Virus "Torvil A" bombardierung !?

#1 Moin,

Hab in der Suchfunktion nichts zu dem thema gefunden also poste ich mal hier rein

nach langer Zeit hab ich mal wieder ein nerviges Problem:

Seit ein paar Tagen werde ich richtig bombardiert mit Emails die einen Virus enthalten:
Kleiner Ausschnitt einer Email:

Liebes GMX Mitglied,

in der folgenden an Sie adressierten e-mail wurde ein Virus gefunden!

Virus: "W32/Torvil-A"
Datei: "ftpliste.www.war*hier nicht!*.ev.to.rtf.pif"


Sind immer andere Absender und andere dateien,aber immer der Selbe Virus.

Jetzt kam aber ne Email die mich etwas verunsichert:

Liebes GMX Mitglied,

in der folgenden von Ihnen verschickten e-mail wurde ein Virus gefunden!

Virus: "W32/Torvil-A"
Datei: "LICENSE_ja.rtf.pif"


GMX schreibt eigendlich nie nen Käs der nicht stimmt oder sowas...hat sich also von meinem PC aus ne Email selber mit einem Virus verschickt?

Hab schon mit Anti Vir gescannt,aber der hat nichts gefunden!

Habt ihr auch solche emails bekommen?mein ganzes postfach ist voll amit und es hört auch nicht auf!
Und wisst ihr vielleicht wie ich nachprüfen kann ob die mir jemand
absichtlich schickt und das nicht nur wieder Umlaufviren sind???


Danke im Vorraus!




Lg.
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.

#2 Hallo,

erstelle zuerst ein Log-File mit HiJackThis
und poste es hier rein.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Hallo!

Ok gesagt getan;hier der Log!





Logfile of HijackThis v1.97.7
Scan saved at 12:59:57, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\SigXC\SigX.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.board-server.de/cgi-bin/foren/F_2288/forum.pl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Bösa Golf - Total verrückt ;-)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2BC43670-C0BD-4794-BB11-F60F3E001DC5} - (no file)
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [Alle meine Passworte] C:\PROGRA~1\AMP\AMP.EXE
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe /q
O4 - HKCU\..\Run: [Cool Desk] C:\Programme\ShellToys\Cool Desk\Cdesk.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SigXC] C:\Programme\SigXC\SigX.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1767091.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2240c2f1ee471ee17415/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37753.01875
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3485E7A8-3661-48BC-875D-9DBE953C8D68}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA8457BA-3FF1-47C8-8380-755C0E17A872}: NameServer = 192.168.0.1





cya :-)
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.

#4 Hatte ich auch schonmal mit anderen Würmern.
Allen Leute die deine Email besitzen, bitten ihren Pc nach Viren zu scannen.
http://www.sophos.de/virusinfo/analyses/w32torvila.html
Spamfilter einstellen und abwarten viel kann man da nicht machen.

Hab gestern eine Spammail bekommen soll ich jetzt auch hijackthis log posten?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 @ GolfII

Spunki hat dir schon die richtige Antwort mitgeteilt, ich wollte dies nur mittels HJT gegenprüfen, da du immer wieder einige Probleme hast.

Fixe diese Einträge:
O2 - BHO: (no name) - {2BC43670-C0BD-4794-BB11-F60F3E001DC5} - (no file)
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll => Spyware
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1767091.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) -http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2240c2f1ee471ee17415/netzip/RdxIE601_de.cab

Diese Quick Search Bar deinstallieren.

@ spunki

Zitat

ab gestern eine Spammail bekommen soll ich jetzt auch hijackthis log posten?

Willst du mich veräppeln?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#6 Hallo!

Spunki: Ok werde ich mal machen,sind zwar einige aber egal.
Ich frage mich warum das nur auf eine meiner vielen email adressen kommt
Spamfilter ist eingestellt nur ist gmx irgendwie zu blöd um das zu blocken,oder ich bin es
Werde nochmal ganz genau schauen.



Cidre:

Hab ich gemacht,danke!Und diese toolbar ist auch endlich weg,die wollte ich eh nicht haben.
Dann ist mein PC jetzt so ziemlich sauber oder?


Danke nochmal ihr beiden


cya!
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.

#7

Zitat

Dann ist mein PC jetzt so ziemlich sauber oder?

Es hat den Anschein, garantieren kann ich es leider nicht.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#8 Ok,hört sich schonmal nicht schlecht an.
zur zeit lief irgendwie alles drunter und drüber auf meiner Platte,Trojaner drauf,alles voller Spyware usw

wäre ja echt mal super wenn mein pc ganz sauber ist,danke nochmal!

Vielleicht findet noch jemand etwas im HJT Log *fg*


Cya!
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.