Browserumleitung go.google.com, unerreichbare Websites&nicht ausführbare Progs

#16 ob du deine passwörter speicherst oder net ist vollkommen unwichtig! die werden einfach mitgelogt...
ich würde trotzdem sicherheitshalber die bank informieren...
bitte poste ein hijackthis-log. ich würde dir ne testversion von avira premium empfehlen. dieses programm kostet 20 € (vollversion) und ist in der virenerkennung momentan das beste am markt (tauscht manchmal mit gdata den platz) und wurde auch vielfach als antivirensoftware ausgezeichnet!
lad dir also testweise mal die permium:
http://www.free-av.de/de/download/index.html
erst runterladen, dann alte version deinstalieren (am besten mal internetverbindung trennen) neue version drauf. jetzt wieder zum internet verbinden und updaten. noch nicht scannen!
http://board.protecus.de/t23979.htm
dies sind "schärfere" einstellungen. nun scanne all deine platten funde in quarantäne und log posten.
wie dasauf deinen pc gelangen konnte weiß ich nicht genau fehlende updates z.B. oder unvorsichtiges surfen downloaden etc währen möglich

#17 vorausgesetzt ich habe micht ab dem Zeitpunkt des Befalls auch eingeloggt oder? - wenn nicht können die Typen ja nur Benutzernamen ausm Firefox bekommen da nicht die Passwörter nicht gespeichert sind!?

hier das Hijackthis.log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:32, on 22.12.2008
Platform: Windows XP SP3, v.5657 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
I:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA\nTune\nTuneService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Creative\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\WDBtnMgr.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Programme\PeerGuardian2\pg2.exe
I:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
I:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
I:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
I:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
I:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
I:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcrobatInfo.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
I:\Programme\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "I:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] I:\Programme\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217471111978
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15102/CTPID.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 7364 bytes


und das von Avira Premium
hat soweit ich das gesehen habe diesselben Einträge wie AVG gefunden.



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 22. Dezember 2008 17:39

Es wird nach 1109734 Virenstämmen gesucht.

Lizenznehmer: oliver meitz
Seriennummer: 2200754562-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3, v.5657) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Oliver
Computername: MATRIX

Versionsinformationen:
BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 16:31:26
ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18.12.2008 16:31:27
ANTIVIR3.VDF : 7.1.1.20 140288 Bytes 22.12.2008 16:31:27
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 22.12.2008 16:31:32
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22.12.2008 16:31:31
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 22.12.2008 16:31:31
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.12.2008 16:31:29
AEGEN.DLL : 8.1.1.8 323956 Bytes 22.12.2008 16:31:29
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 22.12.2008 16:31:28
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: i:\programme\avira\antivir personaledition premium\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, I:, J:, K:, L:, M:, N:, O:, P:, Q:, R:, S:, T:, U:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 22. Dezember 2008 17:40

