Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kontonummer bei Phishing Server???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.10.2007, 13:19   #1
Elschi
 
Kontonummer bei Phishing Server??? - Standard

Kontonummer bei Phishing Server???



Hallo

Die Bank hat meinen OnlineZugang gesperrt, da meine Kontonummer bei einem Phishing Server aufgetaucht ist.
Kann man an dem folgenden Logfile sowas erkennen?
Antivir, Spybot und Spyware Doctor melden nichts.

Im Voraus vielen Dank
Elschi


Logfile of HijackThis v1.99.1
Scan saved at 14:06:38, on 18.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IBM\SQLLIB\bin\db2dasrrm.exe
C:\Programme\IBM\SQLLIB\BIN\db2mgmtsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
c:\programme\sdb\programs\pgm\serv.exe
C:\Programme\IBM\SQLLIB\bin\db2syscs.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\IBM\SQLLIB\BIN\db2sec.exe
C:\Programme\IBM\SQLLIB\BIN\db2rcmd.exe
C:\Programme\IBM\SQLLIB\BIN\db2fmp.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinPatrol\winpatrol.exe
C:\WINNT\system32\internat.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\Free Download Manager\fum\fum.exe
C:\Programme\Free Download Manager\FUM\fumoei.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Dokumente und Einstellungen\**\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Free Upload Manager] "C:\Programme\Free Download Manager\fum\fum.exe" -autorun
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /500
O8 - Extra context menu item: Shkarko gjithçka me Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Shkarkoje me Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Shkarkoje zgjedhjen me Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E796549-B637-42D1-A3FF-88AA7145B202}: NameServer = 192.168.0.1,192.168.178.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: sudown - C:\WINNT\SYSTEM32\sudown.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: DB2 - DB2COPY1 - DB2 (DB2) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\bin\db2syscs.exe
O23 - Service: DB2DAS - DB2DAS00 (DB2DAS00) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\\bin\db2dasrrm.exe
O23 - Service: DB2 Governor (DB2COPY1) (DB2GOVERNOR_DB2COPY1) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2govds.exe
O23 - Service: DB2-Lizenzserver (DB2COPY1) (DB2LICD_DB2COPY1) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2licd.exe
O23 - Service: DB2-Verwaltungsservice (DB2COPY1) (DB2MGMTSVC_DB2COPY1) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2mgmtsvc.exe
O23 - Service: DB2-Sicherheitsservice (DB2COPY1) (DB2NTSECSERVER_DB2COPY1) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2sec.exe
O23 - Service: DB2 Remote Command Server (DB2COPY1) (DB2REMOTECMD_DB2COPY1) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2rcmd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
O23 - Service: SAPDB: .M760032 (SAP DBTech-.M760032) - SAP AG - C:\Programme\sdb\MAXDB1\pgm\kernel.exe
O23 - Service: SAPDB: .M760032 (quick) (SAP DBTech-.M760032 (quick)) - Unknown owner - C:\Programme\sdb\MAXDB1\pgm\quickknl.exe (file missing)
O23 - Service: SAPDB: .M760032 (slow) (SAP DBTech-.M760032 (slow)) - Unknown owner - C:\Programme\sdb\MAXDB1\pgm\slowknl.exe (file missing)
O23 - Service: SAPDB: .M760032 (omststknl.exe) (SAP DBTech-.M760032 (test)) - Unknown owner - C:\Programme\sdb\MAXDB1\pgm\omststknl.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: XServer - SAP AG - c:\programme\sdb\programs\pgm\serv.exe

Alt 18.10.2007, 13:32   #2
hoerni26
 
Kontonummer bei Phishing Server??? - Standard

Kontonummer bei Phishing Server???



Hallo,

also ich zumindest kann auf dne ersten blick nix auffälliges finden.
__________________

__________________

Alt 18.10.2007, 14:12   #3
Chris4You
 
Kontonummer bei Phishing Server??? - Standard

Kontonummer bei Phishing Server???



Hi,

ausser "O20 - Winlogon Notify: sudown - C:\WINNT\SYSTEM32\sudown.dll"
(eventuell Avira?) finde ich nichts, muss aber ja auch nicht sein!

