Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
PAYPAL Pishing

PAYPAL Pishing


Log-Analyse und Auswertung: PAYPAL Pishing

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.03.2008, 03:21   #1
JoKer83
 
PAYPAL Pishing - Standard

PAYPAL Pishing


wieso läuft das obwohl ich den IE nie benutz ??

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de




O17 - HKLM\System\CCS\Services\Tcpip\..\{4124CD8A-9DB0-471B-8380-6E2497E48B37}: NameServer = 213.191.74.11 213.191.92.82

und was hats damit auf sich ???

Alt 03.03.2008, 03:27   #2
myrtille
/// TB-Ausbilder
 
PAYPAL Pishing - Standard

PAYPAL Pishing


Zitat:
Zitat von JoKer83 Beitrag anzeigen
wieso läuft das obwohl ich den IE nie benutz ??
Nicht alles was bei HijackThis gelistet ist, ist automatisch ein Prozess, der auf deinem Rechner läuft. Eigentlich überprüft das Tool Einträge in der Registry, die gerne von Malware verändert werden.
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
Diese Einträge sind in dem Fall einfach Registryschlüssel in denen die Startseite vom Internet Explorer steht.

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4124CD8A-9DB0-471B-8380-6E2497E48B37}: NameServer = 213.191.74.11 213.191.92.82
Das stellt sicher, dass du zu deinem Internetanbieter durchkommst.

Einige Infos kann man zb hier finden: klick
__________________
Alt 03.03.2008, 03:29   #3
JoKer83
 
PAYPAL Pishing - Standard

PAYPAL Pishing


03/03/08 03:26:15 [Info]: BlackLight Engine 1.0.67 initialized
03/03/08 03:26:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/03/08 03:26:17 [Note]: 7019 4
03/03/08 03:26:17 [Note]: 7005 0
03/03/08 03:26:24 [Note]: 7006 0
03/03/08 03:26:24 [Note]: 7011 1788
03/03/08 03:26:25 [Note]: 7026 0
03/03/08 03:26:25 [Note]: 7026 0
03/03/08 03:26:28 [Note]: FSRAW library version 1.7.1024
03/03/08 03:27:32 [Note]: 2000 1012
03/03/08 03:27:32 [Note]: 2000 1012
03/03/08 03:27:32 [Note]: 2000 1012
03/03/08 03:27:32 [Note]: 2000 1012







"Silent Runners.vbs", revision 56, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"PowerKey" = ""C:\Programme\Launch Manager\PowerKey.exe"" [empty string]
"LManager" = "C:\Programme\Launch Manager\HotkeyApp.exe" ["Wistron"]
"CtrlVol" = "C:\Programme\Launch Manager\CtrlVol.exe" ["Wistron"]
"LMgrOSD" = "C:\Programme\Launch Manager\OSDCtrl.exe" [empty string]
"Wbutton" = ""C:\Programme\Launch Manager\Wbutton.exe"" [empty string]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Pj\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClick.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
Broadcom Wireless LAN Tray Service, wltrysvc, "C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe" [null data]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


---------- (launch time: 2008-03-03 03:30:40)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 255 seconds, including 18 seconds for message boxes)






Nach dem neustart durch combofix is ne spybot registrierungsdatenbanksänderungsversuchmeldung () gekommen.
__________________
Geändert von JoKer83 (03.03.2008 um 04:08 Uhr)

Alt 03.03.2008, 03:41   #4
JoKer83
 
PAYPAL Pishing - Standard

PAYPAL Pishing


JA! Mit SICHERHEIT !!

4 oder 5 mal rebootet er und jetzt wo ich diese option umgestellt habe nicht mehr ?! pfff

Alt 03.03.2008, 03:45   #5
myrtille
/// TB-Ausbilder
 
PAYPAL Pishing - Standard

PAYPAL Pishing


Zitat:
Zitat von JoKer83 Beitrag anzeigen
JA! Mit SICHERHEIT !!

4 oder 5 mal rebootet er und jetzt wo ich diese option umgestellt habe nicht mehr ?! pfff
Das ist reine Provokation. Das macht er nur um dich zu ärgern.

Nein im Ernst: Es kann durchaus sein, dass dein Rechner während eines Scans zu heiß wird und daher abstürzt. Das lässt sich dann natürlich nicht so leicht reproduzieren

Wenn in den beiden anderen Logs auch keine Auffälligkeiten sind, würde ich vermuten, dass du dir nichts eingefangen hast.
Dann musst du mir die "gefakten Updates" bei Antivir und ICQ aber nochmal genauer erklären. Weißt du, dass sie gefälscht waren, oder glaubst du, dass sie evtl gefälscht waren?
Zitat:
fett das du so schnell parat bist !! :-)
Bedank dich beim Bahnhof nebenan, der meine Abwesenheit dieses Wochenende genutzt hat um sich in eine Nachtbaustelle zu verwandeln.


lg myrtille

EDIT:
Die Nachtbaustelle schweigt, ich bin dann mal im Bett. Man sieht sich später.
Gute Nacht

Geändert von myrtille (03.03.2008 um 03:53 Uhr)

Alt 03.03.2008, 04:02   #6
JoKer83
 
PAYPAL Pishing - Standard

PAYPAL Pishing


ComboFix 08-03-03.6 - Pj 2008-03-03 3:50:40.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.733 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Pj\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-03 bis 2008-03-03 ))))))))))))))))))))))))))))))
.