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47475' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTxfispi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDBtnMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ctxfihlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'N:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'O:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'P:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'R:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'S:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'T:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'U:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox.XXX
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: mail@hanf-cannabis-sativa.org][Subject: Your Account is Suspended For Security Reasons][Message-ID: <20051023103646.AE3F0E84C4F@mail2.sprit.org>]82.mim
[1] Archivtyp: MIME
--> document.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> document.zip
[2] Archivtyp: ZIP
--> document.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: register@hanf-cannabis-sativa.org][Subject: Important Notification][Message-ID: <20051023153256.5288FE84F1F@mail2.sprit.org>]84.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.doc .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: aussenalster@dahlercompany.de][Subject: Important m$6h?3p][Message-ID: <20051024082939.45379E855C5@mail2.sprit.org>]86.mim
[1] Archivtyp: MIME
--> important.pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: a.schaefer@tba-schaefer.de][Subject: Mail Delivery (failure kontakt@hanf-cannabis-sa][Message-ID: <20051024094518.8DEC8E86CF5@mail2.sprit.org>]88.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: heidi.scharl@tva-berndt.de][Subject: Re: Re: hello][Message-ID: <20051025080845.842D4E8582D@mail2.sprit.org>]96.mim
[1] Archivtyp: MIME
--> document.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: dosug@peterlink.ru][Subject: Mail Delivery (failure kontakt@hanf-cannabis-sa][Message-ID: <20051025092110.43598E8653E@mail2.sprit.org>]98.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: info@luno-moskau.de][Subject: Does it matter?][Message-ID: <20051026080812.72514E842C1@mail2.sprit.org>]106.mim
[1] Archivtyp: MIME
--> d4334938.doc .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: dialogm@sibtel.ru][Subject: Mail Delivery (failure kontakt@hanf-cannabis-sa][Message-ID: <20051026092108.3ABD2E861E6@mail2.sprit.org>]108.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: s_dornhofer@hotmail.com][Subject: Re: Protected Mail System][Message-ID: <20051026105358.D8677E85835@mail2.sprit.org>]112.mim
[1] Archivtyp: MIME
--> details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> details.zip
[2] Archivtyp: ZIP
--> document.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: support@big-boys.net][Subject: Mail Delivery (failure kontakt@funfocus.net)][Message-ID: <20051026105432.94789E8655B@mail2.sprit.org>]114.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: Your Account is Suspended][Message-ID: <20051026153426.AB8DDE85643@mail2.sprit.org>]116.mim
[1] Archivtyp: MIME
--> account-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-details.zip
[2] Archivtyp: ZIP
--> account-details.doc .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: jschreiber@incat.de][Subject: Re: Old photos][Message-ID: <20051027080503.8CBB2E84A6B@mail2.sprit.org>]122.mim
[1] Archivtyp: MIME
--> letter_kontakt.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> letter_kontakt.zip
[2] Archivtyp: ZIP
--> document.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: stephen.keen@ite-exhibitions.com][Subject: Mail Delivery (failure kontakt@hanf-cannabis-sa][Message-ID: <20051027091911.A26DAE85ABB@mail2.sprit.org>]124.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[Message-ID: <435E0013000F246C@mail16.bluewin.ch> (added by ][From: admin@hanf-cannabis-sativa.org][Subject: Security measures]130.mim
[1] Archivtyp: MIME
--> document.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.FI
--> document.zip
[2] Archivtyp: ZIP
--> document.htm .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.FI
--> Mailbox_[From: <update@microsoft.com>][Subject: Microsoft SP3 Update][Message-ID: <005601c5dbc7$ebafa9a0$2101a8c0@namei7a384xiqj>]132.mim
[1] Archivtyp: MIME
--> update3.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bizaro.B
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: Your password has been updated][Message-ID: <20051028182926.1986FE87081@mail2.sprit.org>]134.mim
[1] Archivtyp: MIME
--> new-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.FI
--> new-password.zip
[2] Archivtyp: ZIP
--> new-password.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.FI
--> Mailbox_[From: anilu@mynet.com][Subject: Mail Delivery (failure kontakt@funfocus.net)][Message-ID: <20051026172858.46B97E86116@mail2.sprit.org>]136.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: foc@emirates-va.org][Subject: Re: Notify][Message-ID: <20051026173307.DE5E7E86D6E@mail2.sprit.org>]138.mim
