1&1 Rechnung

BAFAY

Hallo,
wie viele andere auch habe ich eine 1&1 Rechnung erhalten und morgens nicht die nötige Aufmerksamkeit und Vorsicht aufgebracht.

Ablauf:
1&1 Mail erhalten
Ich habe zu schnell versucht es zu öffnen.
Ich wurde jedoch daran gehindert es auszuführen, da mich entweder die Firewall oder Spybot gefragt hat, ob ich es wirklich möchte.
Ich habe auf abbrechen geklickt.

Danach habe ich AniVir drüberlaufen lassen.Es wurde eine Datei gefunden und in die Quarantäne verschoben und dann gelöscht. Vorher habe ich die Datei an Antivir gesendet. Sie ist noch als Email Anhang vorhanden.
Das Original der 1&1 Email lagert noch bei GMX.

Ich habe auch Spybot drüberlaufen lassen. Es folgte keine Meldung.

Trotzdem habe ich die Befürchtung, dass sich der Trojaner eingenistet haben könnte.

Dies ist das erste Mal, dass ich etwas in ein Forum einstelle. Ich hoffe alles war richtig und ausreichend.



Es folgt der Report von Antivir und der Logfile von HijackThis

Viele Grüße
Bafay

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 8. Januar 2007 13:31

Es wird nach 619674 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.4 208936 Bytes 20.12.2006 10:09:17
AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 12:10:09
LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 12:10:10
LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 12:10:10
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:31:20
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 10:05:46
ANTIVIR2.VDF : 6.37.0.114 874496 Bytes 07.01.2007 11:47:49
ANTIVIR3.VDF : 6.37.0.119 12288 Bytes 08.01.2007 11:47:49
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 22.12.2006 22:35:30
AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 12:10:09
AVREP.DLL : 6.37.0.119 1052712 Bytes 08.01.2007 11:47:49
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 05.05.2006 09:38:34
AVPACK32.DLL : 7.2.0.5 368680 Bytes 30.10.2006 09:17:56
AVREG.DLL : 7.0.1.1 30760 Bytes 15.12.2006 12:10:09
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 12:10:02
RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 12:10:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 8. Januar 2007 13:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Notifier.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AnyDVD.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TOMCAT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Liveupdate.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Warn0190.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mixer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vcdplayx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vdtask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'opware32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'kpf4ss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'w0svc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 31 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WinXP 1>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\TFTP2564
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f64823.qua' verschoben!
Beginne mit der Suche in 'F:\' <Daten 1>


Ende des Suchlaufs: Montag, 8. Januar 2007 15:06
Benötigte Zeit: 1:35:05 min

Der Suchlauf wurde vollständig durchgeführt.

5009 Verzeichnisse wurden überprüft
496451 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
496450 Dateien ohne Befall
2243 Archive wurden durchsucht
2 Warnungen
0 Hinweise




Logfile of HijackThis v1.99.1
Scan saved at 17:44:29, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\FarStone\VirtualDrive\VDTask.exe
C:\WINDOWS\vcdplayx.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
X:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
X:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DOKUME~1\++\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VirtualDrive] "C:\Programme\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "X:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [AnyDVD] X:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136996378593
O17 - HKLM\System\CCS\Services\Tcpip\..\{92B9AEB4-0C71-43BC-814F-BCFCBB733131}: NameServer = 217.237.150.205 217.237.150.188
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe