Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe Phising-Attacke wsnpoem Trojaner!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.11.2007, 14:03   #1
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hallo zusammen,
meine Name ist Sebastian und ich brauche eure Hilfe.
Ich habe von meiner Bank die Info bekommen das auf mein Online Konton eine Phising-Attacke verübt wurde. Es soll sich um den trojaner wenpoem handeln.
Ich bin mir jedoch nicht sicher ober sich auf meinem, oder einem anderen Rechner befindent, da ich von mehreren (unter anderm Arbeit und der meines Bruder) Rechnern online-banking mache. Als Virensoftware habe ich antivir auf meinem Rechner. Habe ein logfile erstellt. Bitte helft mir. Danke.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:47, on 02.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Pielot\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Optimizer] C:\T-Cont\ConK.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 7603 bytes

Alt 02.11.2007, 14:34   #2
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Habe eben mit antivir gescant:
antivir sagt folgendes

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Einen wsnpoem Ordern finde ich auf meinem Rechner nicht!
__________________


Geändert von spilot (02.11.2007 um 15:28 Uhr)

Alt 05.11.2007, 08:22   #3
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hallo,
kann sich bitte jemand mein logfile durchlesen?
Ich habe davon leider keine Ahnung! Danke.
__________________

Alt 05.11.2007, 12:06   #4
Chris4You
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hi,

das HJ-Log gibt nicht viel her!

1.) Datfind
Starte diese Batchdatei datfind.bat (http://board.protecus.de/download.php?id=224413.datFind.bat) danach öffnet sich ein Notepad/Editor Fenster.
Kopiere diese erstellte Textdatei ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie ist nach Datum geordnet.
(kürze die Textdatei je Verzeichnis auf die letzten 3 Monate !)

2.) Download SDFix (http://downloads.andymanchesta.com/R...ools/SDFix.exe) zum Desktop

Starte im abgesicherten Modus:
Systemwiederherstellung deaktivieren in Windows XP

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklicke die RunThis.bat
Schreibe: Y, folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf Deinem Desktop steht in diesen Thread.

3. Escan
Arbeite das hier ab und poste alles ausser Coockies!
http://www.trojaner-board.de/42731-escan-anleitung.html

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.11.2007, 23:59   #5
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hallo,
danke für deine Hilfe!

Anbei der report zu Punkt 1. (Datfind)

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 64F9-9276

Verzeichnis von C:\WINDOWS\system32

05.11.2007 22:59 1.158 wpa.dbl
05.11.2007 22:59 58.727 vsconfig.xml
02.11.2007 21:20 4.212 zllictbl.dat
02.11.2007 15:56 384.930 perfh009.dat
02.11.2007 15:56 396.586 perfh007.dat
02.11.2007 15:56 65.866 perfc007.dat
02.11.2007 15:56 54.614 perfc009.dat
02.11.2007 15:56 911.074 PerfStringBackup.INI
28.09.2007 06:19 18.089.592 MRT.exe
29.08.2007 17:09 249.852 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 08:34 161.792 ieakui.dll




