Hallo,
ich habe heute eine Mail von 1und1 bekommen. Ich denke schon dass die Mail echt ist, Kundennummer usw stimmen.
leider kann ich nicht zuordnen welcher PC es gewesen sein soll. 2 von 4 kann ich allerdings ausschließen. Der Laptop ist zur Zeit unterwegs, aber von meinem Desktop kann ich euch mal das Hijack this log geben.
Ich kann mir allerdings nicht vorstellen dass dieser PC schuld ist, eigentlich bin da nur ich dran (nagut ich bi nauch nicht unfehlbar). Der Laptop hatte vor kurzem so eine Antivir Scareware Virus drauf, den ich aber eigentlich schon entfernt hatte. Der Laptop log kommst sobald es geht.
Auf den ersten Blick habe ich auch nichts gesehen, aber ihr kenn euch da sicher besser aus. Danke für die hilfe!
ich habe heute eine Mail von 1und1 bekommen. Ich denke schon dass die Mail echt ist, Kundennummer usw stimmen.
Ihre Kundennummer: XXX
Ihre Vertragsnummer: XXX
Unsere Referenz: [Ticket XXX]
Hinweis: Ihre Kundennummer und Ihr Name zeigen Ihnen, dass diese Nachricht von der 1&1 Internet AG verschickt wurde.
Sehr geehrte/r Herr XXX,
heute erhalten Sie eine dringende Nachricht zu Ihrem 1&1 DSL-Anschluss. 1&1 hat
es sich zur Aufgabe gemacht, seine Kunden vor den Gefahren des Internets zu
schützen.
Unser Expertenteam hat Hinweise erhalten, dass sich auf einem Computer hinter
Ihrem Anschluss ein Virus befindet: Über Ihren 1&1 DSL-Anschluss wurde Spam
versendet. Dies wird in aller Regel von einem Virus gesteuert. Den Namen des
Virus konnten wir nicht feststellen.
Datum und Uhrzeit des Vorfalls: 2011-05-26 18:15:00
Tipp: Sollten mehrere Computer hinter Ihrem 1&1 DSL-Anschluss angeschlossen
sein, gibt Ihnen dieses Datum einen Hinweis auf den betroffenen Computer.
Und so stellen Sie die Sicherheit Ihres Anschlusses wieder her:
1. Löschen Sie den Virus:
Damit Sie den Virus gleich erkennen und ganz einfach von Ihrem Computer
entfernen können, nutzen Sie den praktischen und kostenlosen DE-Cleaner. Dieses
Programm stellt Ihnen die deutsche Initiative botfrei.de zur Verfügung.
Und hier geht es zum DE-Cleaner: https://www.botfrei.de/decleaner.html
Sollten Sie bei der Anwendung des DE-Cleaners und beim Löschen des Virus
Unterstützung brauchen, hilft Ihnen das Anti-Botnet-Beratungszentrum gerne weiter.
Sie erreichen das Anti-Botnet-Beratungszentrum unter der folgenden Rufnummer:
0209 - 605 060
Wichtig: Geben Sie bei Ihrem Anruf bitte die folgende Voucher-Nummer an:
01 - 24625547
2. Schützen Sie Ihren Computer in Zukunft:
Haben Sie eine professionelle Anti-Viren-Software auf Ihrem Computer
installiert? Das 1&1 Sicherheitspaket Norton 360 schützt Sie umfassend vor allen
Gefahren des Internets. Weitere Informationen finden Sie hier:
http://hilfe-center.1und1.de/bin/DE100-01-05-00006_KurzanleitungN360.pdf
Möchten Sie den Norton Ihrem Vertrag hinzufügen? Dann bestellen Sie einfach unter:
http://kundenshop.1und1.de/xml/order/LandingPage?SID=24663049&action=fo&ac=OM.BK.BK263K18238T7073a
3. Ändern Sie Ihre Passwörter:
Da Viren allgemein Passwörter ausspionieren, ändern Sie zur Sicherheit alle Ihre
Passwörter und Zugangsdaten. Denken Sie an die Passwörter zu:
- Ihrem Online-Bankingzugang
- Ihrem 1&1 Control-Center
- Ihren 1&1 Mailboxen
- Ihrem WEB.DE, GMX-Postfach oder anderen E-Mail-Konten
- Ihrem eBay-Mitglieds-Konto
Haben Sie noch Fragen? Dann antworten Sie einfach auf diese E-Mail und belassen
Sie bitte unsere Referenz [Ticket XXX] in Ihrer Nachricht.
Oder rufen Sie uns einfach an. Wir sind gerne für Sie da.
