Virus/Trojaner eingefangen?

Dieses Thema im Forum "Sicherheit" wurde erstellt von hellrais, 11. August 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hellrais

    hellrais Byte

    Registriert seit:
    24. Januar 2004
    Beiträge:
    26
    Hi Experts!

    Meine Freundin hat gestern eine E-Mail über ihren Arcor-Account im Internet (also kein Outlook oder anderes E-Mail-Programm verwendet) plus einen Anhang (eine gescannte Seite) verschickt und der Empfänger hat viel mehr Anhänge erhalten: viele private Fotos und andere Dokumente!?!

    Wenn man in "Gesendet" schaut, wird da als Anhang bloß diese eine Seite angezeigt!!!

    - habe einen P4 mit 3,04 GHz, Betriebssystem XP (SP2)
    - Virenscanner: AntiVir (Freeare-Version; absolut auf dem neuesten Stand)
    - Firewall: ZoneAlarm (Freeware-Version)
    - nutze auch noch Spybot S&D
    - Internetverbindung per ISDN

    AntiVir-Suche hat nichts ergeben. Spybot S&D fand nur "harmlose" Tracking Cookies!

    Haben wir uns da etwas eingefangen, dass an E-Mails einfach mal mehr dranhängt als gewünscht??? Und wenn ja, was ist es und wie kriege ich es weg? Bin für jeden Hinweis dankbar!
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
     
  3. hellrais

    hellrais Byte

    Registriert seit:
    24. Januar 2004
    Beiträge:
    26
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also da ist soweit nichts dabei was Mailanhänge o.ä. manipulieren könnte. Fixe (Haken davor und auf fix checked) folgende Einträge:
    O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - hxxp://www.medionshop.de/ (file missing) (HKCU)
    O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.winduxxpdates.com/get_file.php?bt=ie&p=ba1985beb0a097aa1e4291e83e466 eca7517a27142c1ec0fbdd095bd01f825cf424385b4ce859d29c47d9d69a59b79e9f99d08ed05924 424f05e9add:133fa6db93b1a3bc33dac6d5a5648475

    Habt ihr eigentlich mal versucht das ganze zu wiederholen, vielleicht war es ja doch nur ein "Unfall" das die ganzen anderen Dokumente mitgeschickt wurden?
    Wenn ihr noch auf Nummer sicher gehen wollt könnt ihr ja mal Escan drüberlaufen lassen und posten was der so ausspuckt. Aber eigentlich gehe ich davon aus das der Rechner sauber ist.


    Grüße Jasager
     
  5. Tamburas

    Tamburas Guest

    Na ja, ganz so locker sehe ich das nicht:

    O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab

    Du bist sicher, dass du mit einem Dialer surfen möchtest? Hast du dir das wissentlich installiert? Wenn nicht, dann sichere diese Datei vor dem Fixen auf Diskette (passt) und konsultiere bei einer erhöhten Telefonrechnung einen Rechtsanwalt deines Vertrauens. (Das ActiveX-Objekt ermöglicht den Download von Dialern, ist für sich allerdings harmlos)

    Ähnlich nett ist
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_file.php?bt=ie&p=ba1985beb0a097aa1e4291e83e466 eca7517a27142c1ec0fbdd095bd01f825cf424385b4ce859d29c47d9d69a59b79e9f99d08ed05924 424f05e9add:133fa6db93b1a3bc33dac6d5a5648475

    Das ist ein Trojan Downloader, ebenfalls für sich betrachtet noch keine Katastrophe, aber man sollte mal nachhaken.

    Lasse mal -wie bereits empfohlen- Escan drüberlaufen.

    P.S.: Wenn du nochmal HJT-Logfiles ins netz stellst, editiere deinen Namen. Muss ja nicht jeder wissen, dass du Peter Müller heißt.
     
  6. hellrais

    hellrais Byte

    Registriert seit:
    24. Januar 2004
    Beiträge:
    26
    Habe nun Escan über mein System laufen lassen. Ergebnis: 3 Virenfunde! Die entsprechende Logfile-Einträge:

    Wed Aug 24 19:37:28 2005 => Offending value found in HKLM\Software\windows adcontrol !!!
    Wed Aug 24 19:37:28 2005 => Object "WinAD Spyware/Adware" found in File System! Action Taken: No Action Taken.

    Wed Aug 24 19:37:58 2005 => Offending file found: C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\cmdlineext02.dll
    Wed Aug 24 19:37:58 2005 => System found infected with WhenU.SaveNow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

    File C:\WINDOWS\Downloaded Program Files\WinAdCtlX.dll tagged as "not-a-virus:AdWare.WinAD". Action Taken: No Action Taken.

    Und jetzt? habe versucht, die Verdächtigen mit Spybot aufzuspüren - vergeblich! Bin für Tipps dankbar!
     
  7. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Bitte ein HiJackThis erstellen und den LINK zur Auswertung hier posten.

    Wolfgang77
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also diese Dateien solltest du doch ganz einfach mit dem Explorer finden und löschen können:
    C:\WINDOWS\Downloaded Program Files\WinAdCtlX.dll
    C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\cmdlineext02.dl
    ( Dateien richtig suchen )
    Schau mal in deine Systemsteuerung >>Software ob da auffällige Einträge sind, wie
    WinAD
    WhenU
    Savenow
    Wenn ja deinstallieren
    Danach mal im Explorer Rechtsklick auf C:\ >>Eigenschaften bereinigen
    Ev. mal Regseeker drüberlaufen lassen, wie bei allen Registrybereinigungsprogrammen auf eigene Gefahr.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen