Ergebnis 1 bis 8 von 8

Thema: Trojaner über gefälschte 1&1 Rechnungs-mail

  1. #1
    Einsteiger
    Registriert seit
    07.01.2007
    Beiträge
    4

    Trojaner über gefälschte 1&1 Rechnungs-mail

    Habe mir über eine gefälschte 1&1 rechnungs-e-mail mit Anhang "Rechnung.pdf.exe" und 2.Anhang "Teil 1.3" evtl. einen Trojaner eingefangen: Ja, ich weiß. .exe-Dateien öffnet man nicht usw., aber ich war schlicht und einfach zu schnell!

    Nachfolgend der HiJackThis Logfile:


    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 21:27:56, on 07.01.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Ahead\InCD\InCDsrv.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    C:\Programme\Winamp\Winampa.exe
    C:\Programme\Ahead\InCD\InCD.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\WDBtnMgr.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    D:\3.0\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\svchost.exe
    D:\1&1 EasyLogin\EasyLogin.exe
    D:\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe
    C:\Programme\FRITZ!DSL\StCenter.exe
    D:\Common\Bin\WinCinemaMgr.exe
    C:\Programme\VIA\RAID\raid_tool.exe
    C:\Programme\OpenOffice.org 2.0\program\soffice.exe
    C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Dantz\Retrospect\retrorun.exe
    C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\DOKUME~1\GERALD~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\nalthmmy.dll (file missing)
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
    O2 - BHO: (no name) - {D4B1BE2A-D7DF-43E1-B05B-0957572C4021} - (no file)
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime Alternative\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [1&1 EasyLogin] "D:\1&1 EasyLogin\EasyLogin.exe" HIDE
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [D:\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
    O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
    O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Reader\AdobeCollabSync.exe
    O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
    O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153490698203
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153490689796
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A070AEDA-8097-4C5F-ABAE-0A2C4AB3EDAE}: NameServer = 145.253.2.171,194.25.2.129,217.237.150.97
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
    O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
    O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    Bitte um Info, wo ich nach welchen Files suchen muss!!!


    Danke im voraus an alle,

    gh_Weinberg
    Geändert von gh_Weinberg (07.01.2007 um 22:06 Uhr)

  2. #2
    Moderator (global) Team-Mitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.588

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    hi

    wichtig: logfile im tag [code] posten (bitte auch dein gepostetes logfile in den tag code setzten) ->

    diese datei(en) hier bei virustotal oder bei Jotti überprüfen lassen, ergebnis (egal wie es aussieht, von der ersten bis zur letzten zeile -> nichts auslassen) posten.

    C:\WINDOWS\system32\1028x.exe
    C:\WINDOWS\system32\ptipbmf.dll oder
    C:\WINDOWS\ptipbmf.dll
    C:\WINDOWS\system32\nalthmmy.dll

    bitte leg deine hijackthis.exe in einen separaten ordner C:\programme\hijackthis
    und benenne sie in 1_99_1.com um

    • download von filelist.zip auf deinen desktop.
    • entpacke hier die zip datei
    • starte nun durch einen doppelklick auf die datei filelist.bat das stapelverarbeitungsprogramm
    • dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
    • markiere den inhalt und füge in hier im forum in deinem beitrag ein.
    • wichtig: logfile im tag [code] posten
    • formatiere nun deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.
    • das sind alle verzeichnisse, die mit dieser filelist.bat ausgelesen werden.
      1. Verzeichnis von C:\
      2. Verzeichnis von C:\WINDOWS
      3. Verzeichnis von C:\WINDOWS\system
      4. Verzeichnis von C:\WINDOWS\system32
      5. Verzeichnis von C:\WINDOWS\Prefetch
      6. Verzeichnis von C:\WINDOWS\tasks
      7. Verzeichnis von C:\WINDOWS\Temp
      8. Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
    Geändert von Speedy (07.01.2007 um 21:48 Uhr)
    lg
    www.Speedyweb.at.tf
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche forum und keinesfalls über privatnachrichten oder email !!

  3. #3
    Einsteiger
    Registriert seit
    07.01.2007
    Beiträge
    4

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    @speedy,

    vielen Dank für die schnelle Antwort. Die Formatierung habe ich geändert.

    Von den 4 angegebenen Dateien habe ich nur die ptipbmf.dll gefunden.

    die Scans ergaben folgendes Ergebnis:

    Datei: ptipbmf.dll Auslastung:
    0% 100%
    Status:
    OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme:
    -
    AntiVir
    Keine Viren gefunden
    ArcaVir
    Keine Viren gefunden
    Avast
    Keine Viren gefunden
    AVG Antivirus
    Keine Viren gefunden
    BitDefender
    Keine Viren gefunden
    ClamAV
    Keine Viren gefunden
    Dr.Web
    Keine Viren gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    F-Secure Anti-Virus
    Keine Viren gefunden
    Fortinet
    Keine Viren gefunden
    Kaspersky Anti-Virus
    Keine Viren gefunden
    NOD32
    Keine Viren gefunden
    Norman Virus Control
    Keine Viren gefunden
    VirusBuster
    Keine Viren gefunden
    VBA32
    Keine Viren gefunden


    Complete scanning result of "ptipbmf.dll", received in VirusTotal at 01.07.2007, 23:19:42 (CET).
    Antivirus Version Update Result
    AntiVir 7.3.0.21 01.07.2007 no virus found
    Authentium 4.93.8 12.30.2006 no virus found
    Avast 4.7.892.0 12.30.2006 no virus found
    AVG 386 01.07.2007 no virus found
    BitDefender 7.2 01.07.2007 no virus found
    CAT-QuickHeal 9.00 01.06.2007 no virus found
    ClamAV devel-20060426 01.07.2007 no virus found
    DrWeb 4.33 01.07.2007 no virus found
    eSafe 7.0.14.0 01.07.2007 no virus found
    eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
    eTrust-Vet 30.3.3307 01.06.2007 no virus found
    Ewido 4.0 01.07.2007 no virus found
    Fortinet 2.82.0.0 01.07.2007 no virus found
    F-Prot 3.16f 01.05.2007 no virus found
    F-Prot4 4.2.1.29 01.05.2007 no virus found
    Ikarus T3.1.0.27 01.07.2007 no virus found
    Kaspersky 4.0.2.24 01.07.2007 no virus found
    McAfee 4933 01.05.2007 no virus found
    Microsoft 1.1904 01.07.2007 no virus found
    NOD32v2 1960 01.06.2007 no virus found
    Norman 5.80.02 12.31.2007 no virus found
    Panda 9.0.0.4 01.07.2007 no virus found
    Prevx1 V2 01.07.2007 no virus found
    Sophos 4.13.0 01.05.2007 no virus found
    Sunbelt 2.2.907.0 01.05.2007 no virus found
    TheHacker 6.0.3.145 01.07.2007 no virus found
    UNA 1.83 01.06.2007 no virus found
    VBA32 3.11.1 01.07.2007 no virus found
    VirusBuster 4.3.19:9 01.07.2007 no virus found
    Aditional Information
    File size: 118784 bytes
    MD5: 8ceadaf5628edbe232e0c6e905da77e8
    SHA1: 04caf7f1168c7c0f5dfe48f50b3bcf87f3017ac9

    Die Hijackthis.exe habe ich auch nicht, nur eine Hijackthis.Zip, meinst Du etwa die, oder die nach dem HiJackThis erhaltenen TextFiles?

    Die Prüfung mit Filelist folgt später!

    Gruß,

    gh_Weinberg

    Das sind nun die Daten:

    Code:
    ----- Root ----------------------------- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\
    
    07.01.2007  23:46                43 filelist.txt
    07.01.2007  11:32     1.610.612.736 pagefile.sys
                  23 Datei(en)  1.626.799.022 Bytes
                   0 Verzeichnis(se),  9.746.067.456 Bytes frei
     
    ----- Windows -------------------------- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\WINDOWS
    