2008-02-27 17:19 . 2008-02-27 17:19 <DIR> d-------- C:\+++ DOWNLOADS
2008-02-24 13:51 . 2008-02-24 13:51 <DIR> d--hs---- C:\FOUND.007
2008-02-22 16:32 . 2008-02-22 16:32 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-22 16:32 . 2008-02-22 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-02-22 15:29 . 2008-02-22 15:29 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-02-22 15:29 . 2006-07-14 16:38 332,288 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-02-17 12:19 . 2008-02-17 12:19 <DIR> d-------- C:\Programme\Steam
2008-02-17 04:38 . 2008-02-17 04:38 <DIR> d-------- C:\Programme\Bonjour
2008-02-17 04:35 . 2008-02-17 04:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple
2008-02-16 22:33 . 2008-02-16 22:33 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-02-16 22:33 . 2008-02-16 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\Pj\Anwendungsdaten\TuneUp Software
2008-02-16 22:33 . 2008-02-16 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2008-02-16 22:33 . 2008-02-16 22:33 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-16 22:33 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-16 22:32 . 2008-02-16 22:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-16 21:23 . 2008-02-16 21:23 <DIR> d-------- C:\Programme\Avira
2008-02-16 20:31 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002275_.tmp
2008-02-16 20:24 . 2008-02-16 20:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-02-16 20:24 . 2008-02-16 20:24 <DIR> d-------- C:\Programme\Alice
2008-02-16 20:22 . 2006-07-01 23:30 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2008-02-15 19:37 . 2008-02-15 19:37 <DIR> d---s---- C:\Dokumente und Einstellungen\Pj\UserData
2008-02-15 19:34 . 2008-02-15 19:34 <DIR> d--hs---- C:\FOUND.006
2008-02-13 18:25 . 2008-02-13 18:25 <DIR> d-------- C:\Programme\ICQnew
2008-02-13 18:12 . 2008-02-13 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\Pj\Anwendungsdaten\InstallShield
2008-02-13 12:39 . 2008-02-13 12:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-02-13 12:21 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-02-13 07:25 . 2008-02-13 07:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-02-13 02:40 . 2008-02-13 02:40 <DIR> d-------- C:\WINDOWS\peernet
2008-02-13 02:34 . 2004-08-04 00:57 2,067,968 --a------ C:\WINDOWS\system32\cdosys.dll
2008-02-13 02:28 . 2008-02-13 02:28 111 --a------ C:\WINDOWS\telephon.ini
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.005
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.004
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.003
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.002
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.001
2008-02-13 01:02 . 2008-02-13 01:02 <DIR> d-------- C:\Programme\7-Zip
2008-02-13 01:00 . 2008-02-13 01:00 <DIR> d-------- C:\571cb8466849ef26cfa3508d8deb3e5e
2008-02-12 19:31 . 2008-02-12 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\FLEXnet
2008-02-12 16:08 . 2008-02-12 16:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-02-12 13:21 . 2008-02-12 13:21 <DIR> d-------- C:\Dokumente und Einstellungen\Pj\Anwendungsdaten\ICQ(2)
2008-02-11 12:25 . 2004-08-04 00:42 425,472 --------- C:\WINDOWS\system32\html.iec
2008-02-11 12:25 . 2004-07-17 11:36 64,352 --------- C:\WINDOWS\system32\drivers\ativmc20.cod
2008-02-11 12:24 . 2008-02-11 12:24 <DIR> d-------- C:\WINDOWS\provisioning
2008-02-11 12:16 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002443_.tmp
2008-02-03 00:34 . 2008-02-03 00:34 <DIR> d--hs---- C:\FOUND.000

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-08-05 13:30 102,352 ----a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\firstlsp.reg.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 21:05 339968]
"PowerKey"="C:\Programme\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208]
"LManager"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-03-29 11:08 61440]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2004-01-28 17:48 184320]
"LMgrOSD"="C:\Programme\Launch Manager\OSDCtrl.exe" [2004-10-11 10:47 245760]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-03-03 17:39 77824]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-16 21:24 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"="C:\Programme\Steam\Steam.exe" -silent
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LaunchAp"=C:\Programme\Launch Manager\LaunchAp.exe
"Broadcom Wireless Manager UI"=C:\WINDOWS\System32\WLTRAY
"SoundMan"=SOUNDMAN.EXE
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 15:18]
R3 POWERKEY;POWERKEY;C:\Programme\Launch Manager\POWERKEY.sys [2000-12-19 18:29]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-16 22:33]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e158dd0-1a07-11dc-85c2-000e9bb98a28}]
\Shell\AutoRun\command - F:\LaunchU3.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-29 19:58:10 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 03:54:24
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-03 3:55:12 - machine was rebooted