.
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 64F9-9276

Verzeichnis von C:\DOKUME~1\Pielot\LOKALE~1\Temp

05.11.2007 23:03 104.633 datfind.txt
05.11.2007 18:11 271 wecerr.txt
05.11.2007 17:45 1.384 jusched.log
05.11.2007 17:40 32.768 RMS3.tmp
05.11.2007 17:40 32.768 RMS4.tmp
04.11.2007 21:48 0 aax3F.tmp
04.11.2007 21:46 0 aax3E.tmp
04.11.2007 21:46 0 aax3C.tmp
04.11.2007 21:46 0 aax3B.tmp
04.11.2007 21:46 0 aax39.tmp
04.11.2007 21:45 0 aax38.tmp
04.11.2007 21:45 0 aax36.tmp
04.11.2007 21:44 0 aax35.tmp
04.11.2007 21:43 0 aax33.tmp
04.11.2007 21:43 0 aax32.tmp
04.11.2007 21:39 0 aax30.tmp
04.11.2007 21:39 0 aax2F.tmp
04.11.2007 21:39 0 aax2D.tmp
04.11.2007 21:38 0 aax2C.tmp
04.11.2007 21:38 0 aax2B.tmp
04.11.2007 21:38 0 aax29.tmp
04.11.2007 21:37 0 aax28.tmp
04.11.2007 21:37 0 aax27.tmp
04.11.2007 21:37 0 aax25.tmp
04.11.2007 21:36 0 aax24.tmp
04.11.2007 21:36 0 aax23.tmp
04.11.2007 17:28 729 TWAIN.LOG
04.11.2007 17:24 2 Twain001.Mtx
04.11.2007 17:24 156 Twunk001.MTX
04.11.2007 17:24 0 Twunk002.MTX
04.11.2007 09:09 32.768 ~DF4993.tmp
03.11.2007 18:45 4.286 xprt6ebf.ico
03.11.2007 18:33 4.286 xprt6bed.ico
03.11.2007 17:59 32.768 ~DFFB8E.tmp
03.11.2007 00:34 32.768 ~DF178B.tmp
35 Datei(en) 279.587 Bytes
0 Verzeichnis(se), 11.174.621.184 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 64F9-9276

Verzeichnis von C:\WINDOWS

05.11.2007 22:59 0 0.log
05.11.2007 22:59 1.499.150 WindowsUpdate.log
05.11.2007 22:59 157 wiadebug.log
05.11.2007 22:59 50 wiaservc.log
05.11.2007 22:59 2.048 bootstat.dat
05.11.2007 19:11 32.626 SchedLgU.Txt
04.11.2007 21:48 116 NeroDigital.ini
03.11.2007 18:32 54.156 QTFont.qfn
03.11.2007 18:27 171.163 setupapi.log
02.11.2007 21:37 227 system.ini
02.11.2007 21:37 486 win.ini
02.11.2007 19:45 2.911 KB893803v2Uninst.log
02.11.2007 19:45 209.767 ntdtcsetup.log
02.11.2007 19:45 164.414 iis6.log
02.11.2007 19:45 347.562 comsetup.log
02.11.2007 19:45 400.013 tsoc.log
02.11.2007 19:45 1.374 imsins.log
02.11.2007 19:45 56.328 ocmsn.log
02.11.2007 19:44 498.432 ocgen.log
02.11.2007 19:44 51.130 msgsocm.log
02.11.2007 19:44 1.041.150 FaxSetup.log
02.11.2007 19:44 1.917 imsins.BAK
02.11.2007 15:55 37 r007
09.10.2007 18:44 18.929 KB933729.log
09.10.2007 18:44 94.391 updspapi.log
09.10.2007 18:42 28.624 KB939653-IE7.log
09.10.2007 18:42 14.815 KB941202.log
14.09.2007 14:38 73.728 ALCFDRTM.VER
08.09.2007 12:55 170 wininit.ini
02.09.2007 20:33 1.409 QTFont.for
29.08.2007 17:09 26.193 KB933360.log
19.08.2007 12:16 187 muveeapp.INI
15.08.2007 17:53 11.295 spupdsvc.log
15.08.2007 17:46 12.862 EPISMG00.SWB
15.08.2007 17:07 24.464 KB936021.log
15.08.2007 17:07 30.064 KB938828.log
15.08.2007 17:07 23.249 KB921503.log
15.08.2007 17:07 29.046 KB938829.log
15.08.2007 17:06 27.802 KB937143-IE7.log
15.08.2007 17:05 15.752 KB938127-IE7.log
15.08.2007 17:05 289.990 msxml4-KB936181-enu.LOG
15.08.2007 17:05 10.014 KB936782.log
15.08.2007 17:05 57.771 wmsetup.log