    07.01.2007  21:18         1.198.199 WindowsUpdate.log
    07.01.2007  21:04               132 winamp.ini
    07.01.2007  11:54               254 wiadebug.log
    07.01.2007  11:33                 0 0.log
    07.01.2007  11:33                50 wiaservc.log
    07.01.2007  11:32             2.048 bootstat.dat
    07.01.2007  09:45            32.580 SchedLgU.Txt
    02.01.2007  20:53               116 NeroDigital.ini
    29.12.2006  10:37               315 setupact.log
    27.12.2006  12:26            14.159 mozver.dat
    18.12.2006  22:30            61.334 tsoc.log
    18.12.2006  22:30             6.705 KB925398.log
    18.12.2006  22:30             1.393 imsins.log
    18.12.2006  22:30            26.105 iis6.log
    18.12.2006  22:30            51.623 comsetup.log
    18.12.2006  22:30             8.550 ocmsn.log
    18.12.2006  22:30            31.265 ntdtcsetup.log
    18.12.2006  22:30            75.816 ocgen.log
    18.12.2006  22:30             8.034 msgsocm.log
    18.12.2006  22:30           160.745 FaxSetup.log
    18.12.2006  22:30           133.120 setupapi.log
    18.12.2006  22:30             8.328 KB923689.log
    18.12.2006  22:30             1.393 imsins.BAK
    18.12.2006  22:30            35.909 updspapi.log
    18.12.2006  22:29            11.097 KB926255.log
    18.12.2006  22:29            10.875 KB923694.log
    18.12.2006  22:12             7.147 spupdsvc.log
    18.12.2006  20:29            23.150 ie7_main.log
    18.12.2006  20:28            62.611 ie7.log
    18.12.2006  20:28             7.191 IDNMitigationAPIs.log
    18.12.2006  20:28             6.954 NLSDownlevelMapping.log
    18.12.2006  20:27             8.260 KB915865.log
    18.12.2006  20:27             5.970 KB914440.log
    18.12.2006  20:27            24.445 KB920213.log
    18.12.2006  20:27            11.579 KB904942.log
    14.12.2006  17:51               573 win.ini
    10.12.2006  21:21            17.712 KB923980.log
    10.12.2006  21:21            17.737 KB924270.log
    10.12.2006  21:20            19.537 KB922760.log
    09.12.2006  13:06               335 nsreg.dat
    09.12.2006  13:06           141.907 SeaMonkeyUninstall.exe
    09.12.2006  13:06           114.688 GREUninstall.exe
    09.12.2006  13:02               345 wininit.ini
                 138 Datei(en)     23.635.838 Bytes
                   0 Verzeichnis(se),  9.746.042.880 Bytes frei
     
    ----- System  --- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\WINDOWS\system
                  26 Datei(en)      1.695.739 Bytes
                   0 Verzeichnis(se),  9.746.046.976 Bytes frei
     
    ----- System 32 (Achtung: Zeitfenster beachten!) --- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\WINDOWS\system32
    
    07.01.2007  13:33            57.048 ipv6monl.dll
    07.01.2007  11:33            17.555 nvapps.xml
    05.01.2007  21:00            13.646 wpa.dbl
    23.12.2006  11:22           208.896 FNTCACHE.DAT
    15.12.2006  21:09         2.181.632 ntoskrnl.exe
    08.12.2006  00:13        10.716.584 MRT.exe
    07.12.2006  06:29         2.374.472 wmvcore.dll
                2053 Datei(en)  1.631.896.335 Bytes
                   0 Verzeichnis(se),  9.745.862.656 Bytes frei
     
    ----- Prefetch ------------------------- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\WINDOWS\Prefetch
    
