Zitat:

Ich wurde jedoch daran gehindert es auszuführen, da mich entweder die Firewall oder Spybot gefragt hat, ob ich es wirklich möchte.
Ich habe auf abbrechen geklickt.

Generell gilt: Wenn ein Schädling nicht ausgeführt wurde, wurde auch kein Schaden angerichtet!

Bis auf ein paar mir unbekannte Einträge sieht das Log auch sauber aus, jedenfalls nicht von dem pdf.exe-Trojaner befallen. Die unbekannten Einträge werden aber wohl vermutlich legitime Programme sein.

Für die Zukunft solltest du aus diesem Beinahe-GAU lernen:
1. Nicht auf Virenscanner oder so verlassen, die meisten haben vor wenigen Stunden den Schädling in dieser oder einer ähnlichen Mail nicht erkannt!
2. Zum Surfen bzw. normalen Arbeiten mit dem Rechner ein eingeschränktes Konto verwenden, das begrenzt den Schaden meist erheblich, Viren und so können sich dann zumindest nicht im System breit machen.

Dann fiel mir noch Folgendes auf:

Zitat:

C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

Java solltest du dringend updaten!! => Java Technology, nimm dort Java Runtime Environment (JRE) 6, die alte Version vorher deinstallieren,

Zitat:

C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe

Du hast eine super Backup-Software, diese solltest du regelmäßig für den Fall der Fälle auch benutzen! Erspart jedes Neuaufsetzen und unsichere Bereinigen.

Edit:
Oh mist, diese hab ich hier ja komplett übersehen => C:\WINDOWS\system32\TFTP2564
Nabend Yopie!

guten tag liebe helfer und user,

ich bin auch kunde bei 1und1 und habe heute in meiner mail entsprechendes gehabt, aus routine der rechnungszustellung fast alles überlesen und die .exe runtergeladen und doppelgeklickt !!! es tat sich allerdings nichts (öffnung von extra fenster zur installation).

als dann um 19:45uhr rtl-aktuell bekam habe ich einen schock bekommen, dass genau diese mail "havvy" ist.

mein riesen problem, bevor ich dies geshen habe, bin ich auf mein postbank konto online gegangen, allerdings ihne eine TAN für transaktionen zu verwenden. kann dann trotzdem etwas passieren ?

ich habe deshalb eine sehr grpße bitte, hoffentlich wird diese auch einem neuling in not gewährt.

da kaspersky online check noch läuft: bisher viren gefunden: 2, infizierte objekte 7 die ich bisher noch nicht einsehen kann_ob bitte jemand mal über den HijackThis auszug schauen kann ? bitte

Logfile of HijackThis v1.99.1
Scan saved at 19:22:44, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\Hope\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\Hope\LOKALE~1\Temp\~e5d141.tmp
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Microsoft Office\Office12\EXCEL.EXE
I:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=012107 serial=DR12CUB-6411814-RGH lang=EN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{46F0C1F8-C163-4D0B-B976-2E408BB71E98}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McDetect.exe - Macromedia - (no file)
O23 - Service: McTskshd.exe - Macromedia - (no file)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

vielen vielen dank an euch vorab
gruss
sony

Zitat:

Zitat von Sony

O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll

Das ist der Miesling!

Schädling war / ist aktiv: Neuaufsetzen gem. Anleitung im Anleitungsforum!

Anschließend (oder von einem sauberen Rechner) das Password für die Postbank (und alle anderen Passwörter, die du eingegeben hast!) ändern, falls dies möglich ist!

Gruß
Yopie

hallo yopie und vielen dank für deine info.

ist das Neuaufsetzen wirklich und unbedingt nötig !? oder kann ich dies durch hoffentlich ein aktuellen online scanner beheben ? neues PW von einem "sauberen" rechner geht leider erst morgen von der arbeit oder heute telefonisch sperren lassen.


mfg
sony

Zitat:

Zitat von |SONY|

ist das Neuaufsetzen wirklich und unbedingt nötig !?

Ist es nötig, auf diese Frage zu antworten, wenn doch in der Anleitung alles Wissenswerte dazu steht?

(Ja, das ist eine rhetorische Frage!)

Gruß
Yopie

OK

Zitat:

(Ja, das ist eine rhetorische Frage!)

musste feststellen der "miesling" lässt sich nicht fixen

Hallo, bin hier gerade bei Freunden, die ebenfalls eine vermeintliche 1&1-Mail über 59,99 Euro erhalten haben. Die E-Mail wurde zwar gelöscht, jedoch ist nicht mehr gewiß, ob vorher noch der exe-Anhang ausgeführt wurde. Daher mal hier der Auszug aus hijackthis, vielleicht könnt ihr mir da weiterhelfen. Meine Vermutung: O20 ist nicht ganz so in Ordnung...

Danke, Skedee Wedee.


Logfile of HijackThis v1.99.1
Scan saved at 20:29:46, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\atwtusb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Baumann\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat:

Edit:
Oh mist, diese hab ich hier ja komplett übersehen => C:\WINDOWS\system32\TFTP2564
Nabend Yopie!

[/QUOTE]

Danke cosinus für die freundliche und schnelle Antwort.

Ich vernichte vielleicht den vorher gemachten guten Eindruck, aber was bedeutet das für mich.
Die Datei wurde vom Virenscanner in die Quarantäne verschoben. Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ.

Ist die Datei immer noch vorhanden, und/oder bedeutet ihr Vorhanden gewesen sein, dass etwas irreparables passiert ist?