.
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 64F9-9276

Verzeichnis von C:\WINDOWS\temp

05.11.2007 22:59 409 WGANotify.settings
05.11.2007 22:59 256 ZLT00403.TMP
05.11.2007 22:59 256 ZLT003ff.TMP
05.11.2007 22:59 255 WGAErrLog.txt
04.11.2007 09:05 256 ZLT037a6.TMP
04.11.2007 09:05 256 ZLT037a3.TMP
03.11.2007 00:33 256 ZLT061cc.TMP
03.11.2007 00:33 256 ZLT061c9.TMP
02.11.2007 19:01 0 T30DebugLogFile.txt
9 Datei(en) 2.200 Bytes
0 Verzeichnis(se), 11.174.604.800 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 64F9-9276

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.10.2007 21:40 2.305 kavwebscan.inf
28.08.2007 09:39 2.635.280 ImageUploader4.ocx
28.08.2007 09:39 378 ImageUploader4.inf
09.11.2006 14:36 5.019 swflash.inf
15.06.2006 17:33 1.132.192 EPUWALcontrol.dll
09.05.2006 15:51 539 EPUWALcontrol.inf
02.12.2005 16:00 264 WebCamPlayerOCX.inf
02.12.2005 15:40 506.880 WebCamPlayerOCX.ocx
14.11.2005 21:54 65 desktop.ini
30.06.2005 12:38 218.816 ExentCtl.ocx
19.04.2005 13:55 6.580 editLive4.inf
19.04.2005 13:55 210.226 editLive4.chm
19.04.2005 13:54 2.782.976 editLive4.ocx
19.04.2005 13:54 61.440 editLive4common.exe
16.11.2003 00:28 129.024 GSM_codec.dll
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
25.07.2002 16:05 172.032 isusweb.dll
18 Datei(en) 8.085.200 Bytes
0 Verzeichnis(se), 11.174.600.704 Bytes frei
.
.
.
Und zu Punkt 2. (SDFix)


SDFix: Version 1.113

Run by Pielot on 05.11.2007 at 23:37

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 23:46:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:8bf662e6
"s2"=dword:8302bf7d
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bc,bc,79,be,72,fa,f8,86,d1,23,a5,01,a5,b9,3b,e8,f0,e7,c1,79,51,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bc,bc,79,be,72,fa,f8,86,d1,23,a5,01,a5,b9,3b,e8,f0,e7,c1,79,51,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast"
"C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"="C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe:*:Enabled:Microsoft Flight Simulator"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\BuddyW\\BuddyW.exe"="C:\\Programme\\BuddyW\\BuddyW.exe:*:Enabled:BuddyW"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------


Files with Hidden Attributes:

Sun 5 Feb 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 16 Nov 2005 26,624 A..H. --- "C:\Eigene Dateien Magda\Sachunterricht\Strom\~WRL0005.tmp"
Wed 16 Nov 2005 53,248 A..H. --- "C:\Eigene Dateien Magda\Sachunterricht\Strom\~WRL1548.tmp"
Sun 13 Jun 2004 40,960 A..H. --- "C:\Eigene Dateien Magda\Uni\Deutsch\~WRL0706.tmp"
Tue 6 Jun 2006 315 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti2D.tmp"
Sun 8 May 2005 69,632 A..H. --- "C:\Eigene Dateien Magda\UB\Mathe\1. UB Zauberquadrat\~WRL0002.tmp"
Mon 23 Oct 2006 248,832 ...H. --- "C:\Eigene Dateien Magda\UB\Mathe\UPP\~WRL1846.tmp"
Sun 22 Oct 2006 58,880 ...H. --- "C:\Eigene Dateien Magda\UB\Mathe\UPP\~WRL3651.tmp"
Mon 23 Oct 2006 70,144 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL1350.tmp"
Wed 21 Feb 2007 21,504 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL1670.tmp"
Wed 21 Feb 2007 76,800 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL2045.tmp"
Mon 23 Oct 2006 63,488 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL2370.tmp"
Wed 21 Feb 2007 19,456 ...H. --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\Microsoft\Word\~WRL2949.tmp"
Fri 6 Jul 2007 857 ...HR --- "C:\Dokumente und Einstellungen\Pielot\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Sun 5 Feb 2006 4,348 A..H. --- "C:\Dokumente und Einstellungen\Pielot\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sun 5 Feb 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Pielot\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Sun 5 Feb 2006 400 A.SH. --- "C:\Dokumente und Einstellungen\Pielot\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Thu 9 Nov 2006 1,046,528 ...H. --- "C:\Eigene Dateien Magda\UB\Mathe\UPP\Entwurf\~WRL3521.tmp"
Wed 8 Nov 2006 18,371,072 ...H. --- "C:\Eigene Dateien Magda\UB\Sachunterricht\UPP\Entwurf\~WRL0032.tmp"
Wed 8 Nov 2006 16,501,760 ...H. --- "C:\Eigene Dateien Magda\UB\Sachunterricht\UPP\Entwurf\~WRL2844.tmp"