    07.01.2007  23:46            11.370 FIND.EXE-0EC32F1E.pf
    07.01.2007  23:46            12.812 CMD.EXE-087B4001.pf
    07.01.2007  23:46            12.872 VERCLSID.EXE-3667BD89.pf
    07.01.2007  23:37           101.404 WINWORD.EXE-1F324F4C.pf
    07.01.2007  23:30           121.958 NOTEPAD.EXE-336351A9.pf
    07.01.2007  23:09            43.622 RUNDLL32.EXE-1C77EE9E.pf
    07.01.2007  23:07            17.486 RUNDLL32.EXE-4BFB9A5F.pf
    07.01.2007  23:07            16.432 HIJACKTHIS.EXE-20B4E376.pf
    07.01.2007  22:47            91.858 THUNDERBIRD.EXE-031A6371.pf
    07.01.2007  22:43           101.510 FIREFOX.EXE-09ED6DBB.pf
    07.01.2007  22:23            55.166 GREUNINSTALL.EXE-07F7B3DB.pf
    07.01.2007  22:23            10.490 UNINSTALL.EXE-2540F5C3.pf
    07.01.2007  22:03            36.630 CONTROL.EXE-013DBFB5.pf
    07.01.2007  22:03            12.908 RUNDLL32.EXE-3D97474F.pf
    07.01.2007  22:02            16.596 SEAMONKEY.EXE-10ABC95D.pf
    07.01.2007  22:02            29.938 UNINSTALL.EXE-02CA81CE.pf
    07.01.2007  22:02            18.836 SEAMONKEYUNINSTALL.EXE-00C754B4.pf
    07.01.2007  22:01            55.598 RUNDLL32.EXE-13404D23.pf
    07.01.2007  21:27            58.806 HIJACKTHIS.EXE-2C1C074D.pf
    07.01.2007  21:25            14.240 FLASHGOT.EXE-348E077B.pf
    07.01.2007  21:22            15.204 REGEDIT.EXE-1B606482.pf
    07.01.2007  21:03            78.110 WINAMP.EXE-08C38ED9.pf
    07.01.2007  20:56            37.404 A2FREE.EXE-283F41FE.pf
    07.01.2007  20:35            61.770 ACRORD32.EXE-3ABC539A.pf
    07.01.2007  20:31            34.192 SMC.EXE-0B61F84B.pf
    07.01.2007  20:29            72.396 A2HIJACKFREE.EXE-16E318EB.pf
    07.01.2007  20:23            37.116 AD-AWARE.EXE-063A652A.pf
    07.01.2007  17:13            12.370 RUNDLL32.EXE-268BFF96.pf
    07.01.2007  17:09            22.850 STVIEWER.EXE-15A0D13A.pf
    07.01.2007  17:00            81.006 STITCH.EXE-16029695.pf
    07.01.2007  17:00            16.686 STLAUNCHER.EXE-11F60F77.pf
    07.01.2007  16:35            60.564 PHOTORECORD.EXE-349504C4.pf
    07.01.2007  16:19            70.272 CORELPP.EXE-0EEF2B74.pf
    07.01.2007  16:19            59.782 REALPLAY.EXE-39F79CBD.pf
    07.01.2007  16:19            12.192 REALSCHED.EXE-0A2A7558.pf
    07.01.2007  16:10           171.888 I_VIEW32.EXE-17A4EE60.pf
    07.01.2007  15:39            84.442 DFRGNTFS.EXE-269967DF.pf
    07.01.2007  15:39            16.024 DEFRAG.EXE-273F131E.pf
    07.01.2007  15:39           713.626 Layout.ini
    07.01.2007  14:46            23.208 WUAUCLT.EXE-399A8E72.pf
    07.01.2007  12:09           110.594 FIREFOX.EXE-1D57670A.pf
    07.01.2007  11:34            55.968 WMIPRVSE.EXE-28F301A9.pf
    07.01.2007  11:34            29.450 FBOXUPD.EXE-201EA6D5.pf
    07.01.2007  11:34             9.600 WSCNTFY.EXE-1B24F5EB.pf
    07.01.2007  11:34            19.690 ALG.EXE-0F138680.pf
    07.01.2007  11:34            16.160 CLIPINC-SERVER.EXE-26479852.pf
    07.01.2007  11:34         1.206.556 NTOSBOOT-B00DFAAD.pf
    06.01.2007  17:31            30.348 LOGONUI.EXE-0AF22957.pf
    06.01.2007  17:31            12.358 RUNDLL32.EXE-451FC2C0.pf
    06.01.2007  16:12            16.554 RUNDLL32.EXE-2E5AF1D7.pf
    06.01.2007  15:31            31.676 MOVIEPLAYER.EXE-03B2BD03.pf
    06.01.2007  15:31            16.256 RUNDLL32.EXE-2A94BB85.pf
    06.01.2007  15:31            17.122 ~F1D055.TMP-1200A949.pf
    06.01.2007  15:31            22.766 AOMX.EXE-03605304.pf
    06.01.2007  13:15           115.742 GW.EXE-3092052A.pf
    06.01.2007  12:40            14.826 SETUP.EXE-393E66AE.pf
    06.01.2007  12:39            15.462 RUNDLL32.EXE-31610E45.pf
    06.01.2007  10:14             6.086 LOGON.SCR-151EFAEA.pf
    05.01.2007  23:03           111.376 HELPSVC.EXE-2878DDA2.pf
                  59 Datei(en)      4.380.224 Bytes
                   0 Verzeichnis(se),  9.745.944.576 Bytes frei
     