[1] Archivtyp: MIME
--> details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> details.zip
[2] Archivtyp: ZIP
--> details.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: vente@adczy-soft.com][Subject: Mail Delivery (failure kontakt@funfocus.net)][Message-ID: <20051027140035.E864FE84C02@mail2.sprit.org>]140.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: mail@hanf-cannabis-sativa.org][Subject: Your Account is Suspended][Message-ID: <20051029111640.85B1AE85571@mail2.sprit.org>]150.mim
[1] Archivtyp: MIME
--> account-report.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.FI
--> account-report.zip
[2] Archivtyp: ZIP
--> account-report.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.FI
--> Mailbox_[From: service@hanf-cannabis-sativa.org][Subject: WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSE][Message-ID: <20051030141338.D14B9E85CC3@mail2.sprit.org>]156.mim
[1] Archivtyp: MIME
--> qxb.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> qxb.zip
[2] Archivtyp: ZIP
--> qxb.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: nudi@spitbit.at][Subject: Private document][Message-ID: <20051029135741.AF0D2E860BC@mail2.sprit.org>]164.mim
[1] Archivtyp: MIME
--> about_you.pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: alfdelvuelo@yahoo.com.mx][Subject: Mail Delivery (failure kontakt@funfocus.net)][Message-ID: <20051029140400.2EB4AE84850@mail2.sprit.org>]166.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: markus.loew@inode.at][Subject: Mail Delivery (failure kontakt@funfocus.net)][Message-ID: <20051030004355.4DD4BE843EC@mail2.sprit.org>]168.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> file1.html
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.P.Expl
--> message.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: a.biba@kabsi.at][Subject: Re: Message Error][Message-ID: <20051030004400.1FC89E8506E@mail2.sprit.org>]170.mim
[1] Archivtyp: MIME
--> msg.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> msg.zip
[2] Archivtyp: ZIP
--> details.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> Mailbox_[From: info@hanf-cannabis-sativa.org][Subject: Your password has been successfully updated][Message-ID: <20051102194310.C80C2E85647@mail2.sprit.org>]200.mim
[1] Archivtyp: MIME
--> accepted-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> accepted-password.zip
[2] Archivtyp: ZIP
--> accepted-password.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: administrator@hanf-cannabis-sativa.org][Subject: *DETECTED* Online User Violation][Message-ID: <20051103111529.27111E86747@mail2.sprit.org>]216.mim
[1] Archivtyp: MIME
--> account-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-details.zip
[2] Archivtyp: ZIP
--> account-details.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: support@hanf-cannabis-sativa.org][Subject: You have successfully updated your password][Message-ID: <20051103135211.D3A66E8462B@mail2.sprit.org>]218.mim
[1] Archivtyp: MIME
--> email-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-password.zip
[2] Archivtyp: ZIP
--> email-password.doc .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: webmaster@hanf-cannabis-sativa.org][Subject: Members Support][Message-ID: <20051104002504.BC97EE84D2F@mail2.sprit.org>]228.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: service@hanf-cannabis-sativa.org][Subject: Warning Message: Your services near to be close][Message-ID: <20051104163737.B8D33E865F6@mail2.sprit.org>]236.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: register@hanf-cannabis-sativa.org][Subject: You have successfully updated your password][Message-ID: <20051106225733.EEABBE855F6@mail2.sprit.org>]252.mim
[1] Archivtyp: MIME
--> account-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-password.zip
[2] Archivtyp: ZIP
--> account-password.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: webmaster@hanf-cannabis-sativa.org][Subject: YOUR PASSWORD HAS BEEN SUCCESSFULLY UPDATED][Message-ID: <20051108190601.B4739E86D55@mail2.sprit.org>]272.mim
[1] Archivtyp: MIME
--> new-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> new-password.zip
[2] Archivtyp: ZIP
--> new-password.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: webmaster@hanf-cannabis-sativa.org][Subject: *DETECTED* Online User Violation][Message-ID: <20051109164846.A346DE85DCB@mail2.sprit.org>]274.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: editor@weathervine.com][Subject: Hello][Message-ID: <20051110093222.A97B1E8633B@mail2.sprit.org>]286.mim
[1] Archivtyp: MIME
--> message.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IM.1
--> message.zip
[2] Archivtyp: ZIP
--> message.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IM.1
--> Mailbox_[From: fred@uni-bayreuth.de][Subject: Mail Transaction Failed][Message-ID: <20051112154338.4D3BEE8561E@mail2.sprit.org>]300.mim
[1] Archivtyp: MIME
--> text.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.DH
--> text.zip
[2] Archivtyp: ZIP