Finished!


Alt 06.11.2007, 07:46   #6
Chris4You
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hi,

hattest Du "Daemon tools" installiert (wegen den Hidden-Keys)...
Scheint aber immer noch sauber zu sein, kannst Du das ESCAN-Log noch posten? (Sdfix würde wnpoem erkennen und beseitigen, wenn es da wäre...)

Chris
__________________
--> Hilfe Phising-Attacke wsnpoem Trojaner!

Alt 06.11.2007, 08:22   #7
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hmmm....
wenn ich dich richtig verstehe, dann , müßte mein Rechner sauber sein?
Ein Freund hat sich auf meinem Rechner bei ebay eingeloogt, seit gestern ist nun auch sein ebay Account geknackt. Nicht das der Virus doch noch auf meinem Rechner ist...

Alt 06.11.2007, 08:36   #8
Chris4You
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hmm,

dann könnte es was Neues sein, was noch nicht erkannt wird...

Rootkit, Blackice:
Rootkit Hook Analyzer-F-Secure BlackLight-RootkitRevealer-IceSword-Gmer
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

Slientrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Dann als letztes noch Counterspy:
scanne und poste den scanreport (stelle vorher alles auf "remove"
ConterSpy
Poste auch dieses Log....

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.11.2007, 09:56   #9
Chris4You
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hi,

bitte las Online das hier mal prüfen:
C:\T-Cont\ConK.exe
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.11.2007, 10:57   #10
tomtaylor
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Probier bitte mal das kostenlose McAfee Rootkit Detective und benenne die Datei ntos.exe mit dem Tool um. Anschließend soll ein Vierenscanner den Trojaner finden können.

Ich konnte es (gott sei dank) noch nicht selber testen. Vielleicht hilfts.

Alt 06.11.2007, 18:30   #11
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

bitte las Online das hier mal prüfen:
C:\T-Cont\ConK.exe
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

chris
Datei ConK.exe empfangen 2007.11.06 18:15:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.7.0 2007.11.06 -
AntiVir 7.6.0.30 2007.11.06 -
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 -
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.06 -
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 -
F-Secure 6.70.13030.0 2007.11.06 -
Ikarus T3.1.1.12 2007.11.06 -
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5157 2007.11.06 -
Microsoft 1.3007 2007.11.06 -
NOD32v2 2641 2007.11.06 -
Norman 5.80.02 2007.11.06 -
Panda 9.0.0.4 2007.11.06 -
Prevx1 V2 2007.11.06 -
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 -
weitere Informationen
File size: 15360 bytes
MD5: 02af459599585d8e30b62bbca5ad5e56
SHA1: dfbe7dab5c26beab74835b4bf532cb34d35c8375

Alt 06.11.2007, 18:54   #12
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Zitat:
Zitat von tomtaylor Beitrag anzeigen
Probier bitte mal das kostenlose McAfee Rootkit Detective und benenne die Datei ntos.exe mit dem Tool um. Anschließend soll ein Vierenscanner den Trojaner finden können.

Ich konnte es (gott sei dank) noch nicht selber testen. Vielleicht hilfts.
Ich finde keine ntos.exe auf meinem rechner?