    ----- Tasks ---------------------------- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\WINDOWS\tasks
    
    07.01.2007  11:32                 6 SA.DAT
                   2 Datei(en)             71 Bytes
                   0 Verzeichnis(se),  9.745.944.576 Bytes frei
     
    ----- Windows/Temp ----------------------- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\WINDOWS\Temp
    
    12.12.2006  18:11            16.384 Perflib_Perfdata_b4c.dat
    10.12.2006  21:21               578 MSIa8d76.LOG
    10.12.2006  21:21                20 ~F8.tmp
    10.12.2006  21:21               464 DLL_{505AFDC0-5E72-4928-8368-5DEA385E3647}.ini
    07.12.2006  21:14                 0 Upd9D.tmp
                   6 Datei(en)         17.446 Bytes
                   0 Verzeichnis(se),  9.745.940.480 Bytes frei
     
    ----- Temp ----------------------------- 
     Datentr„ger in Laufwerk C: ist SYSTEM     
     Volumeseriennummer: C8B2-2438
    
     Verzeichnis von C:\DOKUME~1\GERALD~1\LOKALE~1\Temp
    
    07.01.2007  23:42               669 TWAIN.LOG
    07.01.2007  23:42                 5 Twain001.Mtx
    07.01.2007  23:42               156 Twunk001.MTX
    07.01.2007  23:37               512 ~DF290F.tmp
    07.01.2007  23:37            32.768 ~WRF0004.tmp
    07.01.2007  23:37               512 ~DFE7A3.tmp
    07.01.2007  23:37               512 ~DFE3FA.tmp
    07.01.2007  15:54                 0 pnl55.tmp
    07.01.2007  13:33            83.672 7287921.exe
    07.01.2007  11:42            30.324 jusched.log
    07.01.2007  11:33            32.768 ~DF6E9.tmp
    07.01.2007  09:37               412 1378703.exe
    07.01.2007  09:15            32.768 ~DF479.tmp
    06.01.2007  12:40               337 DelUS.bat
    06.01.2007  09:35            32.768 ~DF615.tmp
    05.01.2007  21:11             9.814 GLGA.tmp
    05.01.2007  21:10            12.800 GLM8.tmp
    05.01.2007  21:10            31.232 GLK7.tmp
    05.01.2007  21:10             2.560 GLJ6.tmp
    05.01.2007  21:10           160.768 GLC5.tmp
    05.01.2007  21:00            32.768 ~DF8413.tmp
    04.01.2007  09:42            32.768 ~DFFE55.tmp
    03.01.2007  09:15            32.768 ~DF7CB.tmp
    02.01.2007  20:53                 0 x3fA.tmp
    02.01.2007  14:24            32.768 ~DF253.tmp
    02.01.2007  02:43               156 3DBC4EFB.TMP
    01.01.2007  12:33                25 temp.m3u
    30.12.2006  11:47            32.768 ~DF5DC.tmp
    29.12.2006  21:26            10.152 java_install_reg.log
    29.12.2006  20:42                 0 67550.tmp
    29.12.2006  10:35            32.768 ~DF853.tmp
    28.12.2006  16:05            32.768 ~DF7733.tmp
    28.12.2006  10:55            32.768 ~DF7DC5.tmp
    25.12.2006  15:03            32.768 ~DF1649.tmp
    24.12.2006  14:47            32.768 ~DF646.tmp
    24.12.2006  14:44           150.753 5E015B7.dmp
    24.12.2006  14:44             8.092 1e98_appcompat.txt
    24.12.2006  09:56               125 temp.pls
    23.12.2006  11:22            32.768 ~DF110A.tmp
    22.12.2006  12:31                 0 8z526B.tmp
    22.12.2006  12:31                 0 g5g26A.tmp
    22.12.2006  12:31                 0 kap269.tmp
    22.12.2006  12:30                 0 vyi268.tmp
    22.12.2006  12:30                 0 nt7267.tmp
    22.12.2006  12:29                 0 wyr266.tmp
    21.12.2006  18:50               500 RunTime.ini
    20.12.2006  11:30            16.384 ~WRF0003.tmp
    20.12.2006  11:30                 0 ~WRS0000.tmp
    20.12.2006  11:30                78 dw.log
    19.12.2006  22:40            32.768 ~DFA00A.tmp
    19.12.2006  18:26            32.768 ~DFFE7A.tmp
    19.12.2006  10:26            32.768 ~DF7D54.tmp
    18.12.2006  22:12            32.768 ~DF2A41.tmp
    18.12.2006  17:59            32.768 ~DFEC8C.tmp
    18.12.2006  16:19                 0 ub159.tmp
    18.12.2006  14:34            32.768 ~DF759F.tmp
    17.12.2006  02:17                 0 klr41.tmp
    17.12.2006  02:16                 0 lkn3C.tmp