Sie erreichen uns montags bis freitags von 08:30 bis 17:00 Uhr - kostenfrei aus dem Fest- und Mobilfunknetz der 1&1 Internet AG - unter: 0721 96 00
Wir freuen uns, mit Ihnen gemeinsam für einen sicheren 1&1 DSL-Anschluss zu
sorgen - vielen Dank für Ihre Mitarbeit.
Mit freundlichen Grüßen
Ihr Abuse-Team
-- Abuse-Abteilung 1&1 Internet AG Elgendorfer Str. 57, 56410 Montabaur Amtsgericht Montabaur HRB 6484 · Vorstand: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen · Aufsichtsratsvorsitzender: Michael Scheeren
leider kann ich nicht zuordnen welcher PC es gewesen sein soll. 2 von 4 kann ich allerdings ausschließen. Der Laptop ist zur Zeit unterwegs, aber von meinem Desktop kann ich euch mal das Hijack this log geben.
Ich kann mir allerdings nicht vorstellen dass dieser PC schuld ist, eigentlich bin da nur ich dran (nagut ich bi nauch nicht unfehlbar). Der Laptop hatte vor kurzem so eine Antivir Scareware Virus drauf, den ich aber eigentlich schon entfernt hatte. Der Laptop log kommst sobald es geht.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:52:30, on 30.05.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\Motorola\MotoHelper\MotoHelperAgent.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
D:\Steam\Steam.exe
C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files (x86)\Input Director\InputDirector.exe
C:\Users\Felix\Desktop\Programme\AVM\PhonerLite\PhonerLite.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Users\Felix\AppData\Local\Apps\2.0\TP2O9658.RDH\3W1HKR0P.9JV\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\fritzbox-usb-fernanschluss.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Java\jre6\bin\javaw.exe
C:\Program Files (x86)\Mozilla Firefox4\firefox.exe
C:\Program Files (x86)\Mozilla Firefox4\plugin-container.exe
E:\LOL\RADS\system\rads_user_kernel.exe
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
E:\LOL\RADS\projects\lol_launcher\releases\0.0.0.25\deploy\LoLLauncher.exe
E:\LOL\RADS\projects\lol_air_client\releases\0.0.0.47\deploy\LolClient.exe
E:\Age of Conan\ConanPatcher.exe
C:\PROGRA~2\FOXITS~1\FOXITR~1\FOXITR~1.EXE
C:\Users\Felix\Desktop\HiJackThis204.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MIF5BA~1\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MIF5BA~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [InputDirector] "C:\Program Files (x86)\Input Director\InputDirector.exe" /hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Steam] "D:\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [AVMUSBFernanschluss] "C:\Users\Felix\AppData\Local\Apps\2.0\TP2O9658.RDH\3W1HKR0P.9JV\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\AVMAutoStart.exe"
O4 - HKCU\..\Run: [TrueCrypt] "C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /q preferences /a logon /a favorites
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: PhonerLite.exe - Verknüpfung.lnk = Felix\Desktop\Programme\AVM\PhonerLite\PhonerLite.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: *.clonewarsadventures.com
O15 - Trusted Zone: *.freerealms.com
O15 - Trusted Zone: *.soe.com
O15 - Trusted Zone: *.sony.com
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: AVM FRITZ!Fernzugang IKE Service (avmike) - AVM Berlin - C:\Program Files\FRITZ!Fernzugang\avmike.exe
O23 - Service: AVM FRITZ!Fernzugang Cert Service (certsrv) - AVM Berlin - C:\Program Files\FRITZ!Fernzugang\certsrv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - d:\steam\steamapps\common\dragon age ultimate edition\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Input Director Vista Service (IDVistaService) - Unknown owner - C:\Program Files (x86)\Input Director\IDVistaService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Input Director Service (InputDirector) - Unknown owner - C:\Program Files (x86)\Input Director\IDWinService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MotoHelper Service (MotoHelper) - Unknown owner - C:\Program Files (x86)\Motorola\MotoHelper\MotoHelperService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMSAccess - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
O23 - Service: Palm Novacom (NovacomD) - Palm - C:\Program Files\Palm, Inc\novacom\amd64\novacomd.exe
O23 - Service: AVM FRITZ!Fernzugang Client (nwtsrv) - AVM Berlin - C:\Program Files\FRITZ!Fernzugang\nwtsrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: Synergy Client - Unknown owner - C:\Program Files\Synergy\synergyc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 11886 bytes
Auf den ersten Blick habe ich auch nichts gesehen, aber ihr kenn euch da sicher besser aus. Danke für die hilfe!
Zuletzt bearbeitet:
