Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Falsche T-Online-Rechnung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.05.2005, 23:58   #1
yepper
 
Falsche T-Online-Rechnung - Standard

Falsche T-Online-Rechnung



Ich habe heute so eine gefälschte T-Online-Rechnung mit diesem Anhang rechnung.pdf.exe bekommen und diesen blöderweise angeklickt, obwohl mein ZoneAlarm mich gewarnt hat (gefährlicher Mail-Anhang). Ich bin sonst sehr vorsichtig, habe in über 13 Jahren PC- und Net-Arbeit nie einen Virus oder dgl. gehabt, aber heute war ich einfach einmal zu schnell beim klicken. AntiVir hat erst die Signatur erneuert, nachdem ich das Ding geklickt hatte, ich update tgl. Er hat dann den Trojaner TR/Dldr.Small.aty erkannt. Ich hab die Datei gelöscht und danach The Cleaner, Spybot, AdAware und F-Prot und nochmals AntiVir mit neuesten Updates drüberlaufen lassen. Außerdem habe ich mit TrojanCheck gesucht, alles negativ, keine Funde. Trotz allem habe ich Schiss, dass noch was sein könnte, hier mein HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:55:52, on 10.05.2005
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
D:\ONLINE\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
D:\PROGRAMME\ZONEALARMPRO\ZLCLIENT.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
D:\ONLINE\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\ONLINE\MOZILLA\FIREFOX\FIREFOX.EXE
E:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [0190 Warner] D:\ONLINE\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarmPro\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Proxomitron.lnk = D:\Online\Proxomitron\Proxomitron.exe
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -


Kann mir jemand sagen, ob das was gefährliches zu sehen ist und wie ich sicher sehen kann, dass nichts zurückgeblieben ist?

Alt 11.05.2005, 09:33   #2
Rene-gad
 
Falsche T-Online-Rechnung - Standard

Falsche T-Online-Rechnung



@yepper
In dem Teil deines Logs musst du Folgendes fixen:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
zwar die letzten 2 sind nicht gefährlich, aber unnotig.
Zitat:
O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll
Die 2 DL-Manger kenne ich nicht, kann aber Ad- oder Spyware hinterher vermuten. Bitte die DLL-Files bei http://virusscan.jotti.org/ überprüfen.
Bitte den nächsten Log komplett posten (auch ab O16 weiter).
__________________


Geändert von Rene-gad (11.05.2005 um 09:44 Uhr)

Alt 11.05.2005, 12:51   #3
raman
 
Falsche T-Online-Rechnung - Standard

Falsche T-Online-Rechnung



Zur Info. Antivir erkennt alle vier Dateien, die mit diesem Downloader heruntergeladen werden. Wenn Antivir im abgesicherten Modus nichts mehr findet und ein aktualisiertes(!)eScan auch nicht, bist du diese Malware los.
__________________
__________________

Alt 11.05.2005, 20:58   #4
yepper
 
Falsche T-Online-Rechnung - Frage

Falsche T-Online-Rechnung



Zitat:
Zitat von raman
Zur Info. Antivir erkennt alle vier Dateien, die mit diesem Downloader heruntergeladen werden. Wenn Antivir im abgesicherten Modus nichts mehr findet und ein aktualisiertes(!)eScan auch nicht, bist du diese Malware los.
Habe beides im abgesicherten Modus gemacht. AntiVir mit neueuster Virus-Def. und auch eScan ebenso.

AntiVir: keine Funde

eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
Wed May 11 19:19:17 2005 => File D:\SOFTWARE\SECURITY\THE VIRUS CATCHER\vcsetup.exe infected by "not-a-virus:AdWare.BiSpy.d" Virus. Action Taken: No Action Taken.
Wed May 11 20:17:43 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_x\mwav.log
Wed May 11 18:54:08 2005 => File C:\Programme\Iomega\DriveIcons\imghr.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed May 11 18:58:23 2005 => File C:\98SETUP\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Wed May 11 19:19:23 2005 => File D:\SOFTWARE\SECURITY\PASSWORD-FINDER\password.exe tagged as not-a-virus:RiskWare.PSWTool.Finder.a. No Action Taken.
Wed May 11 19:20:06 2005 => File D:\SOFTWARE\TUNING+SYSINFO\TUNE_UP\TUSetup710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed May 11 19:21:04 2005 => File D:\SOFTWARE\TREIBER\IOMEGA\Deutsch\Programm\ioware-w32-x86-31.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

---------- c:\bases_X\mwav.log
Wed May 11 20:17:43 2005 => Total Objects Scanned: 41132

---------- c:\bases_X\mwav.log
Wed May 11 20:17:43 2005 => Total Virus(es) Found: 6

---------- c:\bases_x\mwav.log
Wed May 11 20:17:43 2005 => Total Errors: 12

---------- c:\bases_x\mwav.log
Wed May 11 20:17:43 2005 => Time Elapsed: 02:48:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Allerdings habe ich den Eindruck, als wäre das nichts, denn alles läuft schon ewig bei mir. The Virus Catcher ist selbst ein Anti-Virus-Tool, Drive-Icons wird beim Start geladen und gehört schon Jahre zu meinem Iomega-Zip, ebd.cab ist von einem Tool (98lite) mit dem man WIN98 abspecken kann (IE weg etc.), Passwort-Finder und TuneUp sind gebäuchliche und bekannte Programme und ioware-w32-x86-31.exe ist die Installationsdatei (Treiber) für das Iomega-Zip. Das meiste schlummert schon lange in meinem Software-Archiv. Kann es sein, das dies "Fehlalarme" sind? Ist da nun ein Hinweis auf den "Telekom-Trojaner" dabei?