    17.12.2006  02:16                 0 khn3B.tmp
    17.12.2006  02:16                 0 q283A.tmp
    17.12.2006  02:16                 0 4z839.tmp
    17.12.2006  02:16                 0 4n238.tmp
    17.12.2006  02:16                 0 9ow37.tmp
    17.12.2006  02:15                 0 nzr36.tmp
    17.12.2006  02:15                 0 dpy35.tmp
    17.12.2006  02:15                 0 agr34.tmp
    17.12.2006  02:15                 0 9dq33.tmp
    17.12.2006  01:46            32.768 ~DFEF01.tmp
    16.12.2006  21:28                 0 jupdate1.5.0.xml
    16.12.2006  21:18            32.768 ~DFEB0B.tmp
    16.12.2006  19:52            52.092 e026_appcompat.txt
    16.12.2006  12:43            32.768 ~DFDC85.tmp
    15.12.2006  21:34            32.768 ~DFF43B.tmp
    15.12.2006  20:35            32.768 ~DFF20D.tmp
    15.12.2006  19:10            32.768 ~DFDA5B.tmp
    15.12.2006  16:42            32.768 ~DFB8A3.tmp
    13.12.2006  22:19                 0 k234E.tmp
    13.12.2006  22:17                 0 a574D.tmp
    13.12.2006  22:13                 0 4jb4C.tmp
    13.12.2006  17:29            32.768 ~DF6D4F.tmp
    13.12.2006  13:49            32.768 ~DFE6CC.tmp
    12.12.2006  18:14            32.768 ~DFED2E.tmp
    12.12.2006  17:05            32.768 ~DFC27.tmp
    12.12.2006  16:13            32.768 ~DFE397.tmp
    12.12.2006  14:07            32.768 ~DFEC35.tmp
    11.12.2006  21:04            32.768 ~DFED14.tmp
    11.12.2006  18:55                 0 0ppA.tmp
    11.12.2006  18:52                 0 5py9.tmp
    11.12.2006  18:50                 0 0858.tmp
    11.12.2006  18:43            32.768 ~DFD513.tmp
    11.12.2006  14:54            32.768 ~DFE106.tmp
    11.12.2006  08:59            32.768 ~DF85CC.tmp
    11.12.2006  06:33            32.768 ~DFEA39.tmp
    10.12.2006  11:08                 0 5qaB.tmp
    10.12.2006  10:59            32.768 ~DFE47E.tmp
    09.12.2006  21:47            32.768 ~DFF059.tmp
    09.12.2006  21:37            32.768 ~DFD46D.tmp
    09.12.2006  21:31            32.768 ~DF3256.tmp
    09.12.2006  13:06             2.964 xpinstall.properties
    09.12.2006  12:49               368 nscopy.tmp
    09.12.2006  12:49               366 nsmail.eml
    09.12.2006  12:49                 2 nsmail.tmp
    09.12.2006  12:49               252 nsmail.html
    08.12.2006  20:25            32.768 ~DFE4D9.tmp
    08.12.2006  14:45               512 ~DFB04F.tmp
    08.12.2006  14:45               512 ~DF850E.tmp
    08.12.2006  14:45               512 ~DF8257.tmp
    08.12.2006  12:07            32.768 ~DFCB89.tmp
    08.12.2006  11:44            49.152 ~DF7702.tmp
    08.12.2006  11:41            32.768 ~DFF504.tmp
    08.12.2006  11:34            32.768 ~DFEC18.tmp
    08.12.2006  10:05            32.768 ~DFE83D.tmp
    07.12.2006  17:23                 0 cex78.tmp
    07.12.2006  17:22                 0 f6d76.tmp
    07.12.2006  17:22                 0 saz74.tmp
    07.12.2006  14:53            32.768 ~WRF0002.tmp
    07.12.2006  14:53               512 ~DFAC03.tmp
    07.12.2006  14:53               512 ~DF6EA2.tmp
    07.12.2006  14:53               512 ~DF67EE.tmp
    07.12.2006  09:47                 0 CacheInfo.dnl
    07.12.2006  06:30            32.768 ~DFE274.tmp
    06.12.2006  16:26         3.505.664 pyrocare_praesentation-1.ppt
    05.12.2006  20:50                 0 flaA9.tmp
    05.12.2006  20:50                 0 flaA8.tmp
    05.12.2006  20:50                 0 flaA7.tmp
    05.12.2006  20:50                 0 flaA6.tmp
    05.12.2006  20:49                 0 flaA5.tmp
    05.12.2006  20:49                 0 flaA4.tmp
    05.12.2006  20:43                 0 sd7A2.tmp
    05.12.2006  19:13                 0 sol77.tmp
    05.12.2006  13:14            32.768 ~DFDC7B.tmp
    05.12.2006  12:56           797.676 IMT6.xml
    05.12.2006  12:56               426 IMT5.xml
    05.12.2006  12:56             2.036 IMT4.xml
    05.12.2006  12:52            32.768 ~DFFA21.tmp
    05.12.2006  10:22            32.768 ~DFEB66.tmp
    
