Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: FTP Logindaten gestohlen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.07.2008, 15:52   #1
chris47803
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Hallo!

Ich habe Zugang zu mehreren FTPs.
Die Zugangsdaten sind verschlüsselt im Total Commander gespeichert.
Niemand hat Zugang zu meinem Rechner
und die Daten habe ich nicht an Dritte weitergegeben.

Seit dem 07.07.2008 kann sich nun jemand mit meinem Namen und Passwort einloggen.
Es sind immer verschiedene Namen und Paswörter.

Er besitzt die IP 209.160.22.98
ACHTUNG: Diese IP bitte nicht mit dem IE aufrufen.

In einigen Index-Dateien wurde code eingefügt.
Falls der benötigt wird poste ich ihn hier noch.

Nun mein Problem:
AntiVir findet nichts.
HiJackthis findet auch alles okay.

Malwarebytes Anti-Malware findet:
C:\Programme\Internet Explorer\SETUPAPI.DLL (Trojan.BHO) -> No action taken.

Womit kann ich noch scannen?

Mein BS: Windows XP SP3

Danke, Chris
__________________
Besucht auch bitte meine Webseiten.

PersonalBit | Formel 1 | Datenbanken

Alt 23.07.2008, 16:35   #2
-SkY-
Gast
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



*hust* myXOOPS.org - Fremder Code in der index.php [Forum - Sicherheit von XOOPS] *hust*

Da sind schonmal viele Antworten.

Wenn man dann außerdem mal die IP googled, kommen ziemlich Aufschlussreiche Ergebnisse..


EDIT: Hab die IP eben abgesichert mit dem IE7 aufgerufen, die Seite sieht nicht verseucht aus, da steht nur "Apache is functioning normally"
__________________


Alt 23.07.2008, 17:16   #3
KarlKarl
/// Helfer-Team
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Hi,

Zitat:
da steht nur "Apache is functioning normally"
Genau das ist schon hochverdächtig. ein schnell angemieteter Server, auf dem in irgendeinem Unterverzeichnis Malware und Exploits warten, hat meistens so eine Startseite. Wobei das auch nicht die von Apache vorinstallierte ist, die enthält einiges mehr, sondern offensichtlich vom Seitenbetreiber so eingerichtet wurde.

Nachdem ich diesen Server aber nicht über seine IP sondern mit einem auf ihn zeigenden Domainnamen angesteuert habe, bekam ich auch prompt ein Javascript geliefert dass einen Iframe entschlüsselt und dann ins Dokument schreibt, der wiederum auf eine andere Seite zeigt, wo es dann einen Exploit gibt.

Irgendwie egal, die sind international tätig und wir werden sie sowieso nicht stoppen können. Die haben mit Sicherheit schon mehrere Server in mehreren anderen Ländern als Ausweichquartiere. Bleibt also die Frage, wie sie zu dem FTP kommen. Da tippe ich erstmal auf den Computer, von dem aus die FTP-Passwörter benutzt wurden. Also mal mit einem HijackThis anfangen und dann weitersehen.

Gruß, Karl
__________________

Alt 23.07.2008, 18:06   #4
chris47803
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Hallo!

Erstmal danke für eure Antworten.

Ich habe nun alle Rechner mit Malwarebytes Anti-Malware gecheckt.

Rechner 1:
Infizierte Dateien:
C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully.

Rechner 2:
Infizierte Dateien:
C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully.


Rechner 3:
Sauber

Nun zu HiJackThis:

Rechner 1:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:25, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-21-436374069-861567501-725345543-1003\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10B66B7-E492-41C6-B095-995C7AAB9BA7}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpdj - HP - C:\DOKUME~1\xp-2200\LOKALE~1\Temp\hpdj.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6708 bytes
Rechner 2:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:36, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\emule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\wincmd\TOTALCMD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166963550852
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166963528299
O17 - HKLM\System\CCS\Services\Tcpip\..\{779AEB26-8E88-4F85-BF3B-BB3A7A05B711}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4418 bytes
Rechner 3:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:04, on 23.07.2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC6B9C5-1F0E-4183-876E-BC185A79890E}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\FileZillaFTP\FileZillaServer.exe (file missing)

--
End of file - 3660 bytes
__________________
Besucht auch bitte meine Webseiten.

PersonalBit | Formel 1 | Datenbanken

Alt 23.07.2008, 20:22   #5
KarlKarl
/// Helfer-Team
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Direkte Infektionen sind zwar auf keinem System zu sehen, aber:
  • System 1: Java ist veraltet.
  • System 2: Adobe Reader ist veraltet. ein inoffizieller WMF-Patch ist installiert, fehlt vielleicht der offizielle?
  • System 3: Java ist sehr veraltet, dazu Windows, keine Servicepacks. Ebenfalls der inoffizielle WMF-Patch.
Aller Wahrscheinlichkeit nach wird man noch mehr veraltete Software finden können, bei der meisten ist es im HijackThis nicht erkennbar.

Aber zumindest Sachen wie ntos.exe sind nirgendwo erkennbar. Die war nämlich schon öfter der Grund für einen verratenen FTP-Zugang.


Alt 24.07.2008, 06:57   #6
chris47803
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Hallo!

Dann hat sich der Dieb die Daten schon vor Monaten geholt?

Das aktuelle System läuft seit dem 07.04.2008.
Nur von diesem Rechner nutze ich die FTP-Verbindung.

Hat denn der Dieb meine Eingaben geloggt,
oder wie kommt der an diese Daten.

Im Total Commander gebe ich es ja nicht per Hand ein,
sondern klicke auf eine FTP-Verbindung.
Die Daten dazu sind verschlüsselt in einer Datei im Windows-Verzeichnis.

Gruß, Chris
__________________
--> FTP Logindaten gestohlen

Alt 24.07.2008, 17:29   #7
chris47803
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Hallo!

Ich habe nochmal mit AntiVir gescannt.

Dies ist der Rechner mit XP SP3.

HTML-Code:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xp-2200\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\514ba913-2ac11405
    [0] Archivtyp: ZIP
    --> MagicApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B
    --> OwnClassLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify
    --> ProxyClassLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A
    --> Installer.class
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.OpenConnection.AO
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Programme\Mozilla Firefox\SETUPAPI.DLL1
    [FUND]      Ist das Trojanische Pferd TR/Agent.9728.A
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINXP\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{A8CADA0A-B6FB-4069-9BD3-60139AA95C95}\RP121\A0020017.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\'
Gleich mache ich noch einen eScan nach eurer Anleitung.

Gruß, Chris
__________________
Besucht auch bitte meine Webseiten.

PersonalBit | Formel 1 | Datenbanken

Alt 24.07.2008, 20:56   #8
chris47803
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Hallo!

Hier das Ergebnis von eScan.

HTML-Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal 
  
eScan Version: 9.9.7 
Sprache: German 
C:\DOKUME~1\xp-2200\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Datei C:\Programme\UltraVNC\vncviewer.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.1102". Keine Maßnahme ergriffen. 
Datei D:\Documente\Internet\Webseiten\Eigene\Aktuelle Seiten\Personalbit (25.05.2008)\personalbit\uploads\meine_bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei D:\Documente\Internet\Webseiten\Eigene\Aktuelle Seiten\Personalbit (25.05.2008)\personalbit\uploads\meine_bilder.zip/Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (08.06.2007) XOOPS\uploads\meine_bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (08.06.2007) XOOPS\uploads\meine_bilder.zip/Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (24.09.2006) PHPKIT\content\download\Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei D:\System Volume Information\_restore{A8CADA0A-B6FB-4069-9BD3-60139AA95C95}\RP75\A0013804.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Offending file found: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe 
Offending file found: C:\WINXP\system32\unrar.dll 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
MicroWorld AntiVirus und Antispyware Toolkit. 
Antiviren- und Antispywaredatenbanken werden heruntergeladen... 
Antiviren- und Antispywaredatenbanken werden heruntergeladen... 
MicroWorld AntiVirus und Antispyware Toolkit. 
Scannen Spyware: Aktiviert 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\xp-2200\LOKALE~1\Temp\spydb.avs, Size: 839103]. 
Indexed Spyware Databases Successfully Created... 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen. 
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen. 
System found infected with lop.com Spyware/Adware (1111.exe)! Action taken: Keine Maßnahme ergriffen. 
System found infected with cybersitter Spyware/Adware (hklm\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen. 
System found infected with savenow Adware (C:\WINXP\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{313b688c-09e2-11dd-a259-000b6a0874bb} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - 
winlogon.exe - winlogon.exe
services.exe - C:\WINXP\system32\services.exe
lsass.exe - C:\WINXP\system32\lsass.exe
svchost.exe - C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe - 
svchost.exe - C:\WINXP\system32\svchost.exe -k netsvcs
svchost.exe - 
svchost.exe - 
vsmon.exe - C:\WINXP\system32\ZoneLabs\vsmon.exe -service
explorer.exe - C:\WINXP\Explorer.EXE
cmd.exe - cmd /c ""D:\Download\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo 
wmiprvse.exe - 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR!!! Invalid Entry \??\C:\Programme\Unknown Device Identifier\gwiopm.sys in SYSTEM\CurrentControlSet\Services\gwiopm. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry SYSTEM32\DRIVERS\PTIUSBF.SYS in SYSTEM\CurrentControlSet\Services\ptiusbf. Action Taken: No Action Taken. 
ERROR!!! ScanFile Fails for C:\WINXP\system32\Drivers\sptd.sys... 
ERROR!!! Invalid Entry system32\DRIVERS\vmnetadapter.sys in SYSTEM\CurrentControlSet\Services\VMnetAdapter. Action Taken: No Action Taken. 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Nokia_Multimedia_Factory_2_0.exe 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Nokia_PC_Suite_rel_6_86_9_0_ger.exe 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Patcher\Patcher1540\ZippedStagingArea\PatchFiles.zip 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Virtual_PC_2007_Install.msi 
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{0FC76~1\NOKIA_~1.EXE 
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{29466~1\NOKIA_~1.EXE 
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{4CFB3~1\NOKIA_~1.EXE 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\DERLOR~1 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Inbox 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\PERSON~1 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Sent 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Trash 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\NOKIA_~2.EXE 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\NOKIA_~1.EXE 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Patcher\PATCHE~4\ZIPPED~1\PATCHF~1.ZIP 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\VIRTUA~1.MSI 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\TEMPOR~1\Content.IE5\2E0F77T6\ZLSSET~1.EXE 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\NTUSER.DAT 
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\NTUSER~1.LOG 
ERROR!!! ScanFile fails for C:\pagefile.sys 
ERROR!!! ScanFile fails for C:\PROGRA~1\Adobe\READER~1.0\SETUPF~1\{AC76B~1\ADBERD~1.MSI 
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\VBA\VBA6\1031\VBLR6.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\OWCVBA10.CHM 
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\ACMAIN10.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\HTMLREF.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAAC10.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAPP10.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAWD10.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAXL10.CHM 
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\XLMAIN10.CHM 
ERROR!!! ScanFile fails for C:\Programme\Steinberg\WaveLab\Help\English\WaveLab.chm 
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP85\A0015310.msi 
ERROR!!! ScanFile fails for C:\WINXP\$NtServicePackUninstall$\apps_sp.chm 
ERROR!!! ScanFile fails for C:\WINXP\DRIVER~1\i386\driver.cab 
ERROR!!! ScanFile fails for C:\WINXP\Help\apps_sp.chm 
ERROR!!! ScanFile fails for C:\WINXP\ServicePackFiles\i386\apps_sp.chm 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default.LOG 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM.LOG 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY.LOG 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software.LOG 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system 
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system.LOG 
ERROR!!! ScanFile fails for C:\WINXP\system32\drivers\sptd.sys 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\PHP&HT~1\XAMPP-~1.ZIP 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US1F8D~1.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US1F85~1.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\USR_WE~2.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US2F85~1.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US3F8D~1.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US40B6~1.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\PERSON~1.200\PERSON~1\MYSQLD~1\work\backup\US3F85~1.GZ 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\PERSON~1.200\PERSON~1\MYSQLD~1\work\log\MYSQLD~3.GZ 
Result: ERROR!!! File D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (24.09.2006) PHPKIT\content\download\Ad-Aware 1.06.zip: Scanning Failure!!! 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\ALTESE~1\PERSON~1.200\content\download\AD-AWA~1.ZIP 
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\ALTESE~1\PERSON~1.200\content\download\TV-BRO~1.ZIP 
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\DERLOR~1 
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Inbox 
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\PERSON~1 
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Sent 
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Trash 
Result: ERROR!!! File D:\Documente\Sonstiges\Eigene Programme\Autostart CD mit Menue\autorun.apm: Scanning Failure!!! 
ERROR!!! ScanFile fails for D:\DOCUME~1\SONSTI~1\EIGENE~1\AUTOST~1\autorun.apm 
Result: ERROR!!! File D:\Documente\Sonstiges\Eigene Programme\Hardcore-Video-Multi-Player (9 Videos)\autorun.apm: Scanning Failure!!! 
ERROR!!! ScanFile fails for D:\DOCUME~1\SONSTI~1\EIGENE~1\HARDCO~1\autorun.apm 
ERROR!!! ScanFile fails for D:\Download\Firefox_Setup_3.0_RC_1.exe 
Result: ERROR!!! File D:\Download\klcodec395f.exe: Scanning Failure!!! 
ERROR!!! ScanFile fails for D:\Download\klcodec395f.exe 
ERROR!!! ScanFile fails for D:\Download\mwav.exe 
ERROR!!! ScanFile fails for D:\SYSTEM~1\_RESTO~1\RP91\A0016274.exe 
ERROR!!! ScanFile fails for E:\PC-PRO~1\MSUPDA~1\WI29E7~1.EXE 
ERROR!!! ScanFile fails for E:\PC-PRO~1\PROGRA~1\Setup\PORTAB~1.0(F\PORTAB~1.EXE 
Result: ERROR!!! File E:\PC-Programme\Treiber\Sonstige\klmcodec385.exe: Scanning Failure!!! 
ERROR!!! ScanFile fails for E:\PC-Programme\Treiber\Sonstige\klmcodec385.exe 
ERROR!!! ScanFile fails for E:\PC-PRO~1\Treiber\XP2200~1\16921_~1.EXE 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINXP\System32\drivers\etc\hosts:
C:\WINXP\System32\drivers\etc\hosts:127.0.0.1       localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Zahl der gescannten Objekte: 192881 
Zahl der kritischen Objekte: 21 
Zahl der desinfizierten Objekte: 0 
Zahl der umbenannten Dateien: 0 
Zahl der gelöschten Objekte: 0 
Zahl der Fehler: 68 
Zeit verstrichen: 02:35:51 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Speicherüberprüfung: Aktiviert 
Registrierungsdatenbank-Überprüfung: Aktiviert 
Überprüfung des Startordners: Aktiviert 
Überprüfung des Systemordners: Aktiviert 
Überprüfung der Dienste: Aktiviert 
Überprüfung der Laufwerke: Deaktiviert 
Überprüfung aller Laufwerke:Aktiviert 
Überprüfung der Ordner: Deaktiviert 
 
Batchstart: 21:45:35,90 
Batchende: 21:45:44,95 
__________________
Besucht auch bitte meine Webseiten.

PersonalBit | Formel 1 | Datenbanken

Alt 24.07.2008, 22:22   #9
KarlKarl
/// Helfer-Team
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Relevant für dein Problem finde ich diese Funde nicht. Bei Escann kommt hinzu, dass das Programm mit Fehlalarmen um sich schmeißt. Bei den Dateien unterhalb von D:\Documente\Internet\Webseiten\Eigene wirst Du vermutlich besser wissen können, wie verdächtig sie sind. Aber selbst wenn: "not-virus:BadJoke.Win32.Badgame" ist eben kein Virus sondern nur ein schlechter Scherz.

Dann ein Hinweis auf diese Software.

Bei denen hier werde ich schon wieder richtig sauer und verfluche Escann:
Zitat:
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
Schau mal hier. Alle aufgelisteten Schlüssel werden dort von einer vertrauenswürdigen Software angelegt. Du hast ja oben geschrieben, dass Du Malwarebyte benutzt hast. Escan dient nur dazu, mit vielen dramatischen Falscherkennungen Druck zu machen, die Vollversion zu kaufen "weil die dann ja auch alles entfernen kann". Eine Masche, die man doch schon kennt. Winantivirus, Spysheriff, usw. arbeiten auch so.

Die ist eventuell noch interessant: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe, ich vermute aber auch einen Fehlalarm. Alles was Escann als "offending" meldet wird einfach gemeldet, weil es einen bestimmten Namen hat, ohne dabei auch nur zu berücksichtigen, in welchen Verzeichnis der Name auftritt. Für einen genaueren Check einer Datei bietet sich immer VirusTotal an.


