|
Falsche T-Online-Rechnung Ich habe heute so eine gefälschte T-Online-Rechnung mit diesem Anhang rechnung.pdf.exe bekommen und diesen blöderweise angeklickt, obwohl mein ZoneAlarm mich gewarnt hat (gefährlicher Mail-Anhang). Ich bin sonst sehr vorsichtig, habe in über 13 Jahren PC- und Net-Arbeit nie einen Virus oder dgl. gehabt, aber heute war ich einfach einmal zu schnell beim klicken. AntiVir hat erst die Signatur erneuert, nachdem ich das Ding geklickt hatte, ich update tgl. Er hat dann den Trojaner TR/Dldr.Small.aty erkannt. Ich hab die Datei gelöscht und danach The Cleaner, Spybot, AdAware und F-Prot und nochmals AntiVir mit neuesten Updates drüberlaufen lassen. Außerdem habe ich mit TrojanCheck gesucht, alles negativ, keine Funde. Trotz allem habe ich Schiss, dass noch was sein könnte, hier mein HijackThis-Log: Logfile of HijackThis v1.99.1 Scan saved at 23:55:52, on 10.05.2005 Platform: Windows 98 SE (Win9x 4.10.2222B) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE D:\ONLINE\0190 WARNER\WARN0190.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE D:\PROGRAMME\ZONEALARMPRO\ZLCLIENT.EXE D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE D:\ONLINE\PROXOMITRON\PROXOMITRON.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\ONLINE\MOZILLA\FIREFOX\FIREFOX.EXE E:\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file) O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file) O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [0190 Warner] D:\ONLINE\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarmPro\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Proxomitron.lnk = D:\Online\Proxomitron\Proxomitron.exe O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - Kann mir jemand sagen, ob das was gefährliches zu sehen ist und wie ich sicher sehen kann, dass nichts zurückgeblieben ist? |
@yepper In dem Teil deines Logs musst du Folgendes fixen: Zitat:
Zitat:
Bitte den nächsten Log komplett posten (auch ab O16 weiter). |
Zur Info. Antivir erkennt alle vier Dateien, die mit diesem Downloader heruntergeladen werden. Wenn Antivir im abgesicherten Modus nichts mehr findet und ein aktualisiertes(!)eScan auch nicht, bist du diese Malware los. |
Zitat:
AntiVir: keine Funde eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ---------- c:\bases_x\mwav.log Wed May 11 19:19:17 2005 => File D:\SOFTWARE\SECURITY\THE VIRUS CATCHER\vcsetup.exe infected by "not-a-virus:AdWare.BiSpy.d" Virus. Action Taken: No Action Taken. Wed May 11 20:17:43 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ---------- c:\bases_x\mwav.log Wed May 11 18:54:08 2005 => File C:\Programme\Iomega\DriveIcons\imghr.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wed May 11 18:58:23 2005 => File C:\98SETUP\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. Wed May 11 19:19:23 2005 => File D:\SOFTWARE\SECURITY\PASSWORD-FINDER\password.exe tagged as not-a-virus:RiskWare.PSWTool.Finder.a. No Action Taken. Wed May 11 19:20:06 2005 => File D:\SOFTWARE\TUNING+SYSINFO\TUNE_UP\TUSetup710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wed May 11 19:21:04 2005 => File D:\SOFTWARE\TREIBER\IOMEGA\Deutsch\Programm\ioware-w32-x86-31.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ---------- c:\bases_X\mwav.log Wed May 11 20:17:43 2005 => Total Objects Scanned: 41132 ---------- c:\bases_X\mwav.log Wed May 11 20:17:43 2005 => Total Virus(es) Found: 6 ---------- c:\bases_x\mwav.log Wed May 11 20:17:43 2005 => Total Errors: 12 ---------- c:\bases_x\mwav.log Wed May 11 20:17:43 2005 => Time Elapsed: 02:48:31 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Allerdings habe ich den Eindruck, als wäre das nichts, denn alles läuft schon ewig bei mir. The Virus Catcher ist selbst ein Anti-Virus-Tool, Drive-Icons wird beim Start geladen und gehört schon Jahre zu meinem Iomega-Zip, ebd.cab ist von einem Tool (98lite) mit dem man WIN98 abspecken kann (IE weg etc.), Passwort-Finder und TuneUp sind gebäuchliche und bekannte Programme und ioware-w32-x86-31.exe ist die Installationsdatei (Treiber) für das Iomega-Zip. Das meiste schlummert schon lange in meinem Software-Archiv. Kann es sein, das dies "Fehlalarme" sind? Ist da nun ein Hinweis auf den "Telekom-Trojaner" dabei? |
Also der Telkom-Trojaner ist da nicht mehr. Das andere ist nur "Riskware" in diesem fall nichts schlimmes. Schick die vcsetup.exe an virus at rokop-security.de oder wenn du willst gleich selber an newvirus at kaspersky.com und frag, ob es ein Fehlalarm ist..... |
Zitat:
|
Zitat:
neuster Log: Logfile of HijackThis v1.99.1 Scan saved at 21:22:04, on 11.05.2005 Platform: Windows 98 SE (Win9x 4.10.2222B) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE D:\ONLINE\0190 WARNER\WARN0190.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE D:\PROGRAMME\ZONEALARMPRO\ZLCLIENT.EXE D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE D:\ONLINE\PROXOMITRON\PROXOMITRON.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE E:\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Online\FreshDownload\fdcatch.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - D:\ONLINE\FREE DOWNLOAD MANAGER\IEFDM.DLL O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [0190 Warner] D:\ONLINE\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarmPro\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Proxomitron.lnk = D:\Online\Proxomitron\Proxomitron.exe O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - Mehr Zeilen hab ich nicht, O 16 ist die letzte! Die R0-EInträge, die jetzt noch stehen, kommen nach dem fixen erneut, sind die "gefährlich"? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:01 Uhr. |
Copyright ©2000-2024, Trojaner-Board