Virus/Trojaner eingefangen?

Hi Experts!

Meine Freundin hat gestern eine E-Mail über ihren Arcor-Account im Internet (also kein Outlook oder anderes E-Mail-Programm verwendet) plus einen Anhang (eine gescannte Seite) verschickt und der Empfänger hat viel mehr Anhänge erhalten: viele private Fotos und andere Dokumente!?!

Wenn man in "Gesendet" schaut, wird da als Anhang bloß diese eine Seite angezeigt!!!

- habe einen P4 mit 3,04 GHz, Betriebssystem XP (SP2)
- Virenscanner: AntiVir (Freeare-Version; absolut auf dem neuesten Stand)
- Firewall: ZoneAlarm (Freeware-Version)
- nutze auch noch Spybot S&D
- Internetverbindung per ISDN

AntiVir-Suche hat nichts ergeben. Spybot S&D fand nur "harmlose" Tracking Cookies!

Haben wir uns da etwas eingefangen, dass an E-Mails einfach mal mehr dranhängt als gewünscht??? Und wenn ja, was ist es und wie kriege ich es weg? Bin für jeden Hinweis dankbar!

 

Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.

 

Erst einmal vielen Dank für die ersten Anweisungen! haben nun mit Hijackthis ein Logfile erstellt und ausgewertet! Hier der Link zum Ergebnis:
http://www.hijackthis.de/logfiles/2039767adb97c742713370e357ff5562.html

(War über "vr-web" im Netz!)

 

Hallo,
also da ist soweit nichts dabei was Mailanhänge o.ä. manipulieren könnte. Fixe (Haken davor und auf fix checked) folgende Einträge:
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.winduxxpdates.com/get_file.php?bt=ie&p=ba1985beb0a097aa1e4291e83e466 eca7517a27142c1ec0fbdd095bd01f825cf424385b4ce859d29c47d9d69a59b79e9f99d08ed05924 424f05e9add:133fa6db93b1a3bc33dac6d5a5648475

Habt ihr eigentlich mal versucht das ganze zu wiederholen, vielleicht war es ja doch nur ein "Unfall" das die ganzen anderen Dokumente mitgeschickt wurden?
Wenn ihr noch auf Nummer sicher gehen wollt könnt ihr ja mal Escan drüberlaufen lassen und posten was der so ausspuckt. Aber eigentlich gehe ich davon aus das der Rechner sauber ist.


Grüße Jasager

 

Na ja, ganz so locker sehe ich das nicht:

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab

Du bist sicher, dass du mit einem Dialer surfen möchtest? Hast du dir das wissentlich installiert? Wenn nicht, dann sichere diese Datei vor dem Fixen auf Diskette (passt) und konsultiere bei einer erhöhten Telefonrechnung einen Rechtsanwalt deines Vertrauens. (Das ActiveX-Objekt ermöglicht den Download von Dialern, ist für sich allerdings harmlos)

Ähnlich nett ist
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_file.php?bt=ie&p=ba1985beb0a097aa1e4291e83e466 eca7517a27142c1ec0fbdd095bd01f825cf424385b4ce859d29c47d9d69a59b79e9f99d08ed05924 424f05e9add:133fa6db93b1a3bc33dac6d5a5648475

Das ist ein Trojan Downloader, ebenfalls für sich betrachtet noch keine Katastrophe, aber man sollte mal nachhaken.

Lasse mal -wie bereits empfohlen- Escan drüberlaufen.

P.S.: Wenn du nochmal HJT-Logfiles ins netz stellst, editiere deinen Namen. Muss ja nicht jeder wissen, dass du Peter Müller heißt.

 

Habe nun Escan über mein System laufen lassen. Ergebnis: 3 Virenfunde! Die entsprechende Logfile-Einträge:

Wed Aug 24 19:37:28 2005 => Offending value found in HKLM\Software\windows adcontrol !!!
Wed Aug 24 19:37:28 2005 => Object "WinAD Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Aug 24 19:37:58 2005 => Offending file found: C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\cmdlineext02.dll
Wed Aug 24 19:37:58 2005 => System found infected with WhenU.SaveNow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

File C:\WINDOWS\Downloaded Program Files\WinAdCtlX.dll tagged as "not-a-virus:AdWare.WinAD". Action Taken: No Action Taken.

Und jetzt? habe versucht, die Verdächtigen mit Spybot aufzuspüren - vergeblich! Bin für Tipps dankbar!

 

Bitte ein HiJackThis erstellen und den LINK zur Auswertung hier posten.

Wolfgang77

 

Hallo,
also diese Dateien solltest du doch ganz einfach mit dem Explorer finden und löschen können:
C:\WINDOWS\Downloaded Program Files\WinAdCtlX.dll
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\cmdlineext02.dl
( Dateien richtig suchen )
Schau mal in deine Systemsteuerung >>Software ob da auffällige Einträge sind, wie
WinAD
WhenU
Savenow
Wenn ja deinstallieren
Danach mal im Explorer Rechtsklick auf C:\ >>Eigenschaften bereinigen
Ev. mal Regseeker drüberlaufen lassen, wie bei allen Registrybereinigungsprogrammen auf eigene Gefahr.


Grüße Jasager