| |
| |||||||
Log-Analyse und Auswertung: Banken-spyware?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.03.2005, 12:30
| #1 |
| |  Banken-spyware? Hallo, seit einger Zeit habe ich nach jedem Internetbesuch in der WindowsRegistry folgende Einträge (fett hervorgehoben): Logfile of HijackThis v1.98.2 Scan saved at 12:03:29, on 09.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\iSaver\iSaverCtrl.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\NCLAUNCH.EXe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\System32\PGPsdkServ.exe C:\Programme\RamCleaner\RamCleaner.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\McAfee\McAfee AntiSpyware\Msssrv.exe C:\Programme\McAfee\McAfee AntiSpyware\MssCli.exe C:\Programme\Emoticon +++\Emoticon +.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\alin\Desktop\Antispytools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O1 - Hosts: 67.15.104.33 ibank.barclays.co.uk O1 - Hosts: 67.15.104.33 online-business.lloydstsb.co.uk O1 - Hosts: 67.15.104.33 online.lloydstsb.co.uk O1 - Hosts: 67.15.104.33 www.halifax-online.co.uk O1 - Hosts: 67.15.104.33 www.ukpersonal.hsbc.co.uk O1 - Hosts: 67.15.104.33 www.nwolb.com O1 - Hosts: 67.15.104.33 banesnet.banesto.es O1 - Hosts: 67.15.104.33 extranet.banesto.es O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\McRegWiz.exe /autorun O4 - HKLM\..\Run: [_AntiSpyware] C:\Programme\McAfee\McAfee AntiSpyware\MssCli.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [RamCleaner] C:\Programme\RamCleaner\RamCleaner.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab Ich habe bereits den Internet Exploer 6 deshalb mit XPlite deinstalliert. Hat aber leider nix gebracht.Ich fixe es dann erneut mit HijackThis, die "Banken-Einträge" erscheinen dennoch nach jedem Internetbesuch. Spybot DestroySearch und Adaware haben das Problem auch nicht behoben. Wer kann mir hier weiter helfen??  Vielen Dank im Voraus. |
|
09.03.2005, 12:47
| #2 |
| |  Banken-spyware? schon escan durchgeführt? Wenn nicht hier ist der Link zur Beschreibung escan damit testen und die infected gekennzeichneten löschen, alles im abgesicherten Modus und mit deaktivierter Systemwiedererstellung!
__________________EDIT: und mal dein Windows aktuell halten! SP2 und updates! |
|
09.03.2005, 15:00
| #3 |
 | Banken-spyware? Hallo alien 78 !
__________________Diese Liste der o.g. Banken erinnern mich stark an den Troj/Banker-AJ siehe: http:// www.sophos.com/virusinfo/analyses/trojbankeraj.html bzw. Troj/BankAsh-A ( ein Banker- und Kennwort stehlender Trojaner ): siehe: http://www.sophos.de/virusinfo/analy...jbankasha.html Letztere wurde "berühmt" da er auch versucht die Anwendung Microsoft AntiSpyware zu deaktivieren oder zu beenden. Macht aber noch viel mehr,ua. Stiehlt Kreditkarten-Daten Schaltet Antiviren-Anwendungen aus Löscht Dateien vom Computer Stiehlt Daten etc. Schau dir mal diese beiden o.g. Beschreibungen durch; sie könnten leider auf dich zutreffen ohne dem eScan-Ergebnis vorzugreifen. O |
|
09.03.2005, 15:28
| #4 |
 | Banken-spyware? alien78, Du hast u.a. folgenden Besucher bei Dir im System: http://www.sophos.de/virusinfo/analy...rancetteq.html = syschost.exe Ermöglicht Dritten den Zugriff auf den Computer Stiehlt Daten Reduziert die Systemsicherheit Speichert Tastenfolgen Installiert sich in der Registrierung Nutzt bekannte Schwachstellen aus Kein Wunder bei einem ungepatchten System! Da hier eine Backdoorfunktionalität vorliegt, wird Dir dringend geraten dies durchzuführen: http://www.trojaner-board.de/showthread.php?t=12154 um derartigen zu vermeiden: http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 sry dartus |
|
| Themen zu Banken-spyware? |
| adobe, adobe reader, antispyware, banke, bho, dateien, desktop, einstellungen, explorer, firefox, helfen, heulen, hijack, hijackthis, icon, internet explorer, mcafee, messenger, microsoft, mozilla, mozilla firefox, msn, msn messenger, problem, programme, software, system, system32, träge, usb, vielen dank, windows xp |
Linear-Darstellung
