"Quelle online"-Rechnung Anhang geöffnet

#1 Moin Moin

vorhin kam eine Mail von "Quelle online" mit zip datei im Anhang und Text von wegen man solle 700€ per Bankeinzug begleichen.
Mein Vater natürlich gleich ganz wild wer da was bestellt hat und hat den Anhang geöffnet bevor ich eingreifen konnte
Es kam dann ein schwarze DOS Fenster auf dem dann der weiße Unterstrich hin und her hüpfte.

Weder eScan noch Antivir Emailscanner haben angeschlagen.

Jetzt habe ich natürlich angst dass der PC irgendwie verseucht ist.
Adaware, S&D und hijackthis brachten aber nichts ungewöhnliches zu Tage.

Hat jemand vielleicht noch ne Idee was es sein könnte?
Vielen vielen Dank für Eure Hilfe

Gruß

#2 Siehe dazu
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/86313&words=Quelle

TS

#3 genau....

vielen dank

also abwarten ob ein behebungsprogramm kommt un rechner vom netz trennen??

danke


EDIT:


hallo nochmal

noch ne dumme frage:
wie kriege ich denn genau raus ob mein rechner nun infiziert is?
eigentlich doch mit hijackthis oder?

dort ist aber kein auffälliger oder unnormaler prozess zu sehen...
is das ein gutes zeichen?

ist es möglich, dass der rechner nicht infiziert wurde obwohl der anhang geöffnet wurde? ich habe das DOS fenster nämlich recht schnell wieder zu gemacht. und 2 virenscanner liefen auch im hintergrund.

vielen dank

vg

#4 Habe auch die selbe dummheit gehabt und PDF(.exe) geoffnet und Norton Internet Security hat nix gefunden aber Fire fox spielte verückt und musste immer neu instalieren wegen fehlende "js3250.dll"

Shaumal hier nach:

http://www.supportnet.de/fresh/2006/11/id1464437.asp

Avast home hat gleich Win32;Nurech-V un U gefunden und gelöscht.
mfg.
Sathyajith

#5 deLuXe83 + sathyajith

ich empfehle dir dringend, zu formatieren - der rechner wird nun als mailboot benutzt, ist nicht mehr sicher...

Zitat

Eine konkrete Analyse der Schädlinge steht noch aus, es handelt sich hierbei aber um Trojaner der Nurech-Familie, die weitere Schadprogramme nachladen, etwa Spionageprogramme oder Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt.

falls ich nachsehen soll:

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#6 hi sabina vielen dank für deine nachricht.
im folgenden kommen die datfin files.
vornerein aber noch eine frage.

als der anhang geöffnet wurde, befand sich eine diskette imlaufwerk a:\ hbci-diskette). jetzt kann ich nicht mehr auf das laufwerk zugreifen. wenn ich das laufwerk prüfen will mit den verscheidenen virenscannern, stürzt der pc ab. kann dies auch etwas mit einem möglichen befall zu tun haben? danke schonmal im voraus.

hier also die logs:

Zitat

system32.txt

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 78C3-DB92

Verzeichnis von C:\WINDOWS\system32

09.03.2007 11:12 3.002 CONFIG.NT
06.03.2007 10:42 2.206 wpa.dbl
09.02.2007 09:06 3.120 UV6E5EOI.ocx
15.01.2007 18:32 689.280 aswBoot.exe
15.01.2007 18:23 90.112 AVASTSS.scr
14.01.2007 13:14 562 ealregsnapshot2.reg

Zitat

systemtemp.txt

leer

Zitat

windows.txt

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 78C3-DB92

Verzeichnis von C:\WINDOWS

09.03.2007 15:11 2.717 win.ini
09.03.2007 15:10 0 0.log
09.03.2007 15:09 843.851 WindowsUpdate.log
09.03.2007 15:09 1.073.941 ESCAN.LOG
09.03.2007 15:09 159 wiadebug.log
09.03.2007 15:09 50 wiaservc.log
09.03.2007 15:09 19.749 frights.log
09.03.2007 15:08 2.048 bootstat.dat
09.03.2007 15:07 32.544 SchedLgU.Txt
09.03.2007 14:37 1.050 ODBC.INI
09.03.2007 13:47 1.639 escan.dbf
09.03.2007 11:11 946.496 setupapi.log
07.03.2007 17:34 10.107 MKDEMSG.LOG
07.03.2007 17:25 1.536 MKDEWE.TRN
28.02.2007 16:45 260 ktel.ini
26.02.2007 23:52 405 Ausba4.ini
23.02.2007 19:56 2.148 DirectX.log
21.02.2007 11:34 116 NeroDigital.ini

Zitat

down.txt

leer

Zitat

temp.txt

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 78C3-DB92

Verzeichnis von C:\WINDOWS\Temp

09.03.2007 15:09 266.240 kav1.tmp
09.03.2007 15:09 16.384 Perflib_Perfdata_7e8.dat
2 Datei(en) 282.624 Bytes
0 Verzeichnis(se), 9.305.161.728 Bytes frei

Zitat

c.txt

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 78C3-DB92

Verzeichnis von C:\

09.03.2007 15:16 0 sys.txt
09.03.2007 15:16 439 down.txt
09.03.2007 15:16 329 tmp.txt
09.03.2007 15:16 979 system.txt
09.03.2007 15:15 130 systemtemp.txt
09.03.2007 15:14 97.641 system32.txt
09.03.2007 15:08 536.137.728 hiberfil.sys
09.03.2007 15:08 805.306.368 pagefile.sys
08.03.2007 12:53 0 23990098.$$$
07.03.2007 17:33 144 LxDasi.Log
02.03.2007 13:04 2.495.614 Reo_Sicherung_2007_03_02.mat
23.02.2007 20:16 911 crashAddress.txt
09.01.2007 16:25 1.774 TSP.log

#7 deLuXe83

scanne mit kaspersky und poste hier den report (lasse auch die mails mitscannen)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 hi sabina

vielen dank für deine hilfe

hier das logfile

Zitat

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 10. März 2007 12:55:41
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 10/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 280060
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\
F:\
G:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 74333
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:36:04

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\iaizh67y.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007031020070311\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\eScan\MAILDISP.LCK Das Objekt ist gesperrt übersprungen
C:\Programme\eScan\MAILDSP1.LCK Das Objekt ist gesperrt übersprungen
C:\Programme\eScan\SPOOLER.LCK Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{AF2FC912-20D8-44FE-9D31-31C8616547C8}\RP339\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\kav1.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

#9 deLuXe83

http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#10 DANKE!!!

Zitat

report:


SDFix: Version 1.70

Run by Administrator - 10.03.2007 / 15:22:40,96

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\regedit.com - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Anyplace Control\\apc_host.exe"="C:\\Programme\\Anyplace Control\\apc_host.exe:*:Enabled:Anyplace Control: www.anyplace-control.com"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :


Finished

#11 es ist nichts mehr zu finden - muesste also sauber sein
falls es noch probleme geben sollte - formatiere (oder melde dich wieder hier)
__________
MfG Sabina

rund um die PC-Sicherheit

#12 vielen vielen dank für eure hilfe.
spitze