Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 1&1 Rechnung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.01.2007, 18:59   #1
BAFAY
 
1&1 Rechnung - Standard

1&1 Rechnung



Hallo,
wie viele andere auch habe ich eine 1&1 Rechnung erhalten und morgens nicht die nötige Aufmerksamkeit und Vorsicht aufgebracht.

Ablauf:
1&1 Mail erhalten
Ich habe zu schnell versucht es zu öffnen.
Ich wurde jedoch daran gehindert es auszuführen, da mich entweder die Firewall oder Spybot gefragt hat, ob ich es wirklich möchte.
Ich habe auf abbrechen geklickt.

Danach habe ich AniVir drüberlaufen lassen.Es wurde eine Datei gefunden und in die Quarantäne verschoben und dann gelöscht. Vorher habe ich die Datei an Antivir gesendet. Sie ist noch als Email Anhang vorhanden.
Das Original der 1&1 Email lagert noch bei GMX.

Ich habe auch Spybot drüberlaufen lassen. Es folgte keine Meldung.

Trotzdem habe ich die Befürchtung, dass sich der Trojaner eingenistet haben könnte.

Dies ist das erste Mal, dass ich etwas in ein Forum einstelle. Ich hoffe alles war richtig und ausreichend.



Es folgt der Report von Antivir und der Logfile von HijackThis

Viele Grüße
Bafay

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 8. Januar 2007 13:31

Es wird nach 619674 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.4 208936 Bytes 20.12.2006 10:09:17
AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 12:10:09
LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 12:10:10
LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 12:10:10
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:31:20
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 10:05:46
ANTIVIR2.VDF : 6.37.0.114 874496 Bytes 07.01.2007 11:47:49
ANTIVIR3.VDF : 6.37.0.119 12288 Bytes 08.01.2007 11:47:49
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 22.12.2006 22:35:30
AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 12:10:09
AVREP.DLL : 6.37.0.119 1052712 Bytes 08.01.2007 11:47:49
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 05.05.2006 09:38:34
AVPACK32.DLL : 7.2.0.5 368680 Bytes 30.10.2006 09:17:56
AVREG.DLL : 7.0.1.1 30760 Bytes 15.12.2006 12:10:09
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 12:10:02
RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 12:10:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 8. Januar 2007 13:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Notifier.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AnyDVD.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TOMCAT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Liveupdate.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Warn0190.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mixer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vcdplayx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vdtask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'opware32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kpf4ss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'w0svc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 31 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WinXP 1>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\TFTP2564
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f64823.qua' verschoben!
Beginne mit der Suche in 'F:\' <Daten 1>


Ende des Suchlaufs: Montag, 8. Januar 2007 15:06
Benötigte Zeit: 1:35:05 min

Der Suchlauf wurde vollständig durchgeführt.

5009 Verzeichnisse wurden überprüft
496451 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
496450 Dateien ohne Befall
2243 Archive wurden durchsucht
2 Warnungen
0 Hinweise




Logfile of HijackThis v1.99.1
Scan saved at 17:44:29, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\FarStone\VirtualDrive\VDTask.exe
C:\WINDOWS\vcdplayx.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
X:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
X:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DOKUME~1\++\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VirtualDrive] "C:\Programme\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "X:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [AnyDVD] X:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136996378593
O17 - HKLM\System\CCS\Services\Tcpip\..\{92B9AEB4-0C71-43BC-814F-BCFCBB733131}: NameServer = 217.237.150.205 217.237.150.188
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Alt 08.01.2007, 19:09   #2
Yopie
Moderator, a.D.
 
1&1 Rechnung - Standard

1&1 Rechnung



Dein Log sieht ok aus (lt. automatischer Auswertung auf hijackthis.de), aber:

Zitat:
Zitat von BAFAY Beitrag anzeigen
C:\WINDOWS\system32\TFTP2564
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f64823.qua' verschoben!
Das sieht gar nicht gut aus. Lass die Datei in der Quarantäne (hast du die noch?) mal unter Online Malware scan scannen! Google lässt schlimmes befürchten. Evtl. ein paar mal neuladen, bis Jotti bereit ist! Dürfte aber nix mit der Mail zu tun gehabt haben.

Zitat:
Dies ist das erste Mal, dass ich etwas in ein Forum einstelle. Ich hoffe alles war richtig und ausreichend.
Vorbildlich!

