Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?

Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?


Log-Analyse und Auswertung: Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 14.07.2008, 20:36   #1
flyingbob
 
Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert? - Standard

Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?


Hallo an alle,

ich bitte um eure Hilfe. Und zwar habe ich folgendes Problem. Ich habe gestern eine E-Mail bekommen, in der im Anhang eine Lieferschein.exe-Datei enthalten war. Die E-Mail war als eine Informationsmail von UPS getarnt. Inzwischen habe ich das ganze mal gegooglet, weil mir der Text schon spanisch vorkam. Es hat sich heraus gestellt, dass es sich um einen Trojaner handel. Auch wenn es wohl das Dümmste ist, habe ich jedenfalls, bevor ich gegooglet habe auf die exe-Datei geklickt. Ich benutze Antivir. Das Virenprogramm genauso wie die Firewall hat nichts gemeldet bei der Ausführung der exe-Datei. Inzwischen ist die Mail natürlich gelöscht, deshalb kann ich auch den Text nicht zitieren. Habe mich mal hier umgesehen und eine HijackThis-file erzeugt und editiert.


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:57, on 14.07.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Intel\Intel Media Share Software\Viivmonitor.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
O4 - HKLM\..\Run: [ViivMonitor] C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O13 - Gopher Prefix: 
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel® Media Share Synch Service (IMSSync) - Intel® Corporation - C:\Program Files\Intel\Intel Media Share Software\IMSSync.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9512 bytes
Danach habe ich es mal auswerten lassen. Bei der Auswertung gab es drei Einträge, die da wären:

"
Code:
ATTFilter
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!"

"
Code:
ATTFilter
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!"

und

"
Code:
ATTFilter
Unbekannt
	O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
Schädlich
Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!"

Auf der Seite h**p://www.viruslist.com/de/news?id=201612130 habe ich dazu folgende Informationen gefunden:

"Aktuell werden Spam-Mails mit Malware im Anhang verschickt. Sie kommen mit einem Betreff wie "Ihr UPS Paket N1234567890" (die Ziffern variieren) und der gefälschten Absenderangabe "UPS Packet Service". Darin heißt es in nicht ganz fehlerfreiem Deutsch, ein am 1. Juli abgeschicktes Paket habe nicht zugestellt werden können, weil die Empfängeradresse nicht existiere. Der Empfänger möge doch den beigefügten Lieferschein ausdrucken und das Paket bei UPS abholen.

Die Mails kommen alle von unterschiedlichen Rechnern eines Botnets, teils aus Frankreich, teils aus Deutschland oder von ganz woanders her. Sie sind auch bereits bei Adressaten in der Schweiz und Österreich aufgeschlagen.

Der Anhang, auf den der Mail-Text verweist, besteht aus einem 48 KB großes ZIP-Archiv namens "UPS_Lieferschein.zip". Dieses enthält eine entpackt 56 KB große Programmdatei mit dem Namen "UPS_Lieferschein.exe". Dabei handelt es sich keineswegs wie angegeben um ein Formular zum Ausdrucken sondern um ein Trojanisches Pferd.

Wird die EXE-Datei ausgeführt, legt sie im Verzeichnis \Windows\System32 eine Datei mit dem Namen "ntos.exe" an. Diese trägt es dann in den Schlüssel "HKEY_LOCAL_Machine\software\microsoft\windows nt\currentversion\winlogon" der Registry ein. Dadurch wird der Schädling bei jedem Start von Windows aufgerufen."

Allerdings habe ich keine ntos.exe bei mir im System32-Order finden können, auch nachdem ich eingestellt habe, dass auch die versteckten Ordner und Dateien angezeigt werden sollen.

Und meine Fragen wären jetzt:

Kennt jemand diesen Trojaner?

Ist mein Laptop damit infiziert?

Und wie entferne ich den wieder?

Schon mal vielen Dank für eure Hilfe im Voraus

 

Themen zu Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?
agere systems, auswerten, avg, avira, bho, browser, e-mail, excel, firefox, frage, gservice, helper, hijack, infiziert?, internet, internet explorer, lieferschein.zip, mailanhang, malware, mozilla, mozilla firefox, mozilla thunderbird, object, programm, registry, rundll, schädling, software, solution, spam-mails, start von windows, system, trojaner, vielen dank, vista, windows, windows defender, windows sidebar


« TR/Monderb.33664 wird immer von Avira AntiVir angezeigt und kann nicht gelöscht werde | Dringend Hilfe gesucht - Trojan horse Downloader.Tiny., Troj. Pferde »


Ähnliche Themen: Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?


  1. Laptop infiziert?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2015 (20)
  2. Laptop infiziert mit CryptoWall 3.0...
    Plagegeister aller Art und deren Bekämpfung - 13.04.2015 (5)
  3. Win XP: Mailanhang .zip geöffnet - war aber keine gezipte Datei - pishing?
    Log-Analyse und Auswertung - 02.10.2014 (11)
  4. Windows 7: Spam-Mail geöffnet, bin ich infiziert?
    Log-Analyse und Auswertung - 25.06.2014 (9)
  5. Wie stark infiziert ist der Laptop?
    Log-Analyse und Auswertung - 25.04.2014 (9)
  6. verdächtige Email mit zip Anhang geöffnet- Laptop nun infiziert?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (6)
  7. unter anderem TR/Agent.249856.76 - angebliche Mahnung im Mailanhang infiziert Rechner mit Trojaner
    Log-Analyse und Auswertung - 14.03.2013 (11)
  8. Spammail über Googlemail geöffnet (Könnte mein Rechner jetzt infiziert sein?)
    Überwachung, Datenschutz und Spam - 10.01.2013 (12)
  9. Lösegeldtrojaner durch Lieferschein.zip
    Log-Analyse und Auswertung - 27.05.2012 (11)
  10. Gefälschte Vodafone Rechnung geöffnet, bin ich jetzt mit duqu Virus infiziert???
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (12)
  11. Datei dhm.scr mit Bifrose / Bifrost geöffnet - ist mein PC infiziert?
    Log-Analyse und Auswertung - 24.05.2010 (6)
  12. Laptop infiziert?
    Log-Analyse und Auswertung - 26.01.2010 (4)
  13. UPS-Lieferschein HijackThis Logfile
    Log-Analyse und Auswertung - 26.07.2008 (10)
  14. Warnung vor Trojaner im UPS Lieferschein
    Log-Analyse und Auswertung - 15.07.2008 (2)
  15. Ist mein Laptop infiziert???
    Mülltonne - 17.05.2008 (0)
  16. Laptop infiziert
    Plagegeister aller Art und deren Bekämpfung - 19.04.2008 (6)
  17. Laptop infiziert???
    Log-Analyse und Auswertung - 11.06.2007 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert? - Hallo an alle, ich bitte um eure Hilfe. Und zwar habe ich folgendes Problem. Ich habe gestern eine E-Mail bekommen, in der im Anhang eine Lieferschein.exe-Datei enthalten war. Die E-Mail - Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert?...
Archiv
Du betrachtest: Lieferschein.exe im Mailanhang geöffnet, Laptop infiziert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19