--> text.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.DH
--> Mailbox_[From: david@fdoernenburg.de][Subject: hello][Message-ID: <20051112182714.63A9CE8665A@mail2.sprit.org>]308.mim
[1] Archivtyp: MIME
--> document.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.DH
--> document.zip
[2] Archivtyp: ZIP
--> document.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.DH
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: hnerzpe][Message-ID: <20051114143112.11F51E8701D@mail2.sprit.org>]322.mim
[1] Archivtyp: MIME
--> account-info.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-info.zip
[2] Archivtyp: ZIP
--> account-info.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: administrator@hanf-cannabis-sativa.org][Subject: YOUR PASSWORD HAS BEEN SUCCESSFULLY UPDATED][Message-ID: <20051115170225.64E97E86307@mail2.sprit.org>]328.mim
[1] Archivtyp: MIME
--> updated-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> updated-password.zip
[2] Archivtyp: ZIP
--> updated-password.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: administrator@hanf-cannabis-sativa.org][Subject: WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSE][Message-ID: <20051116103849.5DE13E863D4@mail2.sprit.org>]338.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: info@hanf-cannabis-sativa.org][Subject: MEMBERS SUPPORT][Message-ID: <20051117185527.E64DCE84BD6@mail2.sprit.org>]378.mim
[1] Archivtyp: MIME
--> document.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> document.zip
[2] Archivtyp: ZIP
--> document.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: Important Notification][Message-ID: <20051117232351.1542BE8434A@mail2.sprit.org>]382.mim
[1] Archivtyp: MIME
--> important-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> important-details.zip
[2] Archivtyp: ZIP
--> important-details.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: register@hanf-cannabis-sativa.org][Subject: Your password has been updated][Message-ID: <20051118115630.52FC4E866AB@mail2.sprit.org>]384.mim
[1] Archivtyp: MIME
--> accepted-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> accepted-password.zip
[2] Archivtyp: ZIP
--> accepted-password.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS][Message-ID: <20051120165309.9C203E84BC5@mail2.sprit.org>]406.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: YOU HAVE SUCCESSFULLY UPDATED YOUR PASSWORD][Message-ID: <20051121211922.8F381E84EC4@mail2.sprit.org>]418.mim
[1] Archivtyp: MIME
--> accepted-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> accepted-password.zip
[2] Archivtyp: ZIP
--> accepted-password.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: *DETECTED* Online User Violation][Message-ID: <20051122143443.91C0AE84E1A@mail2.sprit.org>]422.mim
[1] Archivtyp: MIME
--> account-report.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-report.zip
[2] Archivtyp: ZIP
--> account-report.htm .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: MAILER-DAEMON@mail.hanson.net][Subject: failure notice][Message-ID: <20051124124225.C7A3DE8733F@mail2.sprit.org>]440.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> mailtext.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sober.Y
--> mailtext.zip
[3] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sober.Y
--> Mailbox_[From: service@hanf-cannabis-sativa.org][Subject: *DETECTED* Online User Violation][Message-ID: <20051124194650.0117BE86CAA@mail2.sprit.org>]450.mim
[1] Archivtyp: MIME
--> important-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> important-details.zip
[2] Archivtyp: ZIP
--> important-details.htm .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: mail@hanf-cannabis-sativa.org][Subject: Important Notification][Message-ID: <20051126135702.4B291E8584C@mail2.sprit.org>]462.mim
[1] Archivtyp: MIME
--> account-report.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-report.zip
[2] Archivtyp: ZIP
--> account-report.doc .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: administrator@hanf-cannabis-sativa.org][Subject: Important Notification][Message-ID: <20051128105810.49C37E854CF@mail2.sprit.org>]474.mim
[1] Archivtyp: MIME
--> qvnf.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> qvnf.zip
[2] Archivtyp: ZIP
--> qvnf.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: register@hanf-cannabis-sativa.org][Subject: Warning Message: Your services near to be close][Message-ID: <20051128224135.70BD5E85373@mail2.sprit.org>]480.mim
[1] Archivtyp: MIME
--> account-report.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> account-report.zip
[2] Archivtyp: ZIP
--> account-report.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: webmaster@hanf-cannabis-sativa.org][Subject: Your Account is Suspended][Message-ID: <20051201193932.09854E87748@mail2.sprit.org>]520.mim
[1] Archivtyp: MIME
--> document.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> document.zip
[2] Archivtyp: ZIP
--> document.htm .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: info@hanf-cannabis-sativa.org][Subject: Members Support][Message-ID: <20051202211945.CE4E3E86C68@mail2.sprit.org>]526.mim