Gruß
Yopie
__________________


Alt 08.01.2007, 19:14   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Ich wurde jedoch daran gehindert es auszuführen, da mich entweder die Firewall oder Spybot gefragt hat, ob ich es wirklich möchte.
Ich habe auf abbrechen geklickt.
Generell gilt: Wenn ein Schädling nicht ausgeführt wurde, wurde auch kein Schaden angerichtet!

Bis auf ein paar mir unbekannte Einträge sieht das Log auch sauber aus, jedenfalls nicht von dem pdf.exe-Trojaner befallen. Die unbekannten Einträge werden aber wohl vermutlich legitime Programme sein.

Für die Zukunft solltest du aus diesem Beinahe-GAU lernen:
1. Nicht auf Virenscanner oder so verlassen, die meisten haben vor wenigen Stunden den Schädling in dieser oder einer ähnlichen Mail nicht erkannt!
2. Zum Surfen bzw. normalen Arbeiten mit dem Rechner ein eingeschränktes Konto verwenden, das begrenzt den Schaden meist erheblich, Viren und so können sich dann zumindest nicht im System breit machen.

Dann fiel mir noch Folgendes auf:
Zitat:
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
Java solltest du dringend updaten!! => Java Technology, nimm dort Java Runtime Environment (JRE) 6, die alte Version vorher deinstallieren,
Zitat:
C:\Programme\Acronis\TrueImageHome\TimounterMonito r.exe
Du hast eine super Backup-Software, diese solltest du regelmäßig für den Fall der Fälle auch benutzen! Erspart jedes Neuaufsetzen und unsichere Bereinigen.

Edit:
Oh mist, diese hab ich hier ja komplett übersehen => C:\WINDOWS\system32\TFTP2564
Nabend Yopie!
__________________
__________________

Geändert von cosinus (08.01.2007 um 19:19 Uhr) Grund: * Tomaten auffe Augen hab *

Alt 08.01.2007, 19:36   #4
|SONY|
 
1&1 Rechnung - Pfeil

1&1 Rechnung



guten tag liebe helfer und user,

ich bin auch kunde bei 1und1 und habe heute in meiner mail entsprechendes gehabt, aus routine der rechnungszustellung fast alles überlesen und die .exe runtergeladen und doppelgeklickt !!! es tat sich allerdings nichts (öffnung von extra fenster zur installation).

als dann um 19:45uhr rtl-aktuell bekam habe ich einen schock bekommen, dass genau diese mail "havvy" ist.

mein riesen problem, bevor ich dies geshen habe, bin ich auf mein postbank konto online gegangen, allerdings ihne eine TAN für transaktionen zu verwenden. kann dann trotzdem etwas passieren ?

ich habe deshalb eine sehr grpße bitte, hoffentlich wird diese auch einem neuling in not gewährt.

da kaspersky online check noch läuft: bisher viren gefunden: 2, infizierte objekte 7 die ich bisher noch nicht einsehen kann_ob bitte jemand mal über den HijackThis auszug schauen kann ? bitte

Logfile of HijackThis v1.99.1
Scan saved at 19:22:44, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\Hope\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\Hope\LOKALE~1\Temp\~e5d141.tmp
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Microsoft Office\Office12\EXCEL.EXE
I:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=012107 serial=DR12CUB-6411814-RGH lang=EN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{46F0C1F8-C163-4D0B-B976-2E408BB71E98}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McDetect.exe - Macromedia - (no file)
O23 - Service: McTskshd.exe - Macromedia - (no file)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

vielen vielen dank an euch vorab
gruss
sony

Alt 08.01.2007, 19:44   #5
Yopie
Moderator, a.D.
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Zitat von Sony
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
Das ist der Miesling!

Schädling war / ist aktiv: Neuaufsetzen gem. Anleitung im Anleitungsforum!

Anschließend (oder von einem sauberen Rechner) das Password für die Postbank (und alle anderen Passwörter, die du eingegeben hast!) ändern, falls dies möglich ist!

Gruß
Yopie


Alt 08.01.2007, 20:10   #6
|SONY|
 
1&1 Rechnung - Standard

1&1 Rechnung



hallo yopie und vielen dank für deine info.

ist das Neuaufsetzen wirklich und unbedingt nötig !? oder kann ich dies durch hoffentlich ein aktuellen online scanner beheben ? neues PW von einem "sauberen" rechner geht leider erst morgen von der arbeit oder heute telefonisch sperren lassen.


mfg
sony

Alt 08.01.2007, 20:14   #7
Yopie
Moderator, a.D.
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Zitat von |SONY| Beitrag anzeigen
ist das Neuaufsetzen wirklich und unbedingt nötig !?
Ist es nötig, auf diese Frage zu antworten, wenn doch in der Anleitung alles Wissenswerte dazu steht?

