hallo leute!
Hab heute eine Email von 1und1 bekommen, mit dem Anhang Rechnung.pdf.exe. Da ich dort kunde bin hab ich die Email geöffnet, war zwar etwas misstrauisch, hab dann aber bei GMX Webmail auf ansehen auf den Anhang geklickt. Dann kommt ja das Fenster des IE wo man auswählen kann, ob man die Datei ausführen will oder specihern will. Hab etwas gezögert und plötzlich kam auch schon ne Meldung von Kaspersky Antivirus, dass er in C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp\conten.IE5 einen Trojaner gefunden hat unter der Rchnung1.pdf.exe. Allerdings konnte Kaspersky die Datei nicht entfernen.
Ich hab dann sofort Abbrechen gemacht im Downloadfenster des IE!
Meine Frage: hab ich den Trojaner jetzt auf den Rechner oder war der nur so temporär irgendwie da?!
Ich hab das Verzeichnis C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp sofort gescannt mit Kaspersky und da hat er nichts gefunden!hier mein Log File!
Fällt euch sonst noch was auf in meinem logfile?!
Vielen Dank schon mal!
Logfile of HijackThis v1.99.1
Scan saved at 15:16:03, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\qttask.exe
L:\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
L:\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Andi\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\Andi\LOKALE~1\Temp\ScanningProcess.exe
L:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - L:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - L:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "L:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] L:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Acrobat Assistant.lnk = L:\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://L:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\ICQLite\ICQLite.exe
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4295EB-7936-4F08-BFEE-F7E29248013E}: NameServer = 62.27.27.62 195.247.247.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C4295EB-7936-4F08-BFEE-F7E29248013E}: NameServer = 62.27.27.62 195.247.247.195
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - e:\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

aktiven Link bearbeitet - Shadow

Hallo.

Du bist/warst nicht der einigste der so eine eMail bekommen hat.
(siehe auch hier -> Trojan.Downloader)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\Andi\LOKALE~1\Temp\mexe.com

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

EDIT:

Moin Yopie

Zitat:

Zitat von Andi_KA

hallo leute!
Hab heute eine Email von 1und1 bekommen, mit dem Anhang Rechnung.pdf.exe.

Nein, du hast keine Mail von 1&1 bekommen.

Zitat:

Ich hab dann sofort Abbrechen gemacht im Downloadfenster des IE!
Meine Frage: hab ich den Trojaner jetzt auf den Rechner oder war der nur so temporär irgendwie da?!

Der war "nur" im IE-Cache; du hast ziemlich Glück gehabt. Aber für die Lehre, in Zukunft keine per Mail empfangenen Exe-Dateien zu öffnen, reicht der Schreck hoffentlich.

Gruß
Yopie

@Yopie:Ja aber wieso findet der Kaspersky Antivirus die Datei auch wenn sie nur im IE Cache ist?Ausgeführt habe ich die Exe ja nicht!


Ahhh help und was ist MEXE.COM?!!!!!!!!


Antivirus Version Update Result
AntiVir 7.3.0.21 01.07.2007 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.06.2007 no virus found
BitDefender 7.2 01.07.2007 BehavesLike:Win32.FileInfector
CAT-QuickHeal 9.00 01.06.2007 no virus found
ClamAV devel-20060426 01.07.2007 no virus found
DrWeb 4.33 01.07.2007 no virus found
eSafe 7.0.14.0 01.07.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3307 01.06.2007 no virus found
Ewido 4.0 01.06.2007 no virus found
Fortinet 2.82.0.0 01.07.2007 no virus found
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.07.2007 no virus found
Kaspersky 4.0.2.24 01.07.2007 no virus found
McAfee 4933 01.05.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1960 01.06.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.07.2007 no virus found
Prevx1 V2 01.07.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.145 01.07.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.07.2007 no virus found
VirusBuster 4.3.19:9 01.06.2007 no virus found


Aditional Information
File size: 397888 bytes
MD5: af2bfb100b0af0ada4cb6c5f7618b774
SHA1: 5e7b5379748bae7b6344c242b21c8c465f3356f5
packers: UPX
packers: UPX
packers: UPX

ah okay ich hab grade noch MWAV laufen, ich glaube das ist Mexe.com
hab hier was in nem Forum Gefunden:
[Zitat]
hallo, ist normal dass ein virenprogramm den anderen als virus erkennt? bitdefender meint die mwav. exe wäre ein virus, und macht mir diese meldungen. Ist doch fehlermeldung, oder nicht? danke, mfg

Zitat:

Zitat von Andi_KA

@Yopie:Ja aber wieso findet der Kaspersky Antivirus die Datei auch wenn sie nur im IE Cache ist?Ausgeführt habe ich die Exe ja nicht!