Ich fürchte, dass es darauf hinauslaufen wird, erstmal zu beobachten, ob es zu weiteren unautorisierten Zugriffen auf die Seiten kommt (alle Zugriffsdaten sind ja geändert). Wenn nicht, wird die Ursache ungeklärt bleiben, aber immerhin ist das Problem auch weg. wenn Du ganz gründlich sein willst, dann setzt du ein System neu auf um es in Zukunft nur für solche Sachen zu nutzen. Alternativ ein System das von CD startet. Wie sicher die im Total Commander gespeicherten Passwörter sind, habe ich keine Ahnung. Aber beachte, dass es z.B. diese Software gibt. Da kommen mir gewisse Zweifel.

Alt 24.07.2008, 22:42   #10
Heike
 
FTP Logindaten gestohlen - Standard

FTP Logindaten gestohlen



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Wie sicher die im Total Commander gespeicherten Passwörter sind, habe ich keine Ahnung. Aber beachte, dass es z.B. diese Software gibt. Da kommen mir gewisse Zweifel.
Da hätte ich allerdings auch Zweifel. Manchmal reicht es, so eine Datei einfach auf einem anderen PC an die entsprechende Stelle zu kopieren und, oh Wunder, der Access ist da.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Antwort

Themen zu FTP Logindaten gestohlen
achtung, anti-malware, aufrufe, benötigt, code, daten, explorer, ftp, interne, internet, internet explorer, mehrere, namen, passwort, poste, problem, programme, scan, scanne, scannen, sp3, total, total commander, trojan.bho, verschiedene, windows, windows xp, windows xp sp3, xp sp3, zugang



Ähnliche Themen: FTP Logindaten gestohlen


  1. Computer gehackt, passwörter gestohlen
    Plagegeister aller Art und deren Bekämpfung - 17.09.2015 (28)
  2. Gemalto: Verschlüsselungcodes von SIM-Karten nicht gestohlen
    Nachrichten - 25.02.2015 (0)
  3. BSI-Warnung: 200.000 FTP-Passwörter gestohlen
    Nachrichten - 28.05.2014 (0)
  4. Daten von 800.000 Telefonkunden in Frankreich gestohlen
    Nachrichten - 03.02.2014 (0)
  5. PC-Scan zur Sicherheit, da Kreditkartendaten gestohlen wurden
    Log-Analyse und Auswertung - 22.04.2013 (23)
  6. Ist mein system infiziert? (MMO Währung gestohlen)
    Log-Analyse und Auswertung - 11.07.2012 (3)
  7. Nach LinkedIn auch eHarmony-Passwörter gestohlen
    Nachrichten - 07.06.2012 (0)
  8. 24 Millionen Datensätze bei Amazon-Tochter gestohlen
    Nachrichten - 16.01.2012 (0)
  9. Geheime Daten bei Japans Raumfahrtagentur gestohlen
    Nachrichten - 15.01.2012 (0)
  10. PSN-Hack: Persönliche Daten von Millionen Kunden gestohlen
    Nachrichten - 27.04.2011 (0)
  11. Passwoerter wurden gestohlen
    Log-Analyse und Auswertung - 11.11.2010 (24)
  12. Zugangsdaten von 44 Millionen Online-Spielern gestohlen
    Nachrichten - 29.05.2010 (0)
  13. webseiten pw gestohlen ? flushdns geht nicht
    Log-Analyse und Auswertung - 03.03.2010 (17)
  14. meinen Flyff Daten wurden gestohlen !
    Plagegeister aller Art und deren Bekämpfung - 18.11.2009 (2)
  15. Email PW gestohlen / abgefangen Keylogger ??
    Log-Analyse und Auswertung - 15.08.2009 (4)
  16. Diverse Passwörter gestohlen
    Log-Analyse und Auswertung - 29.12.2008 (5)
  17. accont gestohlen
    Log-Analyse und Auswertung - 29.12.2006 (10)

Zum Thema FTP Logindaten gestohlen - Hallo! Ich habe Zugang zu mehreren FTPs. Die Zugangsdaten sind verschlüsselt im Total Commander gespeichert. Niemand hat Zugang zu meinem Rechner und die Daten habe ich nicht an Dritte weitergegeben. - FTP Logindaten gestohlen...
Archiv
Du betrachtest: FTP Logindaten gestohlen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.