(Ja, das ist eine rhetorische Frage!)

Gruß
Yopie

Alt 08.01.2007, 20:31   #8
|SONY|
 
1&1 Rechnung - Standard

1&1 Rechnung



OK

Zitat:
(Ja, das ist eine rhetorische Frage!)
musste feststellen der "miesling" lässt sich nicht fixen

Alt 08.01.2007, 20:38   #9
Skedee Wedee
 
1&1 Rechnung - Standard

1&1 Rechnung



Hallo, bin hier gerade bei Freunden, die ebenfalls eine vermeintliche 1&1-Mail über 59,99 Euro erhalten haben. Die E-Mail wurde zwar gelöscht, jedoch ist nicht mehr gewiß, ob vorher noch der exe-Anhang ausgeführt wurde. Daher mal hier der Auszug aus hijackthis, vielleicht könnt ihr mir da weiterhelfen. Meine Vermutung: O20 ist nicht ganz so in Ordnung...

Danke, Skedee Wedee.


Logfile of HijackThis v1.99.1
Scan saved at 20:29:46, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\atwtusb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Baumann\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 08.01.2007, 20:45   #10
Yopie
Moderator, a.D.
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Zitat von Skedee Wedee Beitrag anzeigen
Meine Vermutung: O20 ist nicht ganz so in Ordnung...
Nein, ist i.O.

Auch sonst kein Befall festzustellen anhand des Logs!

An weitere Hilfesuchende:
Erstellt eigene Threads; dies ist eigentlich der Thread von BAFAY
Danke!


Gruß
Yopie

Alt 08.01.2007, 20:51   #11
BAFAY
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Edit:
Oh mist, diese hab ich hier ja komplett übersehen => C:\WINDOWS\system32\TFTP2564
Nabend Yopie!
[/QUOTE]

Danke cosinus für die freundliche und schnelle Antwort.

Ich vernichte vielleicht den vorher gemachten guten Eindruck, aber was bedeutet das für mich.
Die Datei wurde vom Virenscanner in die Quarantäne verschoben. Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ.

Ist die Datei immer noch vorhanden, und/oder bedeutet ihr Vorhanden gewesen sein, dass etwas irreparables passiert ist?

Danke im Voraus
BAFAY

Alt 08.01.2007, 20:57   #12
Skedee Wedee
 
1&1 Rechnung - Standard

1&1 Rechnung



Hallo Yopie,

danke für die schnelle Antwort und für die große Hilfe.

Ich postete hier, da ich nicht wußte, ob mehrere Threads zum gleichen Thema erwünscht sind. Heute Nachmittag wurde einer geschlossen... Hui, dann möchte ich nicht weiter stören und Euch noch viel Glück wünschen, diesen Mist (den Trojaner) auszumerzen!

Viele Grüße,

Skedee Wedee

Alt 08.01.2007, 21:01   #13
Yopie
Moderator, a.D.
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Zitat von BAFAY Beitrag anzeigen
Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ.
Kannst du das Ergebnis zur Sicherheit auch mal checken bei VIRUSTOTAL - Free Online Virus and Malware Scan , und das Ergebnis inkl. Größenangaben und Hash-Werten posten?

Denn laut Google handelt es sich (bzw. um die vorher vom AV erkannte Datei) um einen Backdoor. Aber Antivir hat sie nur heuristisch erkannt, das heißt, ein Fehlalarm ist nicht ausgeschlossen. Würde mich aber bei dem Dateinamen wundern.
Wenns ein Backdoor wäre: siehe Signatur.

Gruß
Yopie

Alt 08.01.2007, 21:05   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
1&1 Rechnung - Standard

1&1 Rechnung



Zitat:
Zitat von BAFAY
Die Datei wurde vom Virenscanner in die Quarantäne verschoben. Ich habe die Datei, die jetzt die Endung .qua hat, wie vorgeschlagen prüfen lassen und das Ergebnis war negativ.
Ich hatte eben nur einen Schreck bekommen, da AntVirs Heuristik angesprungen ist. Das muss nichts bedeuten, aber eine Google-Suche nach diesem Dateinamen ließ Böses befürchten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.01.2007, 21:46   #15
BAFAY
 
1&1 Rechnung - Standard

1&1 Rechnung



Hallo Yopie,

vielen Dank für die schnelle Antwort.