Alt 07.11.2007, 07:51   #13
Chris4You
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hi,

das die ntos.exe nicht gefunden wird, ist genau das Problem!
ntos.exe und wnpoem gehören mit audio.dll und video.dll zusammen, und dies alles ist nicht zu finden...

Gehe bitte noch vor, wie weiter unten von mir beschrieben (Rootkitscann durchführen, Silentrunner etc.)

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.11.2007, 17:55   #14
spilot
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hi,
habe das Programm runtergeladen und dann? Was/wie soll ich scannen?

Nach dem scan steht da:
Scan complete. Hidden registry keys/values: 15

Alt 09.11.2007, 08:06   #15
Chris4You
 
Hilfe Phising-Attacke wsnpoem Trojaner! - Standard

Hilfe Phising-Attacke wsnpoem Trojaner!



Hi,

poste das Log von BlackLight:
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen ..-

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Hilfe Phising-Attacke wsnpoem Trojaner!
adobe, antivir, avira, bho, desktop, drivers, e-banking, einstellungen, excel, explorer, google, handel, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, logfile, mehrere, microsoft, nicht sicher, object, programme, s-1-5-18, shockwave, software, system, trend micro, trojaner, urlsearchhook, usb, virensoftware, windows, windows xp



Ähnliche Themen: Hilfe Phising-Attacke wsnpoem Trojaner!


  1. gefälschten Link von Immobilienwebsite geöffnet, Malware oder Phising?Hilfe
    Log-Analyse und Auswertung - 21.07.2015 (23)
  2. Phising Mail Link geöffnet -> nun Trojaner etc?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2015 (7)
  3. Win XP mehrere Viren/Trojaner - Phising bei Banking
    Log-Analyse und Auswertung - 19.02.2014 (12)
  4. Paypal Phising-Mail am Imac OS X - Trojaner?
    Alles rund um Mac OSX & Linux - 24.11.2013 (10)
  5. Bundespolizei-Trojaner,Wizebar Popup, Phising Alarm
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (14)
  6. Deutsche Post Mail-Attacke - Live Platinum Trojaner + Kazy Trojaner
    Log-Analyse und Auswertung - 02.10.2012 (5)
  7. trojaner-attacke
    Log-Analyse und Auswertung - 24.03.2009 (1)
  8. Hacker-Attacke + Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.01.2009 (25)
  9. wsnpoem
    Plagegeister aller Art und deren Bekämpfung - 20.01.2009 (2)
  10. Hilfe - neue Attacke TR\Vundo - bitte Logfile checken - Danke
    Mülltonne - 19.12.2008 (0)
  11. WSNPOEM-Trojaner
    Mülltonne - 07.06.2008 (0)
  12. WSNPOEM - Trojaner, Konto gesperrt, McAffee gelöscht
    Plagegeister aller Art und deren Bekämpfung - 10.12.2007 (7)
  13. Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!
    Plagegeister aller Art und deren Bekämpfung - 11.11.2007 (12)
  14. Kontosperrung wegen WSNPOEM trojaner trotz Neuinstallation von XP
    Plagegeister aller Art und deren Bekämpfung - 08.11.2007 (9)
  15. Anruf von BANK, Konto gesperrt! GRUND: WSNPOEM (Trojaner!)
    Plagegeister aller Art und deren Bekämpfung - 01.11.2007 (9)
  16. Hilfe...Bitte um Hilfe - Trojan Attacke
    Log-Analyse und Auswertung - 16.07.2006 (2)
  17. Trojaner Attacke
    Plagegeister aller Art und deren Bekämpfung - 16.06.2006 (36)

Zum Thema Hilfe Phising-Attacke wsnpoem Trojaner! - Hallo zusammen, meine Name ist Sebastian und ich brauche eure Hilfe. Ich habe von meiner Bank die Info bekommen das auf mein Online Konton eine Phising-Attacke verübt wurde. Es soll - Hilfe Phising-Attacke wsnpoem Trojaner!...
Archiv
Du betrachtest: Hilfe Phising-Attacke wsnpoem Trojaner! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.