Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ebayfraud

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.02.2007, 07:17   #1
Joahanniskoog
 
Ebayfraud - Icon27

Ebayfraud



Moin und DANKE im voraus

Mein Avira meldet in den letzten Tagen ständig wieder:

TR/Agent.AKT.1
Phish/Ebayfraud.6
TR/Agent.37888.4

Mein AntiVir steckt beim Virusscan die Datei zwar in Quarantäne aber sie kommen immer wieder.

Ziehe schon nach Möglichkeit mein Netzwerk ab und habe auch schon eScan, AdAware usw laufen lassen (natürlich auch im Abgesicherten Modus) hat aber nichts gebracht.

Gruß Sven


Logfile of HijackThis v1.99.1
Scan saved at 08:06:08, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\tp4serv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\Roxio DVDMax Player\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\WMonitor\WLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\SC101 Manager Utility\ZeteraService.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Steps\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SD

Helper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSNMSGR] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Quicken 2006 Zahlungserinnerung.lnk = C:\Programme\Quicken2006\billmind.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111857248359
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE0BBDDA-8680-4316-A86D-1DAF8C7900FA}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: SiteCOM Wireless Service (SITECOMWL1XXb) - Unknown owner - C:\Programme\WMonitor\WLService.exe
O23 - Service: Zetera - Zetera Corporation - C:\Programme\NETGEAR\SC101 Manager Utility\ZeteraService.exe

Alt 17.02.2007, 07:51   #2
Joahanniskoog
 
Ebayfraud - Standard

Ebayfraud



Hier noch das Suchergebniss von AntiVir:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\51exhdda.3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba516.qua' verschoben!
C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\33exhdda.3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba51d.qua' verschoben!
C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\66exhdda.3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba524.qua' verschoben!
C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\86exhdda.3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba527.qua' verschoben!
C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\6exhdda.3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '464ea566.qua' verschoben!
C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\88exhdda.3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba539.qua' verschoben!
__________________


Alt 17.02.2007, 20:33   #3
Sunny
Administrator
> Competence Manager
 

Ebayfraud - Standard

Ebayfraud



Hallo.

CleanUp


Lade die als erstes das Tool -> CleanUp

*konfiguriere das Tool wie in der Anleitung beschrieben
*starte nun das Programm und lass dein System bereinigen.

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny
__________________
__________________

Alt 18.02.2007, 12:21   #4
Joahanniskoog
 
Ebayfraud - Standard

Ebayfraud



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Alt 18.02.2007, 17:13   #5
Joahanniskoog
 
Ebayfraud - Standard

Ebayfraud



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Feb 18 08:24:36 2007 => Version 9.1.4 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Sun Feb 18 08:24:03 2007 => Virus Database Date: 2/16/2007
Sun Feb 18 11:31:41 2007 => Virus Database Date: 2/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Feb 18 08:25:40 2007 => System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: No Action Taken.
Sun Feb 18 08:25:41 2007 => System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Feb 18 08:25:40 2007 => Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ginstall.dll
Sun Feb 18 08:25:41 2007 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\ginstall.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Alt 18.02.2007, 17:32   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ebayfraud - Standard

Ebayfraud



Sieht eigentlich ganz gut, im Hijackthis-Logfile lässt sich auch nichts pöhses ausmachen. Werte doch mal die Datei

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\ginstall.dll

bei Virustotal aus und poste die Ergebnisse.
BTW: Man sollte nicht ständig mit Adminrechten arbeiten...
__________________
--> Ebayfraud

Alt 18.02.2007, 19:02   #7
Joahanniskoog
 
Ebayfraud - Standard

Ebayfraud



Version Update Result
AntiVir 7.3.1.37 02.18.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.18.2007 no virus found
AVG 386 02.18.2007 no virus found
BitDefender 7.2 02.18.2007 no virus found
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.18.2007 no virus found
DrWeb 4.33 02.18.2007 no virus found
eSafe 7.0.14.0 02.18.2007 no virus found
eTrust-Vet 30.4.3410 02.18.2007 no virus found
Ewido 4.0 02.18.2007 no virus found
Fortinet 2.85.0.0 02.18.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.18.2007 no virus found
Kaspersky 4.0.2.24 02.18.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.18.2007 no virus found
NOD32v2 2069 02.18.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.18.2007 no virus found
Prevx1 V2 02.18.2007 no virus found
Sophos 4.14.0 02.18.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.18.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.18.2007 no virus found

Alt 18.02.2007, 19:04   #8
Joahanniskoog
 
Ebayfraud - Standard

Ebayfraud



Ach mit Adminrechten arbeite ich eigentlich so gut wie nie. Eigentlich nur zum Virenscannen.

Tja es scheint dann ja geschaft zu sein

Herzlichen dank für DIE Hilfe

Antwort

Themen zu Ebayfraud
abgesicherten modus, adobe, antivir, avg, avira, bho, computer, escan, explorer, firefox, hijack, hijackthis, internet, internet explorer, konvertieren, microsoft, mozilla, mozilla firefox, netgear, netzwerk, pdf, pdf-datei, programme, quara, software, system, temp, urlsearchhook, windows, windows xp, yahoo



Zum Thema Ebayfraud - Moin und DANKE im voraus Mein Avira meldet in den letzten Tagen ständig wieder: TR/Agent.AKT.1 Phish/Ebayfraud.6 TR/Agent.37888.4 Mein AntiVir steckt beim Virusscan die Datei zwar in Quarantäne aber sie kommen - Ebayfraud...
Archiv
Du betrachtest: Ebayfraud auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.