Weil der Kasper auch im IE-Cache scannt? Hab aber von AV-Programmen keine Ahnung.

Zitat:

Ahhh help und was ist MEXE.COM?!!!!!!!!

Ich tippe lt. Google auch auf einen Fehlalarm von Bitdefender.

Gruß
Yopie

Lade dir folgendes Tool -> Killbox!, entpacke und starte das Programm.

Klicke die Option "delete on reboot" an und suche die Datei:

Zitat:

C:\DOKUME~1\Andi\LOKALE~1\Temp\mexe.com

Löschen anklicken und Neustart durchführen.

Nach dem Beustart dieses Tool laden -> Cleanup

Stell den Cleanup genau so ein wie es im Link beschrieben ist und starte das Programm.

Poste im Anschluss ein neues Hiajcklog.

Gruß
Sunny

@ TO: Bitte halte dich in Zukunft an Aktive Links und persönliche Informationen in HJT Log-Files und auch den gesunden Menschenverstand.

Hi - auch ich hab das Problem und heute diese blöde Rechnung geöffnet.
Lacht nicht - ich hab gerade vor kurzem was über pdf.exe gelesen und in der Mail stand das gleiche (pdf ohne Reader öffnen), war also schlüssig, die Mail selbst sah absolut echt aus. Dennoch hab ich den Anhang erst mal gespeichert und gescannt mti Antivirenkit (angeblich eins der am schnellsten auf neue Viren reagierendes Prog?) - alles palletti - und schwupps schon hat sich Spybot gemeldet und nicht mehr aufgehört: ein Prog. rasn.exe in Windows\system32 versuchte permantenen Zugriff aufs Internet und will die Registry verändern bei Winupdate. Auch jetzt sagt Adware immer noch "alles palletti" und ich hab den Bildschirm schon voll mit Verweigerungsmeldungen von Spybot.
Also Ende und Starten mit Knoppix - Mail an 1und1 - Hilfe suchen in Foren - aber heute mittag schreiben alle nur von alten Telekomrechnungen und noch keiner von 1und1. Von Knoppix aus konnte ich dieses "rasn.exe" weder umbenennen noch löschen. Und auch jetzt....hab zwar diese exe gelöscht aber sie wird immer noch in der registry run gesucht und der Schüssel lässt sich nicht löschen.
Und noch immer find ich nirgends eine Nachricht, wie ich diesen Sch... nun los krieg??? Ausser schlauen Sprüchen....von wegen "sowas öffnet man doch nicht" - also welches Programm oder was hilft denn jetzt???
Gruss - Benny

Versuch das mal über den abgesicherten Modus.

Und: Sowas öffnet man doch nicht!

Gruß
Yopie

Hi
Im abgesicherten Modus hat es nun geklappt und die beiden Schüssel (versuchte Aufrufe von rasn.exe) in run und runonce liesen sich löschen ohne wieder zu kommen. Sogar als ich dann wieder einen normalen Start hinlegte, war die Registry noch frei und auch Hijack fand nichts mehr.
Merci - dennoch wundert es mich schon, dass bei mir weder AVK noch AVPE noch Adware oder sonstwas angesprochen haben, ausser Spybot mit der Warnmeldung.
Ach ja, die abgespeicherte Rechnung.pdf.exe hat sich nach dem öffnen wohl selbst zerstört, sie ist nicht mehr auffindbar.
Beste Grüße
Benny

Zitat:

Zitat von bennyf

Merci - dennoch wundert es mich schon, dass bei mir weder AVK noch AVPE noch Adware oder sonstwas angesprochen haben, ausser Spybot mit der Warnmeldung.

Imho hätte AVPE den Fiesling heuristisch erkennen sollen. Ansonsten ist es eine Binsenweisheit, dass Virenwächter so ihre Probleme mit ganz frischer Malware haben. Deswegen sind sie auch der Teil des Schutzkonzepts, auf den man sich am wenigsten verlassen kann.

Gruß
Yopie