Die Datei habe ich auf der angegben Seite scannen lassen. Das Ergebnis steht unten.

Mir stellte sich nur eine Frage.

Die Datei mit der Endung qua konnte ich an die Email hängen und zu AntiVir schicken.
Die Datei selbst ist noch in der Quarantäne. Ich kann diese auch nicht gefahrlos irgendwohin speichern, weil ich mich zuwenig damit auskenne.
Scanne ich also möglicherweise eine völlig unnütze Sache?

Danke im Voraus
BAFAY

Complete scanning result of "45f64823.qua", received in VirusTotal at 01.08.2007, 21:26:00 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.08.2007 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 no virus found
BitDefender 7.2 01.08.2007 no virus found
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.08.2007 no virus found
DrWeb 4.33 01.08.2007 no virus found
eSafe 7.0.14.0 01.08.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3311 01.08.2007 no virus found
Ewido 4.0 01.08.2007 no virus found
Fortinet 2.82.0.0 01.08.2007 no virus found
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.08.2007 no virus found
Kaspersky 4.0.2.24 01.08.2007 no virus found
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1963 01.08.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.07.2007 no virus found
Prevx1 V2 01.08.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.08.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 no virus found

Aditional Information
File size: 15134 bytes
MD5: 78bcf4744e1c9c4f79a91447d579a0bb
SHA1: 898b5c97ff151fc0c0ba9e5808d5578dd939b13c
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español

Antwort

Themen zu 1&1 Rechnung
0 bytes, 1.exe, antivir, avgnt.exe, avira, bho, browser, ctfmon.exe, disk director, einstellungen, email, email anhang, erste mal, firefox.exe, free download, ftp, hijack, internet, internet explorer, jusched.exe, kaspersky, kernel.exe, lexware, liveupdate.exe, logfile, logon.exe, mozilla, mozilla firefox, nt.dll, prozesse, quara, registry, rundll, services.exe, software, suchlauf, svchost.exe, system, t-online, trojaner, verweise, virus, virus gefunden, warnung, windows, wlan



Ähnliche Themen: 1&1 Rechnung


  1. rechnung.exe mail
    Plagegeister aller Art und deren Bekämpfung - 14.10.2015 (5)
  2. gefälschte Rechnung von Vodaphone mit falschem Link zur angeblichen .pdf-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 18.12.2014 (9)
  3. Telekom Rechnung
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (5)
  4. Trojaner aus Amazon-Rechnung "775499404.Rechnung.11.08.13.PDF.exe"
    Plagegeister aller Art und deren Bekämpfung - 10.12.2013 (16)
  5. Rechnung.zip von Medimops
    Log-Analyse und Auswertung - 25.06.2013 (23)
  6. MalwareBytes RECHNUNG
    Antiviren-, Firewall- und andere Schutzprogramme - 14.10.2012 (5)
  7. Vertrag mit Rechnung . com
    Log-Analyse und Auswertung - 30.07.2012 (1)
  8. Rechnung.exe
    Plagegeister aller Art und deren Bekämpfung - 24.07.2012 (1)
  9. Rechnung.exe Mailware
    Log-Analyse und Auswertung - 17.05.2012 (2)
  10. o2 Rechnung.pdf
    Plagegeister aller Art und deren Bekämpfung - 19.03.2012 (3)
  11. Rechnung.zip / Anhang.zip
    Plagegeister aller Art und deren Bekämpfung - 29.10.2008 (5)
  12. TR/Buzus aus rechnung.exe
    Plagegeister aller Art und deren Bekämpfung - 06.06.2008 (10)
  13. Rechnung pdf.exe
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (9)
  14. auch die 1 und 1 rechnung
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (1)
  15. Trojaner aus 1&1 Rechnung.pdf.exe
    Plagegeister aller Art und deren Bekämpfung - 07.01.2007 (2)
  16. Ebay-Rechnung.pdf.exe
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (21)

Zum Thema 1&1 Rechnung - Hallo, wie viele andere auch habe ich eine 1&1 Rechnung erhalten und morgens nicht die nötige Aufmerksamkeit und Vorsicht aufgebracht. Ablauf: 1&1 Mail erhalten Ich habe zu schnell versucht es - 1&1 Rechnung...
Archiv
Du betrachtest: 1&1 Rechnung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.