Pishing funktioniert durch die Umleitung des Users auf eine gefälschte Bankseite über manipulierte Emails...

Wenn Du noch einen Rootkitscann machen willst:
Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

chris
__________________
__________________

Alt 18.10.2007, 14:27   #4
Elschi
 
Kontonummer bei Phishing Server??? - Standard

Kontonummer bei Phishing Server???



Ist das so richtig?

Kerio Firewall meldet mir u.a.:



Technische Details für den Eindringversuch:

Injektoranwendung: C:\Programme\Spyware Doctor\swdsvc.exe
Beschreibung: Spyware Doctor Service
Dateiversion: 5.0.5.23
Produktname:
Produktversion: 5.0.5
Erstellt: 2007/10/16, 10:31:05
Geändert: 2007/10/2, 14:27:12
Zugegriffen: 2007/10/18, 10:35:44

Zielanwendung: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
Beschreibung: RealNetworks Scheduler
Dateiversion: 0.1.0.3725
Produktname: RealPlayer (32-bit)
Produktversion: 0.1.0.3725
Erstellt: 2006/9/26, 15:42:52
Geändert: 2006/9/26, 15:42:52
Zugegriffen: 2007/10/18, 10:35:28

Adresse der Injektion: 0x716F0000

Alt 18.10.2007, 14:50   #5
Elschi
 
Kontonummer bei Phishing Server??? - Standard

Kontonummer bei Phishing Server???



Hallo.
Die Bank hat genau zu dem Zeitpunkt das Konto gesperrt, als ich versucht habe Kontoauszüge abzuholen.
Habt ihr schon mal von anderen solchen Fällen gehört?

Elschi


Antwort

Themen zu Kontonummer bei Phishing Server???
adobe, avira, bho, desktop, drivers, einstellungen, explorer, firefox, firewall, free download, gesperrt, hijack, hijackthis, internet, internet explorer, logfile, mozilla, mozilla firefox, mysql server, pdfconverter, pdfcreator, phishing, plug-in, registry, rundll, security, server, software, spyware, system, usb, web.de, windows



Ähnliche Themen: Kontonummer bei Phishing Server???


  1. l+f: Analoges Phishing
    Nachrichten - 05.08.2015 (0)
  2. Phishing link
    Alles rund um Mac OSX & Linux - 13.06.2015 (5)
  3. DHL-Phishing-Mail
    Plagegeister aller Art und deren Bekämpfung - 09.05.2015 (13)
  4. PayPal-Phishing
    Überwachung, Datenschutz und Spam - 26.04.2015 (1)
  5. Phishing-Mail-Link angeklickt (Paypal-Phishing-Mail)
    Plagegeister aller Art und deren Bekämpfung - 29.11.2014 (9)
  6. Dropbox-Server als Phishing-Helfer
    Nachrichten - 20.10.2014 (0)
  7. Phishing Mail
    Plagegeister aller Art und deren Bekämpfung - 30.04.2014 (1)
  8. Bankdaten Phishing
    Log-Analyse und Auswertung - 21.06.2013 (7)
  9. Phishing Protector
    Antiviren-, Firewall- und andere Schutzprogramme - 01.12.2012 (6)
  10. Phishing per NFC
    Nachrichten - 02.03.2012 (0)
  11. Phishing/ Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 15.06.2011 (16)
  12. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
  13. Phishing
    Mülltonne - 15.04.2007 (3)
  14. Phishing
    Log-Analyse und Auswertung - 26.11.2006 (7)
  15. Bank-Phishing
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (0)
  16. W2K Server mit Exchange Server, Was ist los?
    Log-Analyse und Auswertung - 31.01.2005 (1)
  17. 802.1.x Radius Server, Wlan und Win 2000 server
    Alles rund um Windows - 19.10.2003 (5)

Zum Thema Kontonummer bei Phishing Server??? - Hallo Die Bank hat meinen OnlineZugang gesperrt, da meine Kontonummer bei einem Phishing Server aufgetaucht ist. Kann man an dem folgenden Logfile sowas erkennen? Antivir, Spybot und Spyware Doctor melden - Kontonummer bei Phishing Server???...
Archiv
Du betrachtest: Kontonummer bei Phishing Server??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.