Danke im Voraus
BAFAY

Hallo Yopie,

danke für die schnelle Antwort und für die große Hilfe.

Ich postete hier, da ich nicht wußte, ob mehrere Threads zum gleichen Thema erwünscht sind. Heute Nachmittag wurde einer geschlossen... Hui, dann möchte ich nicht weiter stören und Euch noch viel Glück wünschen, diesen Mist (den Trojaner) auszumerzen!

Viele Grüße,

Skedee Wedee

Zitat:

Zitat von BAFAY

Die Datei wurde vom Virenscanner in die Quarantäne verschoben. Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ.

Ich hatte eben nur einen Schreck bekommen, da AntVirs Heuristik angesprungen ist. Das muss nichts bedeuten, aber eine Google-Suche nach diesem Dateinamen ließ Böses befürchten.

Zitat:

Zitat von BAFAY

Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ.

Kannst du das Ergebnis zur Sicherheit auch mal checken bei VIRUSTOTAL - Free Online Virus and Malware Scan , und das Ergebnis inkl. Größenangaben und Hash-Werten posten?

Denn laut Google handelt es sich (bzw. um die vorher vom AV erkannte Datei) um einen Backdoor. Aber Antivir hat sie nur heuristisch erkannt, das heißt, ein Fehlalarm ist nicht ausgeschlossen. Würde mich aber bei dem Dateinamen wundern.
Wenns ein Backdoor wäre: siehe Signatur.

Gruß
Yopie

Hallo Yopie,

vielen Dank für die schnelle Antwort.

Die Datei habe ich auf der angegben Seite scannen lassen. Das Ergebnis steht unten.

Mir stellte sich nur eine Frage.

Die Datei mit der Endung qua konnte ich an die Email hängen und zu AntiVir schicken.
Die Datei selbst ist noch in der Quarantäne. Ich kann diese auch nicht gefahrlos irgendwohin speichern, weil ich mich zuwenig damit auskenne.
Scanne ich also möglicherweise eine völlig unnütze Sache?

Danke im Voraus
BAFAY

Complete scanning result of "45f64823.qua", received in VirusTotal at 01.08.2007, 21:26:00 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.08.2007 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 no virus found
BitDefender 7.2 01.08.2007 no virus found
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.08.2007 no virus found
DrWeb 4.33 01.08.2007 no virus found
eSafe 7.0.14.0 01.08.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3311 01.08.2007 no virus found
Ewido 4.0 01.08.2007 no virus found
Fortinet 2.82.0.0 01.08.2007 no virus found
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.08.2007 no virus found
Kaspersky 4.0.2.24 01.08.2007 no virus found
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1963 01.08.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.07.2007 no virus found
Prevx1 V2 01.08.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.08.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 no virus found

Aditional Information
File size: 15134 bytes
MD5: 78bcf4744e1c9c4f79a91447d579a0bb
SHA1: 898b5c97ff151fc0c0ba9e5808d5578dd939b13c
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español

Auch wenn in dieser Datei nichts gefunden wird, der Dateiname macht micht stutzig. Kann ein Zufall sein, aber eine Google-Suche führt fast ausnahmlos zu dem Ergebnis, dass die Datei "TFTP2564" zu einem Backdoor-Schädling gehört.
Lass mal Blacklight durchlaufen und poste das Ergebnis.

Hallo cosinus,

danke für die nächtliche Antwort.

Ich habe einen Scan mit Blacklight gemacht aber es wurde nichts gefunden.

Auch mich macht diese eigenartige Datei etwas nervös. Sie stammt angeblich aus einem Verzeichnis, in dem die 1& 1 Mail nie war. Bereits die Partition ist eine andere.
Gefunden wurde die Datei lt. AntiVir Bericht vom AntiVir Guard, nur die Stelle an der die Datei gefunden wurde ist sehr eigenartig.

Vieleicht hast Du ja noch eine Idee, was sich dahinter verbergen könnte.

Viele Grüße
BAFAY

Hier noch die Auswertung:
Log Datei Blacklight
01/09/07 00:31:19 [Info]: BlackLight Engine 1.0.55 initialized
01/09/07 00:31:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/09/07 00:31:20 [Note]: 7019 4
01/09/07 00:31:20 [Note]: 7005 0
01/09/07 00:31:26 [Note]: 7006 0
01/09/07 00:31:26 [Note]: 7011 956
01/09/07 00:31:26 [Note]: 7026 0
01/09/07 00:31:26 [Note]: 7026 0
01/09/07 00:31:31 [Note]: FSRAW library version 1.7.1021
01/09/07 00:35:53 [Note]: 7007 0

Blacklight ist leider auch nicht "allwissend" und wenn ich eine Idee hab woher diese Datei stammt, dann durch Google-Anstöße; da handelt es sich zwar meist um ziemlich böse Funde, aber es ist auch nicht gesagt, dass die Datei vom Fake 1&1 Trojaner kam, es wäre genauso gut möglich, dass sie die ganze Zeit auf deinem Rechner war, ohne dasss du was gemerkt hast!
Ich halte es aber auch so gut wie für ausgeschlossen, dass es eine wichtige Systemdatei ist.
Wenn du wirklich ein sauberes System haben willst führt niemals etwas ans Neuaufsetzen vorbei. Weil du erst dann (bei richtiger Anwendung) die 100%ige Garantie für ein vertrauenswürdiges System hast.