[Sina]

Hallo

Habe zwei Fragen bezügl. Mails – Viren

Habe heute drei Mails in meinem Briefkasten, als Absender meinen Internetprovider - weshalb ich sie öffnete (aber nicht auf meinen Computer herunter lud)

Nachfolgend nun der Text der ersten Mail (per Strg +C in WordPad kopiert)
Leider ist mein engl. nicht so berauschend - kann diese Art der Mail einen Virus enthalten bzw. ist sie so ein Kettenbrief?

“My name is George Dunant a member of Independent
Committee of Eminent Persons (ICEP), Switzerland. ICEP
is charged with the responsibility of finding bank
accounts in Switzerland belonging to non-Swiss
indigenes, which have remained dormant since World War
II It may interest you to know that In July of 1997,
the Swiss Banker's Association published a list of
dormant accounts originally opened by non-Swiss
citizens. These accounts had been dormant since the
end of World War II (May 9, 1945). Most belonged to
Holocaust victims.
The continuing efforts of the Independent Committee of
Eminent Persons (ICEP) have since resulted in the
discovery of additional dormant accounts - 54,000 in
December, 1999.
The published lists contain all types of dormant
accounts, including interest-bearing savings accounts,
securities accounts, safe deposit boxes, custody
accounts, and non-interest-bearing transaction
accounts. Numbered accounts are also included.
Interest is paid on accounts that were interest
bearing when established.
The Claims Resolution Tribunal (CRT) handles
processing of all claims on accounts due non-Swiss
citizens. A dormant account of ORDNER ADELE with a
credit balance of 35,000,000 US dollar plus
accumulated interest was discovered by me. The
beneficiary was murdered during the holocaust era,
leaving no WILL and no possible records for trace of
heirs. The Claims Resolution Tribunal has been
mandated to report all unclaimed funds for permanent
closure of accounts and transfer of existing credit
balance into the treasury of Switzerland government as
provided by the law for management of assets of
deceased beneficiaries who died interstate (living no
wills).
Being a top executive at ICEP, I have all secret
details and necessary contacts for claim of the funds
without any hitch. The funds will be banked in the
Carribean Island, being a tax free, safe haven for funds
and we can share the funds and use in investment of
our choice.
Due to the sensitive nature of my job, I need a
foreigner to HELP claim the funds. All that is
required is for you to provide me your details for
processing of the necessary legal, and administrative
claim documents for transfer of the funds to you.
Provide me with your full name, address, and
telephone/fax. you will pay some required fees to ensure
that the fund is transferred to a secure, numbered
account in your name in the Carribean Island, and you can
now start accessing the funds gradually and
transferring to your country and other banks of choice
in the world. My share will be 60 percent and your
share is 40 per cent of the total amount. THERE IS NO
RISK INVOLVED.
You can find additional information about unclaimed
funds through the internet at the following websites:
www.swissbankclaims.com
www.avotaynu.com
www.icheic.org
www.livingheirs.com
www.wiesenthal.com
The Holocaust Claims Processing Office has put funds
in Escrow awaiting submission of valid claims for
necessary disbursement.
I find myself priviledged to have this information and
this may be a great opportunity for a life time of
success without risks.
Thank you for your prompt response.
Due to security reasons,
reply to my via email only at{[email protected]}
Thanks once more for co-operating,
George Dunant.
Ende Mail

Die beiden anderen Mails hatten ebenfalls als Absender meinen Internetprovider - weshalb ich auch sie öffnete (aber nicht auf meinen Computer herunter lud).

Als ich die Mails geöffnet hatte, war nix zu lesen, sondern nur ein großes, schwarzes Feld zu sehen. Auch der Absender, den man ja vor dem Öffnen lesen konnte, war nur nicht mehr zu sehen, nur eben dieses schwarze Feld.
Im IE, ganz unten (wo man z.B. sehen kann, auf welcher Internetseite man sich gerade befindet) sah ich aber eine schnell ablaufende Folge von ? Aufruf Internetseiten ? – oder was auch immer.
Danach waren sie weg - soll heißen sie wurden nicht mehr in der Liste der erhaltenen Mails aufgeführt!
Ich hatte sie aber nicht gelöscht!

Ich habe meinen Virenscanner drüber laufen lassen, der hat aber nichts gefunden.
Danach habe ich Ad-Aware laufen lassen, der hat ein Tracking Cookie, Data Miner, IECache Entry, @as1.falkag[1].txt gefunden.

Per Affengriff habe ich nun gesehene, es gibt eine „svchost.exe mit 28.744 K“, ich konnte aber bisher nicht herausfinden, was das ist.

Glaubt Ihr, ich habe mir etwas eingefangen ?

Sina

Dieser Beitrag wurde von Sina bearbeitet: 25. Mai 2005 - 12:36

[Sina]

Danke für Eure super schnellen Antworten!