Alt 03.03.2008, 04:21   #7
JoKer83
 
PAYPAL Pishing - Standard

PAYPAL Pishing


http://www.file-upload.net/download-702379/listing.txt.html


Combofix ist "as is" zum Gebrauch vorgesehen.. HAHA

Combofix /U funzt nich, ist es wichtig das prog zu entfernen wieder ??

nachdem combofix rebootet hatte , hat mein spybot übrigen 5-6 registrierungsdatenbanksänderungsprozesse gestoppt...

Alt 03.03.2008, 11:41   #8
myrtille
/// TB-Ausbilder
 
PAYPAL Pishing - Standard

PAYPAL Pishing


Naja, eigentlich wärs schon ganz gut Combofix wieder zu deinstallieren, weil er doch einige Veränderungen an deinem Rechner vornimmt, da du allerdings die Veränderungen by Spybot zum Teil verboten hast, kann es sein, dass du das Tool nicht deinstallieren kannst. Hab ich nie probiert.

Generell ist der Teatimer von Spybot ein zweischneidiges Schwert:
Zum einen verhindert er natürlich (wenn er nicht ausgehebelt wird), dass sich Malware installiert, er verhindert aber auch regelmäßig, dass sich rechtmäßige Programme installieren können und zerstört so die Installationen.
An deiner Stelle würde ich ihn deaktivieren. Ein gelegntlicher Scan mit Spybot ist für sowas ausreichend.

Da ich auch in den beiden letzten Logs nicht sehen konnte, würd es mich wundern, wenn du befallen sein solltest. Was genau verleitete dich denn zu der Annahme? Nur das Abstürzen von Spybot oder war da noch mehr?

lg myrtille

Antwort

Themen zu PAYPAL Pishing
antivir, antivir guard, auf einmal, aus sicherheitsgründen, avira, bho, bonjour, computer, explorer, hijack, hijackthis, icq, internet, internet explorer, launch, link, microsoft, pishing, programme, seite, sicherheitsgründe, sicherheitsgründen, software, system32, tuneup.defrag, unknown file in winsock lsp, update, windows, windows xp, winsock, wireless, wireless lan, änderung


« msn-trojaner ... TR/Dldr.Zlob.AANE | "the Flu"/sip nach security-check.ch »


Ähnliche Themen: PAYPAL Pishing


  1. Pishing Mail ?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2015 (6)
  2. Ebay - Pishing
    Diskussionsforum - 17.05.2015 (1)
  3. Phishing: Informationen zu Ihrem PayPal-Konto (Ihr PayPal-Konto weist derzeit einen negativen Kontostand auf.)
    Diskussionsforum - 11.10.2014 (0)
  4. Phishing E-Mail von PayPal mit dem Betreff: "Das Problem: Ihr Paypal Sperrung"
    Diskussionsforum - 21.07.2014 (0)
  5. Amazon Pishing-Mail
    Plagegeister aller Art und deren Bekämpfung - 04.04.2014 (2)
  6. Link in Pishing Mail angeklickt
    Plagegeister aller Art und deren Bekämpfung - 16.03.2014 (7)
  7. Amazon Pishing Email
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (3)
  8. Paypal Pishing
    Plagegeister aller Art und deren Bekämpfung - 21.02.2013 (14)
  9. Firefox Pishing Filter
    Antiviren-, Firewall- und andere Schutzprogramme - 02.08.2011 (1)
  10. Pishing Problem mit Website
    Plagegeister aller Art und deren Bekämpfung - 13.06.2011 (8)
  11. Pishing-Malware eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (25)
  12. An alle Paypal Verkäufer! Neue Paypal Bertugs Methode mit Phishing Mails
    Plagegeister aller Art und deren Bekämpfung - 09.11.2010 (3)
  13. Virus?Pishing?
    Log-Analyse und Auswertung - 11.04.2009 (3)
  14. Internetbanking Pishing / Fishing !???
    Log-Analyse und Auswertung - 21.02.2009 (5)
  15. Bank Pishing
    Log-Analyse und Auswertung - 24.06.2008 (18)
  16. Ebay pishing trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.06.2008 (16)
  17. Pishing-Mails von eBay
    Plagegeister aller Art und deren Bekämpfung - 14.05.2005 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema PAYPAL Pishing - wieso läuft das obwohl ich den IE nie benutz ?? R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de - PAYPAL Pishing...
Archiv
Du betrachtest: PAYPAL Pishing auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132