Alt 11.05.2005, 21:14   #5
raman
 
Falsche T-Online-Rechnung - Standard

Falsche T-Online-Rechnung



Also der Telkom-Trojaner ist da nicht mehr. Das andere ist nur "Riskware" in diesem fall nichts schlimmes.

Schick die vcsetup.exe an virus at rokop-security.de oder wenn du willst gleich selber an newvirus at kaspersky.com und frag, ob es ein Fehlalarm ist.....

__________________
MfG Ralf

Alt 11.05.2005, 21:29   #6
yepper
 
Falsche T-Online-Rechnung - Standard

Falsche T-Online-Rechnung



Zitat:
Zitat von raman
Also der Telkom-Trojaner ist da nicht mehr. Das andere ist nur "Riskware" in diesem fall nichts schlimmes.

Schick die vcsetup.exe an virus at rokop-security.de oder wenn du willst gleich selber an newvirus at kaspersky.com und frag, ob es ein Fehlalarm ist.....
Hab ihn getestet bei http://virusscan.jotti.org/de/ , die Datei wurde bei 2 von 13 als infectet erkannt, die Datei war von 2003, ich hatte sie nie installiert und nun gelöscht. Danke für die Hilfe!

Alt 11.05.2005, 21:34   #7
yepper
 
Falsche T-Online-Rechnung - Frage

Falsche T-Online-Rechnung



Zitat:
Zitat von Rene-gad
@yepper
In dem Teil deines Logs musst du Folgendes fixen:

zwar die letzten 2 sind nicht gefährlich, aber unnotig.

Die 2 DL-Manger kenne ich nicht, kann aber Ad- oder Spyware hinterher vermuten. Bitte die DLL-Files bei http://virusscan.jotti.org/ überprüfen.
Bitte den nächsten Log komplett posten (auch ab O16 weiter).
Die beiden Downloadmanager sind gebräuchlich und auch i.O.

neuster Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:04, on 11.05.2005
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
D:\ONLINE\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
D:\PROGRAMME\ZONEALARMPRO\ZLCLIENT.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\ONLINE\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
E:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [0190 Warner] D:\ONLINE\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarmPro\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Proxomitron.lnk = D:\Online\Proxomitron\Proxomitron.exe
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -

Mehr Zeilen hab ich nicht, O 16 ist die letzte! Die R0-EInträge, die jetzt noch stehen, kommen nach dem fixen erneut, sind die "gefährlich"?

Antwort

Themen zu Falsche T-Online-Rechnung
adobe, antivir, bho, check, datei gelöscht, explorer, firefox, free, free download, gelöscht, hijack, internet, internet explorer, logfile, mail-anhang, microsoft, mozilla, programme, registry, scan, software, system, temp, trojaner, update, updates, urlsearchhook, virus, windows



Ähnliche Themen: Falsche T-Online-Rechnung


  1. Windows 8.1: Online-Banking-Trojaner (BAWAG) entfernt, noch immer falsche Login-Seite
    Plagegeister aller Art und deren Bekämpfung - 15.11.2015 (24)
  2. Falsche Telekom E-Mail mit vermeintlicher Rechnung geöffnet. Virenscanner Kaspersky findet Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (12)
  3. Falsche Telekom Rechnung geöffnet und Zip Datei gestartet
    Log-Analyse und Auswertung - 18.11.2014 (12)
  4. T-online "Rechnung"-Link angeklickt und gezipte exe ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 26.06.2014 (16)
  5. win32/emotet.aa - T-online "Rechnung" .exe im Anhang ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 23.06.2014 (6)
  6. Trojaner-Warnung: Telekom E-Mail mit “Rechnung Online Monat Mai oder Juni 2014”
    Diskussionsforum - 10.06.2014 (0)
  7. Ihre Telekom Mobilfunk Rechnung Online ...
    Plagegeister aller Art und deren Bekämpfung - 07.02.2014 (14)
  8. Falsche Telekom Rechnung geöffnet (Phishing)
    Plagegeister aller Art und deren Bekämpfung - 22.01.2014 (3)
  9. O2 Spam: Ihre Online-Rechnung von o2
    Diskussionsforum - 30.10.2013 (0)
  10. weltbild.de Spam: Kundennummer: 353949038 Ihre Online-Rechnung 2703824091
    Diskussionsforum - 17.09.2013 (2)
  11. Windows XP: Avira meldet mehrere Trojaner, wurde beim Online Banking auf falsche Seite geleitet...
    Log-Analyse und Auswertung - 09.09.2013 (13)
  12. Vodafone Online-Rechnung
    Log-Analyse und Auswertung - 18.11.2012 (1)
  13. Falsche Websites (T-Online Navigationshilfe anstelle von Youtube)
    Plagegeister aller Art und deren Bekämpfung - 21.09.2011 (6)
  14. falsche Postbank Online Banking Seite
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (3)
  15. Falsche Online-banking-Seite mit IExporer, kann Trojaner nicht finden! Und frage zu H
    Log-Analyse und Auswertung - 11.06.2007 (1)
  16. Spam-Mails: gefälschte Rechnung-Online / T-Com
    Plagegeister aller Art und deren Bekämpfung - 15.11.2004 (1)

Zum Thema Falsche T-Online-Rechnung - Ich habe heute so eine gefälschte T-Online-Rechnung mit diesem Anhang rechnung.pdf.exe bekommen und diesen blöderweise angeklickt, obwohl mein ZoneAlarm mich gewarnt hat (gefährlicher Mail-Anhang). Ich bin sonst sehr vorsichtig, habe - Falsche T-Online-Rechnung...
Archiv
Du betrachtest: Falsche T-Online-Rechnung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.