht erwischt, ich weiss es aber nicht warum.

@Chaos64
Meinste mich ? Ich darf das Zeug anklicken, ich habn Darfschein .

Der Beitrag wurde von bond7 bearbeitet: 07.01.2007, 18:34

[Yopie]

Soweit der Starteintrag O4 - HKCU\..\Run: [WinUpdate] ...fehlt hatte es dein system scheinbar doch nicht erwischt, ich weiss es aber nicht warum.

Vielleicht meint

Allerdings war das im normalen Benutzermodus und ich habe den Computer seither nicht noch einmal neu hochgefahren.

einen eingeschränkten Benutzer? So hab ichs jedenfalls verstanden.