Trojaner oder was? Unerwünschter Maileintrag

  • Seit gestern enthält jede Mail, die ich losschicke, folgenden Eintrag vor dem eigentlichen Text.
    "Download das heir:
    completelyclassicalvinyl.com/install.exe "


    Ich habe alle Dateien die diesen String enthalten von der Festplatte gelöscht -kein Erfolg.


    Hat jemand einen Tipp? Es handelt sich wahrscheinlich nicht um ein spezifisches Thunderbird-Problem, ich weiß aber nicht, wen ich sonst fragen könnte.


    Tom Rabe

  • Hallo rum, vielen Dank für deine Links. Ich bin jetzt erheblich schlauer und werde in den nächsten Tagen meinen Desktop-Rechner neu aufbauen müssen...
    Es handelt sich bei mir wahrscheinlich um der mit den gefälschten 1und1-Rechnungen verschickten Trojanern.
    Bis dahin wird nur vom sauberen Laptop gearbeitet.


    Vielleicht ne dumme Frage: Was heißt "Keine Forenhilfe per PN?"


    Dank und Gruß
    Tom

  • Hallo Tom Rabe,

    "Tom Rabe" schrieb:

    ... Es handelt sich bei mir wahrscheinlich um der mit den gefälschten 1und1-Rechnungen verschickten Trojanern. ...


    Woraus schließen Sie das? Gibt es weitere Hinweise auf einen Trojaner? Ich bin nicht sicher, dass der beschriebene Fehler durch einen Trojaner verursacht wird. Als Autor eines solchen würde ich so gut es geht dafür Sorge tragen, dass er möglichst unentdeckt bliebe. Einen so plumpen Hinweis gibt doch sicher niemand freiwillig und die beworbene Webseite wirkt zumindest auf den ersten Blick seriös.


    Eine Neuinstallation des Rechners wird das Problem sicher lösen, aber vielleicht ist die ja gar nicht notwendig. Was haben Sie in letzter Zeit an Ihre Rechner verändert, was am TB (Erweiterungen? Themes? Signaturen? ...).
    Der Profilordner des TB ist ein versteckter Ordner. Ihre Dateisuche hat daher möglicherweise das Profil nicht mit einbezogen.
    Sagt Ihnen der Link auf completelyclassicalvinyl.com etwas? Haben Sie die Seite einmal besucht, sie jemandem per Mail empfohlen, ... ?

  • Hi!
    Sie haben sicher recht, dass der 1und1-Trojaner-Verbrecher sicher alles tun würde,um sich bedeckt zu halten.
    Aber: Ich habe (ich weiß dass das dumm ist) die Rechnung geöffnet (meine Wahrnehmung war durch eine just dann laufende Auseinandersetzung mit 1und1 getrübt und ich weiß "eigentlich", dass man keine exe-Anhänge öffnet.


    Die erste für mich deutliche Reaktion auf meinem Rechner war eben der allerdings nach vielen (Infektion ca. 10.1.) Tagen auftretende ungewünschte Zusatz in meinen Mails.


    Ich habe HighjackIt eine Logdatei machen lassen. Auf der Suche nach einem Forum, in dem ich dieses hätte posten können zur Begutachtung stieß ich auf Trojaner-Board.de und habe dort die Diskussion um die 1und1-Trojaner verfolgt. Das brachte mich dazu zu meinen: Neu-Aufbau des Rechners.


    Ich bin leider in diesen Dingen zu unbeleckt, würde mich aber freuen, wenn es ohne Neuaufbau ginge. Können Sie die Logdatei von Highjack analysieren? Vielleicht würde das ja neue Erkenntnisse bringen.


    Ich habe keine Veränderungen an meinem Rechner oder TB durchgeführt.
    Das "versteckte Profil" von TB ist mir nicht bekannt.

    Sagt Ihnen der Link auf completelyclassicalvinyl.com etwas? Haben Sie die Seite einmal besucht, sie jemandem per Mail empfohlen, ... ?


    Nein, habe ich nicht. Übrigens ändert der Trojaner die Einträge in die Mails. den aktuellen habe ich nicht, da ich mit dem Rechner nicht mehr online gehe.


    Vielen Dank für Ihre Infos!
    Gruß
    Tom[/quote]

  • Hallo Tom Rabe


    "Tom Rabe" schrieb:

    Vielleicht ne dumme Frage: Was heißt "Keine Forenhilfe per PN?"

    ganz einfach: manch einer denkt, wenn er mir für seine Fragen direkt eine PN (Persönliche Nachricht) sendet (mit dem Button direkt unter dem Hinweis), erhielte er schneller eine Rückantwort. Ich beantworte aber allgemeine Fragen generell nur im Forum

    Zitat

    "Keine Forenhilfe per PN!


    - weil sowohl Fragen als auch die Antworten für viele interessant sind und nur im Forum der Allgemeinheit zur Verfügung stehen
    - weil ich das hier wie alle Anderen freiwillig und z. Teil sogar neben/während meiner Arbeit mache, unbezahlt und auf Basis "User helfen Usern", da kann es auch mal sein, dass ich 1-2 Tage keine Zeit/Lust/Laune habe und dann würdest Du vergebens warten
    - ich auch nur auf meinen Erfahrungsschatz zurückgreifen kann und Andere vielleicht bereits viel bessere Lösungen haben
    usw...

  • Hallo
    ich habe das gleich Problem - hast du mittlerweile eine Lösung gefunden? bitte genau erklären, da ich nicht soviel Ahnung habe.

    Danke
    Gruss NINA :shock:

  • mein log file.


    Logfile of HijackThis v1.99.1
    Scan saved at 18:33:31, on 29.01.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\cisvc.exe
    c:\programme\mcafee.com\agent\mcdetect.exe
    c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
    C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
    C:\Programme\iTunes\iTunes.exe
    C:\WINDOWS\stsystra.exe
    C:\Programme\Dell\Media Experience\DMXLauncher.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\System32\DLA\DLACTRLW.EXE
    C:\Programme\McAfee.com\VSO\oasclnt.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
    C:\Programme\McAfee.com\VSO\mcvsshld.exe
    c:\progra~1\mcafee.com\vso\mcvsescn.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    C:\Programme\Drucker\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    C:\Programme\Browser Mouse\1.0\lwbwheel.exe
    C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\QuickTime\qttask.exe
    C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Programme\Drucker\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\PhraseExpress\phraseexpress.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\Programme\Drucker\HP\Digital Imaging\bin\hpqgalry.exe
    C:\PROGRA~1\MOZILL~1\firefox.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
    C:\DOKUME~1\Nina\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
    R3 - URLSearchHook: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll
    O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: (no name) - °$ê - (no file)
    O2 - BHO: (no name) - €$ê - (no file)
    O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
    O3 - Toolbar: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
    O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
    O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
    O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
    O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
    O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
    O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Drucker\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\1.0\lwbwheel.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Drucker\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\Drucker\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
    O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
    O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
    O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/mol…tl/4,0,0,101/mcinsctl.cab
    O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://amiuptodate.mcafee.com/…,0,0,0/McUpdatePortal.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/mol…an/2,2,0,4950/mcfscan.cab
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
    O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
    O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
    O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


    kann daran jemand was erkennen?

  • Hallo kobango,


    Das Log-File ist bei
    http://forum.hijackthis.de/forumdisplay.php?f=12


    wohl besser aufgehoben. Mein Rat, wenn das System noch zum erstellen eines Backups benötigt wird, es zunächst einmal von einem sauberen System aus zu scannen. Entweder du hast in der Vergangenheit dir mal ein PE-Builder gebastelt, oder du lädst dir ein ca. 60 MB großes OpenSource-System herunter - Insert http://www.inside-security.de/INSERT.html
    dieses ISO-Image brennst du auf eine CD und von der bootest du dann. Mit hilfe der CD und einem Internetzugang (für die Virendefinitionen) kannst du dann dein System erst mal "grundreinigen" Auf einem verseuchten System würde ich dagegen keinen Virenscann mehr machen. Die Alternative wäre Komplett-Backup (dann hätte der Virus die Möglichkeit alle Dateien zu infizieren) und anschließendes Scannen nach Neuaufsetzen des Systems.


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • "Vic~" schrieb:

    Das verstehe ich *wirklich* nicht! Shock ~ Warum?
    Von welchem Virus sprichst Du genau? Welcher Schädling infiziert bei einem BackUp alle Dateien?
    ... sorry das ist Unsinn! (oder verstehe ich Dich da *komplett* falsch?)


    Hallo Vic~,


    nun wenn der Virus im Speicher ist, versucht er jede Datei die "angefasst" wird zu infizieren. Damit wäre ein Virusscan mit einem kompromittiertem System Unsinn. Ebenso ein Backup das auf diesem System gestartet wird.
    Daher sollte man so etwas von einem sauberen System starten um nicht noch mehr Schaden anzurichten. Ich habe das selbst schon mal bei einem Bekannten gesehen - nach dem Virus scann waren fast alle ausführbaren Dateien infiziert!

    In der Regel versucht ein Virus so lange wie möglich unentdeckt zu bleiben und greift nicht von sich aus auf nicht im Zugriff befindliche Dateien zu (OK, es gibt auch hier natürlich Ausnahmen).


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • Toolman ,
    jetzt habe ich aber auch eine Frage dazu. Ich mache meine Images meistens
    dann, wenn Windows noch nicht mal aufgerufen worden ist. Weiß nicht wie man das bei WinXP nennt (früher sagt man DOS-Modus), jedenfalls noch davor.
    In der Annahme mit "Speicher" meinst du den internen Speicher und nicht die HD, würde ich sagen, zu dem Zeitpunkt ist mit Sicherheit kein Virus im Speicher.
    Sehe ich das richtig?
    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

    Einmal editiert, zuletzt von mrb ()

  • mrb ,


    genau, ein Virus der resident im Speicher sitzt. In dem Fall wird u.U. jede Datei die von der Platte gelesen oder geschrieben wird, mit dem Virus verseucht. Natürlich machen das nicht alle Viren so.


    "Vic~" schrieb:

    Ja solche Schädlinge gibt es! Ich denke hier - in diesem Fall - liegt aber ein anderes Problem vor!


    Aber man kann ja nie wissen, was dieser Trojaner so alles im Hintergrund nachgeladen hat. Z.B. ein Rootkit , das sich nur schwer entdecken lässt.


    "mrb" schrieb:

    jetzt habe ich aber auch eine Frage dazu. Ich mache meine Images meistens
    dann, wenn Windows noch nicht mal aufgerufen worden ist. Weiß nicht wie man das bei WinXP nennt (früher sagt man DOS-Modus), jedenfalls noch davor.


    in diesem Fall wäre das Virus ja inaktiv - damit kannst du das Image gefahrlos machen. Vorausgesetzt die verwendete Bootdiskette ist virenfrei...
    Beim Dos-Modus in W98 sieht das aber anders aus - hier kann sich der Virus auch in dieser Umgebung eingenistet haben.


    Daher sollte man sich solche Notfall-CD's (insert oder Knoppichillin) vorrätig halten um im Bedarfsfall von einem Sauberen und nicht-kompromittiertem System auf Virenjagd zu gehen.


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro