Virus aus .txt Dokument?

Hallo.

Ich hab mir gestern etwas runtergeladen und zwar ein .txt Dokument zu einem Spiel. Ich dachte in diesem textdokument schildert die Person die es erstellt hat die Meinung zu diesem Spiel.

Leider hab ich zu spät bemerkt, dass das Dokument über 1MB groß war, und bei .txt muss schon sehr viel drinnen stehen, dass das geht.

Nun, als ich es geöffnet hatte, freeste sich der PC (frohr ein).
Nach einem Neustart per Reset-Knopf war der PC langsamer als sonst und noch in der Hochfahrphase in der alle Programme geladen werden zeigt Windows ja Standard die Sanduhr an, bei mir war aber ein anderer Cursor. Hab sicherheitshalber das Modem abgeschalten, was weiß ich.

Schlussendlich habe ich es nach merhmaligen versuchen geschafft, AntiVir zum laufen zu bekommen und einen System Check zu machen.
Keine Warnung und kein Fund. Als nichts gefunden. Aja, das Dokument hatte ich zuvor gelöscht und den Papierkorb geleert.

Der andere Cursor ist auch nach dem Prüfen und löschen da, jetzt weiß ich nicht, ob ich möglicherweise doch nen Virus oder sogar einen Trojaner drauf habe. Wisst ihr weiter?

System:
Windows XP SP2
AMD mit 1.8 GHz
512MB RAM
GeForce 2
mehr weiß ich jetzt nicht, falls noch was benötigt wird, bitte fragen.

Danke

 

Die Dateiendung war vermutlich exe oder vbs oder ein anderes ausführbares Format.
Wenn in den Ordneroptionen von Windows "bekannte Dateiendungen ausblenden" aktiviert ist (Standardeinstellung), wird dann bei ".txt.exe" nur "txt" angezeigt, was eine Textdatei vortäuscht.
----

Mach mal bitte ein Hijackthis-Log .

 

Ok, danke, werde das am heutigen, späteren Abend machen und dann diesen Beitrag editieren und die Datei hochladen.

Danke erstmal.

 

Da aber die bekannten Dateiendungen ausgeblendet sind, sollte da nix stehen.

Runterladen heißt bei mir "Speichern unter...". Da sieht man/frau doch eigentlich alles. Der Speicherdialog zeigt doch den vollständigen Namen an.

Ich hab beim IE und beim FF die Statusleiste aktiviert, da sieht man, mit einem flüchtigen Blick auf die Schnelle, meist die Adresse des zu klickenden Links, samt Dateiendung.

 

Ich bin mir jetzt nicht sicher ob nur .txt stand oder noch was anderes.
Am Abend kann ich dann nochmals nachschauen.
Hab mir die Datei von Rapidshare runtergeladen.

 

Du kannst die Datei auch mal bei http://virusscan.jotti.org/de/
oder www.virustotal.com untersuchen lassen.

 

Ich mach das am Abend mal mit dem Hijackthis. Die Datei lade ich sicher nicht noch ein 2tes mal runter,

 

Jetzt weißt du ja, was du dann nicht machen darfst.

 

Seit wann schildert eine spieleerstellende Person ihre Meinung in einem Textdokument, welches bei RS zum Saugen rumliegt?

 

Das war wohl eher eine filesharende Person.

 

@poro

Ne, so funktioniert das Spielchen nicht.

Wenn die Datei den Namen virus.txt.exe hat dann erscheint bei ausgeblendeten Dateiendungen virus.txt. Das ist dann sozusagen der Name ohne Dateiendung, was natürlich in die Irre führt, weil man denkt, es handele sich um eine.

 

Nicht Spielerstellend, ich dachte er hats schon gespielt als Konsument.
Tut hier aber nichts zu Sache eigentlich.

 

Ups.

Ach das Textdokument.

Test download von HijackThisv2.0.2, umbenannt in HijackThis.txt.exe

http://hullu-poro.de/system/HijackThis.txt.exe



Da steht gut lesbar Anwendung.
Bei ausgeblendeten Dateinendungen sollte dann auch kein .txt stehen, sofern es sich um eine solche handelt.

 

Nein, das .txt wird als Teil des Namens gesehen.

Wenn du Dateiendungen ausblendest und hast eine Datei abc.def.ghi.jkl -
dann wird dir als Dateiname ohne Endung abc.def.ghi angezeigt.Nur das jkl wird ausgeblendet.

 

Sag ich doch. Isses ne .txt, steht dann nix davon da. Und bei Dateityp sollte dann Textdokument stehen.

So schlau sind IE&Co. ja gottseidank noch. Was der User dann macht is seine Sache.

 

So, gestern Abend hab ich es nicht mehr geschafft aber jetzt, hier bitte das HiJackThis Ergebnis.

 

Prozesse beenden mittels Taskmanager:

HTML:

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

Wozu brauchst Du AON Speed?

Fixen mit HijackThis:

HTML:

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://chronixmetal.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115135147406
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EDAF796E-9210-4417-ADDC-2AB18E4F6C27} (Hjemmeside.KvikFoto) - http://www.123hjemmeside.dk/builder/pages/KvikFoto.CAB
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.2.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Sollte danach etwas nicht funktionieren, läßt sich das mittels Backupfunktion von HJT wiederherstellen.

 

Hehehe, thx man, jetzt ist dieser komische Cursor weg.
Jetzt kann ich wieder lächeln.

Die meisten beendeten Prozesse sind auch nach dem Neustart nicht wieder erschienen. nur "realsched.exe" und "MDM.exe" sind noch da.
"FNPLicensingService.exe" hat sich sogar selber geschlossen als ich das "GoogleUpdater.exe" beendet habe. Kann ich die anderen 2 laufen lassen?

Aja, AON Speed ist mein Internet, komme aus Österreich.

 

realsched.exe kommt vom Realplayer, welchen Du nicht brauchst. Der Real -Alternativ reicht völlig aus. http://www.free-codecs.com/download/Real_Alternative.htm

MDM.exe
http://www.google.de/search?q=MDM.exe

 

Gut den player kann ich deinstallieren, aber das MDM, komische Sache. laut der Anleitung die du mir gegeben hast muss ich im IE das Skriptdebugging deaktivieren, also das Kästchen davor anhacken und OK klicken, aber das Kästchen ist schon aktiviert.