                 393 Datei(en)     67.148.967 Bytes
                   0 Verzeichnis(se),  9.745.911.808 Bytes frei
    Nochmal Dank an Speedy,

    gh_Weinberg
    Geändert von gh_Weinberg (07.01.2007 um 23:00 Uhr)

  4. #4
    Moderator (global) Team-Mitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.588

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    hi, schon gut, ich habe nur 3 dateien gepostet, 1 x mit unterschiedlichem speicherort, wo war sie ?
    lg
    www.Speedyweb.at.tf
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche forum und keinesfalls über privatnachrichten oder email !!

  5. #5
    Einsteiger
    Registriert seit
    07.01.2007
    Beiträge
    4

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    Hallo,

    die Datei ptipbmf.dll befindet sich in dem Pfad

    C:\WINDOWS\system32\ptipbmf.dll !

    Und nochmal die Frage: Wo finde ich die hijackthis.exe? habe nur eine Hijackthis.zip sowie die nach den Hijackthis-Prüfungen erhaltenen Textfiles; welche soll ich denn umbenennen und warum?

    Danke ,

    gh_Weinberg

  6. #6
    Ehrenmitglied Avatar von Xeranox
    Registriert seit
    01.12.2005
    Ort
    Hessen
    Beiträge
    2.083

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    @ gh_Weinberg

    Du hast auf deinem PC noch keine HijackThis.exe bzw. befindet sie sich im Temporären Verzeichnis.

    C:\DOKUME~1\GERALD~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
    Öffne das HijackThis.zip entpacke die datei HjackThis.exe in ein von dir neu Angelegten Ordner.