@gani7777
Hast du eine solche Textmail bekommen oder auch solche Mails, wo nur alles schwarz aussieht?

@ BAstiL
Habe drei svchost

1. SVCHOST.EXE-3530F672.pf Windows\Preftech
2. svchost.exe \system32
3. svchost.exe \ServicePackFiles\i386

Dein Link ist toll! Klingt sehr gut und ich hätte mir gerne dieses Programm auch heruntergeladen, leider kommt bei mir dann immer: Diese Seite kann nicht angezeit werden.

Sina

[flo]

hallo sina


poste mal ein Hijackthis LOG

Hijackthis bekommst du hier

www.hijackthis.de


einfach entpacken ausführen und die dann erstellte log datei hier posten, dann sehen wir weiter

[Kampfrapunzel]

Hi Sina!

also, das mit der "svchost.exe" ist ok. Die tritt auch im Taskmanager öfter auf (bei mir aktuell 4x)

[ox_eye]

Also die erste Mail ist Spam. Die beiden anderen ... keine Ahnung. Hijackthis wäre jetzt gut.

[Sina]

Vielen lieben Dank für die Mühe, die Ihr Euch macht.

Es ist mir nun endlich gelungen, das Programm HijackThis und Security Task Manager herunter zu laden.

Anbei dieses Logfile von HijackThis:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PerfectDisk\install\PDSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Viren HijackThis\entpack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\SpyBot 1.4 Beta 2\install\SDHelper.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\progra\lotus\organize\iehelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\programme\microsoft activesync 3.8\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\programme\microsoft activesync 3.8\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\programme\microsoft activesync 3.8\inetrepl.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\progra\lotus\organize\bandobjs.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\PerfectDisk\install\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\PerfectDisk\install\PDSched.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Retrospect\install\retrorun.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Scheint mir ok zu sein – oder?

@ BAstiL
Habe deine Antwort gerade erst gesehen und werde mich dran machen, alles zu lesen bzw. mir dieses Programm anzuschauen. Wird aber etwas dauern, denn meine Familie ist im Anmarsch und deshalb ist schrubbstaubwischputz angesagt.

Herzliche Grüße Sina

[Internetkopfgeldjäger]

Hallo Sina

ich glaube Du hast da Schadsoftware auf Deinem Rechner.
Folge doch mal dem Link
und kopiere das Ergebnis Deines HijackThis dort hinein
und lasse es automatisch auswerten:
http://www.hijackthis.de/index.php

Das, was dort als böse erkannt wird, solltest Du fixen.


Gruß, Internetkopfgeldjäger

Dieser Beitrag wurde von Internetkopfgeldjäger bearbeitet: 26. Mai 2005 - 08:57

[flo]

@ sina


da fehlt der kopf des Logs, da wo Betriebssystem steht usw.

wo ist da denn schadenssoftware

Zitat

02 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\progra\lotus\organize\iehelper.dll

O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\progra\lotus\organize\bandobjs.dll

das ist meiner ansicht nach der Lotus Orgenizer, und wird von Hijackthis Falsch erkannt

außer dem ist die Prozentzahl grün, das ist schon in ordnung

Zitat

    O4 - Global Startup: CAPIControl.lnk = ?

das kanst du fixen das is unnötig weil nicht vorhanden




sina, hast du den Lotos Organizer drauf?, wenn ja dannist dein Rechner Sauber, ich sach ja immer die Autoauswertung ist gut, aber nicht 100% tig

Dieser Beitrag wurde von Flo bearbeitet: 26. Mai 2005 - 09:42

[Sina]

Zitat (Flo: 26.05.2005, 10:33)

@ sina wo ist da denn schadenssoftware
das ist meiner ansicht nach der Lotus Orgenizer, und wird von Hijackthis Falsch erkannt außer dem ist die Prozentzahl grün, das ist schon in ordnung

Ja, habe den Lotus Organizer. Woran kannst du denn sehen, ob was grün ist?

Zitat (Flo: 26.05.2005, 10:33)

O4 - Global Startup: CAPIControl.lnk = ? das kanst du fixen das is unnötig weil nicht vorhanden

Doch, ich habe ein CAPI bzw. brauche ich eine CAPI, weil darüber das Fax läuft. Oder gibt es verschiedene CAPI?

Sina

[flo]

Zitat

Ja, habe den Lotus Organizer. Woran kannst du denn sehen, ob was grün ist?

in der autoauswertung, links wi das etwas ausführlicher beschrieben ist, da ist ne % Zahl

Zitat

Doch, ich habe ein CAPI bzw. brauche ich eine CAPI, weil darüber das Fax läuft. Oder gibt es sad.gif verschiedene CAPI?

der eintrag ist nur der Autostart eintrag, löscht also auch nur den autostarteintrag, der sowiso nicht mehr vorhanden ist



schön dann ist dein PC sauber, und ich werde das Matze gleich mal Melden mit dem Lotus Organizer