[1] Archivtyp: MIME
--> ueraicl.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> ueraicl.zip
[2] Archivtyp: ZIP
--> ueraicl.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: postmaster@kromax.com][Message-ID: <CFFyDbBbx00000c3c@ns5.kromax.com>][Subject: =?unicode-1-1-utf-7?Q?+ULOQXnLAYUuQGnfl- ]536.mim
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.W.1
--> Mailbox_[From: postmaster@kromax.com][Message-ID: <CFFyDbBbx00000c3c@ns5.kromax.com>][Subject: =?unicode-1-1-utf-7?Q?+ULOQXnLAYUuQGnfl- ]536.mim
[1] Archivtyp: MIME
--> file2.mim
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.W.1
--> file2.mim
[2] Archivtyp: MIME
--> file.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.X
--> file.zip
[3] Archivtyp: ZIP
--> document.htm .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.X
--> Mailbox_[From: webmaster@hanf-cannabis-sativa.org][Subject: WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSE][Message-ID: <20051204143952.DBFFFE86C2B@mail2.sprit.org>]546.mim
[1] Archivtyp: MIME
--> important-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> important-details.zip
[2] Archivtyp: ZIP
--> important-details.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: mail@hanf-cannabis-sativa.org][Subject: YOUR ACCOUNT IS SUSPENDED][Message-ID: <20051205135032.157FDE87234@mail2.sprit.org>]558.mim
[1] Archivtyp: MIME
--> important-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> important-details.zip
[2] Archivtyp: ZIP
--> important-details.txt .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: info@hanf-cannabis-sativa.org][Subject: *DETECTED* Online User Violation][Message-ID: <20051207132549.1FBF7E85286@mail2.sprit.org>]588.mim
[1] Archivtyp: MIME
--> important-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> important-details.zip
[2] Archivtyp: ZIP
--> important-details.doc .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: register@hanf-cannabis-sativa.org][Subject: zompvo][Message-ID: <20051211133613.A9302E87131@mail2.sprit.org>]610.mim
[1] Archivtyp: MIME
--> new-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> new-password.zip
[2] Archivtyp: ZIP
--> new-password.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: support@hanf-cannabis-sativa.org][Subject: WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSE][Message-ID: <20051212203520.F0345E87B44@mail2.sprit.org>]624.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: info@hanf-cannabis-sativa.org][Subject: Your Account is Suspended For Security Reasons][Message-ID: <20051213083518.E9026E86DD6@mail2.sprit.org>]628.mim
[1] Archivtyp: MIME
--> document.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> document.zip
[2] Archivtyp: ZIP
--> document.htm .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: support@hanf-cannabis-sativa.org][Subject: Members Support][Message-ID: <20051213214253.40A20E84CBA@mail2.sprit.org>]640.mim
[1] Archivtyp: MIME
--> email-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> email-details.zip
[2] Archivtyp: ZIP
--> email-details.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: info@hanf-cannabis-sativa.org][Subject: Your password has been successfully updated][Message-ID: <20051215015811.D00B1E85D9B@mail2.sprit.org>]648.mim
[1] Archivtyp: MIME
--> approved-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> approved-password.zip
[2] Archivtyp: ZIP
--> approved-password.txt .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: admin@hanf-cannabis-sativa.org][Subject: Email Account Suspension][Message-ID: <20051215140147.D5F95E8742E@mail2.sprit.org>]654.mim
[1] Archivtyp: MIME
--> important-details.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> important-details.zip
[2] Archivtyp: ZIP
--> important-details.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: register@hanf-cannabis-sativa.org][Subject: You have successfully updated your password][Message-ID: <20051216154929.DC4F3E84D2E@mail2.sprit.org>]662.mim
[1] Archivtyp: MIME
--> password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> password.zip
[2] Archivtyp: ZIP
--> password.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> Mailbox_[From: webmaster@hanf-cannabis-sativa.org][Subject: Your password has been successfully updated][Message-ID: <20051217161557.2E0BEE85F6D@mail2.sprit.org>]668.mim
[1] Archivtyp: MIME
--> new-password.zip
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
--> new-password.zip
[2] Archivtyp: ZIP
--> new-password.htm .pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Mytob.IL
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'I:\' <Install>
Beginne mit der Suche in 'J:\' <Downloads>
Beginne mit der Suche in 'K:\' <Games>
K:\Emulatoren und Spiele(classics)\Nintendo\Famicom\!Roms from www.theoldcomputer.com\Bishojou Sexy Slot (19xx)(Super PIG)(J)(Unl)[b].fds
[FUND] Enthält Erkennungsmuster des Disk Killer #2-Virus
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2ccb9.qua' verschoben!


Ende des Suchlaufs: Montag, 22. Dezember 2008 18:28
Benötigte Zeit: 49:20 Minute(n)

Der Suchlauf wurde abgebrochen!

14073 Verzeichnisse wurden überprüft



675310 Dateien wurden geprüft
126 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
675183 Dateien ohne Befall
30377 Archive wurden durchsucht
2 Warnungen
1 Hinweise
47475 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Ich war mir zwar darüber bewußt wie Rootkits auf den Rechner gelangen können, doch das seltsame war das ich an dem Tag wo es Anfing genau 3 Seiten aufgemacht hab (gmx, youtube und play.fm), Seiten die ich jeden Tag öffne ... Windows Updates mach ich immer wenn sie da sind, nur das letzte Firefox Update (ich glaub 3.0.5) habe ich erst 2 Tage nach dem Befall gemacht - weißt Du zufällig was bei diesem Firefox Update ausgebessert wurde?

#18 ich glaub 8 sicherheitslücken...
also erst mal kümmern wir uns um deine mailbox...
öffne dein mailprogramm lösche alle mails die du net mehr brauchst. auch spamordnner... dann leere den papierkorb. dann klicke auf datei und wähle komprimieren! dann sind se weg.
nun öffne noch mal antivir, stelle diesmal die heuristik auf hoch und lass den suchlauf diesmal durchlaufen! funde in quarantäne und log posten.

#19 ich glaub 8 sicherheitslücken...
also erst mal kümmern wir uns um deine mailbox...
öffne dein mailprogramm lösche alle mails die du net mehr brauchst. auch spamordnner... dann leere den papierkorb. dann klicke auf datei und wähle komprimieren! dann sind se weg.
nun öffne noch mal antivir, stelle diesmal die heuristik auf hoch und lass den suchlauf diesmal durchlaufen! funde in quarantäne und log posten.

#20 Hi virenfinder,
danke nochmal für Deinen hilfreichen Support!
die mails sind gelöscht aber bei Thunderbird find ich unter "Datei" nur den Punkt "Alle Ordner des Kontos komrimieren" oder meintest Du die Komprimierung bei der Datenträgerbereinigung?

Werd denn Scan nochmal laufen lassen, allerdings ist die 1/2 der Partitionen auf einer 2'ten Festplatte und jede Partition auf dieser ist nur eine Sicherheitskopie einer Partition auf der Systemplatte .... und noch dazu :-) ... sind es fast nur Filme, Musik, Spiele und Programme - die ich alle schon mindestens 10x mal gescannt habe (vor dem Rootkit), wird also vmtl. wenig bringen.

Das Revanchierungsangebot ist übrigens nicht Erfolgsabhängig ;-)

#21 bin nur gründlich...
www.thunderbird-mail.de/wiki/Ordner_komprimieren - 21k -
bitte also noch mal avira updaten heuristik auf hoch. ich würde auch die datensicherung mit scannen, die soll ja auch sauber sein