    C:\programme\hijackthis

    Danach klickst du die Datei hijackthis.exe mit rechts an, und bennenst sie auf 1_99_1.com um.
    Dieses müssen wir tun, da es Malware gibt, die das Programm erkennt und sich ohne es um zu benennen vor ihm versteckt.


    Zitat Zitat von Speedy
    bitte leg deine hijackthis.exe in einen separaten ordner C:\programme\hijackthis
    und benenne sie in 1_99_1.com um

  7. #7
    Einsteiger
    Registriert seit
    07.01.2007
    Beiträge
    4

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    @xeranox,

    ok, habe jetzt verstanden und auch umbenannt. Wie geht es weiter?


    gh_Weinberg


    P.S.: Gleich nochmal mit der umbenannten Datei gescannt und folgenden Logfile erhalten:

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 10:18:51, on 08.01.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Ahead\InCD\InCDsrv.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    C:\Programme\Winamp\Winampa.exe
    C:\Programme\Ahead\InCD\InCD.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\WDBtnMgr.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    D:\3.0\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\svchost.exe
    D:\1&1 EasyLogin\EasyLogin.exe
    D:\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\FRITZ!DSL\StCenter.exe
    D:\Common\Bin\WinCinemaMgr.exe
    C:\Programme\VIA\RAID\raid_tool.exe
    C:\Programme\OpenOffice.org 2.0\program\soffice.exe
    C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Dantz\Retrospect\retrorun.exe
    C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    D:\RadioRipper\RadioRipper.exe
    D:\Hijackthis\1_99_1.com.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\nalthmmy.dll (file missing)
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
    O2 - BHO: (no name) - {D4B1BE2A-D7DF-43E1-B05B-0957572C4021} - (no file)
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime Alternative\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [1&1 EasyLogin] "D:\1&1 EasyLogin\EasyLogin.exe" HIDE
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [D:\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
    O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\1028x.exe
    O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Reader\AdobeCollabSync.exe
    O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
    O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153490698203
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153490689796
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A070AEDA-8097-4C5F-ABAE-0A2C4AB3EDAE}: NameServer = 145.253.2.171,194.25.2.129,217.237.150.97
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
    O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - d:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
    O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    gh_Weinberg

  8. #8
    Ehrenmitglied Avatar von Xeranox
    Registriert seit
    01.12.2005
    Ort
    Hessen
    Beiträge
    2.083

    AW: Trojaner über gefälschte 1&1 Rechnungs-mail

    @ gh_Weinberg


    Überprüfe deine Ordneroptionen:

    Einstellen der Ordner Optionen:
    Kannst du alles auf deinem Rechner sehen?
    Überprüfe deine Einstellungen!


    Im Windows-Explorer:
    >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

    Danach bitte hier weiter machen:

    Zitat Zitat von Speedy Beitrag anzeigen
    hi

    wichtig: logfile im tag [code] posten (bitte auch dein gepostetes logfile in den tag code setzten) ->

    diese datei(en) hier bei virustotal oder bei Jotti überprüfen lassen, ergebnis (egal wie es aussieht, von der ersten bis zur letzten zeile -> nichts auslassen) posten.

    C:\WINDOWS\system32\1028x.exe
    C:\WINDOWS\system32\ptipbmf.dll oder
    C:\WINDOWS\ptipbmf.dll
    C:\WINDOWS\system32\nalthmmy.dll
    Dieser Artikel hier, sollte dich Intresieren.

    Deshalb:

    -----------------------
    Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
    Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
    kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
    Keine Up und Downloads, ausser auf Security Seiten.
    Mehr Information hierzu unter System-Sicherheit

    -----------------------
    Geändert von Xeranox (08.01.2007 um 09:52 Uhr) Grund: Warnung hinzugefügt

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. gefälschte eBay-Rechnungen
    Von Ruby im Forum Sicherheits-News
    Antworten: 0
    Letzter Beitrag: 29.05.2006, 11:17
  2. Rechnungs-Trojaner machen die Runde
    Von Marco Polo im Forum Sicherheits-News
    Antworten: 0
    Letzter Beitrag: 18.01.2006, 15:27

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •