Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ebay pishing trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.06.2008, 10:24   #1
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hallo Leute,

Kämpfe nun seit zwei Tagen mit demselben Virus.

Wenn ich den Internetexplorer aufmache und auf Ebay gehe kommt sobald ich mich einlogge eine andere Seite, wo steht mal soll seine Kreditkarteninfos eingeben. Dies ist ganz eindeutig eine Pishingnachricht. Ausserdem scheint der ganze PC etwas langsamer. Er hat auch schon einige male neugestartet ohne Grund.

Also alle anzeichen für einen Virus.

Ich habe alle mir nur erdenklichen Virenscanner ausprobiert: AVG, Kapersky Online scanner, Trendmicro Housecall und im moment läuft noch der MC Affee.
Ebenfalls habe ich die Spyware scanner ADAWARE und Spyware Doctor eingesetzt.
Ich habe zwar einige böse Cookies gefunden, ansonsten allerdings nichts.

Auch über Google konnte ich keine brauchbaren Hinweise für den Virus finden.

Hier die Webseite, die nach dem Einloggen bei Ebay angezeigt wird:

----------------------
URL:
https**://signin.ebay.com/ws/eBayISAPI.dll?co_partnerid=2&siteid=0&UsingSSL=1

Attention !!!

We have noticed an increasing fraudulent activity recently. In order to provide your security and protect you from fraudsters we have introduced a new system of identification that will help us to avoid any kind of fraud or unauthorised access.

Please enter as more information as possible to provide your complete identification and to activate all the features of the new system.

-----------------

Danach fragt er nach verschiedenen persönlichen und Kreditkarten Infos.

Das ganze passiert nur in Internetexplorer, nicht in Firefox.

Ich habe auch mit netstat erkannt, dass der Virus über services.exe verbindung zu einigen komischen chinesischen Servern aufnimmt.

Nun weis ich nicht was ich noch machen kann. Wäre froh wenn mir jemand hier im Forum weiterhelfen könnten.

Danke

Alt 04.06.2008, 10:43   #2
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

bitte ein HJ-Log gemäß der Signatur, Datfind (Neusten Dateien finden):
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) Datfindbat,
sowie ein dss-Scan:
Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe)
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

chris
__________________

__________________

Alt 04.06.2008, 13:29   #3
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

Danke für die schnelle Antwort, hier die Logfiles:

Hijack:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:28, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SiteAdvisor\6173\SAService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\PROGRA~1\mcafee\msc\mcshell.exe
C:\Programme\SiteAdvisor\6173\SiteAdv.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6173\SiteAdv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://sharepoint.****.local
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {395E58B9-090C-461A-8F27-087D1C727945} (Web Conferencing) - h**p://conference.lrt.unibw-muenchen.de/joinie.cab
O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - h**p://www.mindjet.com/viewer/eng/MjMmViewer.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8B84E36B-7DEE-11D2-A457-0060976E5CAC} (ShowCal Control) - h**p://ae21/agendax/agenda/showcal.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3E12F51-0795-11D2-91CC-00C04FA31C90} (MS Investor Ticker) - h**p://193.72.209.147/comps/ticker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{501C42E5-35F5-49F8-9B7C-C0D7789941E3}: NameServer = 192.168.209.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: McAfee Application Installer Cleanup (0070011212564320) (0070011212564320mcinstcleanup) - McAfee, Inc. - C:\DOKUME~1\****~1.AMR\LOKALE~1\Temp\007001~1.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Programme\SiteAdvisor\6173\SAService.exe
O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 10509 bytes
         
Datefind:
Code:
ATTFilter
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von c:\

04.06.2008  11:31                 0 dirdat.txt
04.06.2008  09:07             1'440 TPHKLOCK.TXT
04.06.2008  09:06     2'137'436'160 hiberfil.sys
04.06.2008  09:06     2'145'386'496 pagefile.sys
03.06.2008  16:25            48'128 Datenauszug aus Dokument 'ipv6monl_dll...'.shs
03.06.2008  16:24       128'275'212 backup.reg

+ältere

              21 Datei(en) 11'451'925'120 Bytes
               0 Verzeichnis(se), 52'185'067'520 Bytes frei
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von C:\WINDOWS\system32

03.06.2008  11:53            90'128 perfc009.dat
03.06.2008  11:53           491'570 perfh009.dat
03.06.2008  11:53           534'874 perfh007.dat
03.06.2008  11:53           113'540 perfc007.dat
03.06.2008  11:53         1'246'616 PerfStringBackup.INI
02.06.2008  17:29             7'168 services.suo
02.06.2008  17:29               611 services.sln
02.06.2008  09:11             2'278 wpa.dbl
22.05.2008  09:06           298'048 FNTCACHE.DAT
21.05.2008  17:06           374'406 TZLog.log
09.05.2008  14:35        16'863'864 MRT.exe
25.03.2008  06:51           187'168 msjint40.dll
25.03.2008  06:51           621'344 mswstr10.dll
25.03.2008  06:50           355'104 msxbde40.dll
25.03.2008  06:50           838'432 mswdat10.dll
25.03.2008  06:50           264'992 mstext40.dll
25.03.2008  06:50           559'904 msrepl40.dll
25.03.2008  06:50           322'336 msrd3x40.dll
25.03.2008  06:50           432'928 msrd2x40.dll
25.03.2008  06:50           355'104 mspbde40.dll
25.03.2008  06:50           219'936 msltus40.dll
25.03.2008  06:50            60'192 msjter40.dll
25.03.2008  06:50           248'608 msjtes40.dll
25.03.2008  06:50           355'112 msjetoledb40.dll
25.03.2008  06:50         1'516'568 msjet40.dll
25.03.2008  06:50           326'432 msexcl40.dll
25.03.2008  06:50           518'944 msexch40.dll
20.03.2008  09:56         1'846'016 win32k.sys
01.03.2008  18:24         3'591'680 mshtml.dll
01.03.2008  14:54           826'368 wininet.dll
01.03.2008  14:54           233'472 webcheck.dll
01.03.2008  14:54           105'984 url.dll
01.03.2008  14:54            44'544 pngfilt.dll
01.03.2008  14:54         1'159'680 urlmon.dll
01.03.2008  14:54           102'912 occache.dll
01.03.2008  14:54           671'232 mstime.dll
01.03.2008  14:54           193'024 msrating.dll
01.03.2008  14:54           478'208 mshtmled.dll
01.03.2008  14:53           459'264 msfeeds.dll
01.03.2008  14:53            52'224 msfeedsbs.dll
01.03.2008  14:53         1'831'424 inetcpl.cpl
01.03.2008  14:53            27'648 jsproxy.dll
01.03.2008  14:53            44'544 iernonce.dll
01.03.2008  14:53           267'776 iertutil.dll
01.03.2008  14:53         6'066'176 ieframe.dll
01.03.2008  14:53           384'512 iedkcs32.dll
01.03.2008  14:53           133'120 extmgr.dll
01.03.2008  14:53           214'528 dxtrans.dll
01.03.2008  14:53           383'488 ieapfltr.dll
01.03.2008  14:53           153'088 ieakeng.dll
01.03.2008  14:53            63'488 icardie.dll
01.03.2008  14:53           230'400 ieaksie.dll
01.03.2008  14:53           124'928 advpack.dll
01.03.2008  14:53           347'136 dxtmsft.dll
+ältere
            2191 Datei(en)    438'765'951 Bytes
               0 Verzeichnis(se), 52'184'940'544 Bytes frei
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von C:\WINDOWS

04.06.2008  10:17         1'911'995 WindowsUpdate.log
04.06.2008  09:30         1'115'136 setupapi.log
04.06.2008  09:14         1'987'505 pfirewall.log
04.06.2008  09:08                 0 0.log
04.06.2008  09:07               159 wiadebug.log
04.06.2008  09:07                50 wiaservc.log
04.06.2008  09:07             2'048 bootstat.dat
03.06.2008  18:31            32'606 SchedLgU.Txt
03.06.2008  18:31            31'520 KB948881.log
03.06.2008  18:31            32'435 ocmsn.log
03.06.2008  18:31           202'043 comsetup.log
03.06.2008  18:31           123'955 ntdtcsetup.log
03.06.2008  18:31            28'973 tabletoc.log
03.06.2008  18:31           724'392 iis6.log
03.06.2008  18:31             1'355 imsins.log
03.06.2008  18:31           283'924 tsoc.log
03.06.2008  18:31            44'342 KB947864-IE7.log
03.06.2008  18:31           102'860 netfxocm.log
03.06.2008  18:31            30'018 msgsocm.log
03.06.2008  18:31            41'769 MedCtrOC.log
03.06.2008  18:31           306'266 ocgen.log
03.06.2008  18:31           573'351 FaxSetup.log
03.06.2008  18:31           194'132 msmqinst.log
03.06.2008  18:31            59'791 updspapi.log
03.06.2008  11:53             1'891 imsins.BAK
03.06.2008  11:16            10'898 KB947864-IE7Uninst.log
02.06.2008  13:08            16'161 KB932823-v3.log
21.05.2008  17:10            26'759 KB937894.log
21.05.2008  17:09            31'566 KB941644.log
21.05.2008  17:08            31'171 KB941693.log
21.05.2008  17:08            24'994 KB946026.log
21.05.2008  17:07            53'531 KB925720.log
21.05.2008  17:06            31'160 KB942763.log
21.05.2008  17:06            13'970 KB941569.log
21.05.2008  17:05            18'963 KB941568.log
21.05.2008  17:05            25'168 KB948590.log
21.05.2008  17:05            24'300 KB943485.log
21.05.2008  17:05            18'309 KB945553.log
21.05.2008  17:05            20'180 KB950749.log
21.05.2008  17:05            14'946 KB943055.log
21.05.2008  17:04            14'975 KB944653.log
05.05.2008  16:47            71'215 wmsetup.log
03.04.2008  17:50             6'741 Freecorder Toolbar Setup Log.txt
07.03.2008  10:53           217'509 setupact.log
05.03.2008  16:29               520 ODBC.INI
05.03.2008  16:28                63 vbaddin.ini
+ältere
             277 Datei(en)     54'145'026 Bytes
               0 Verzeichnis(se), 52'184'924'160 Bytes frei
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von C:\DOKUME~1\*****~1.AMR\LOKALE~1\Temp

04.06.2008  11:30         1'458'176 ~DF2372.tmp
04.06.2008  10:20           153'852 ExchangePerflog_8484fa313f7eaa7dcfcccd43.dat
04.06.2008  09:25            32'077 Uninstall Log 2008-06-04 #001.txt
03.06.2008  17:50               657 QTInstallCode.log
03.06.2008  13:53                 0 xx2
03.06.2008  13:53                 0 xx5
03.06.2008  13:53                 0 xx4
03.06.2008  13:53                 0 xx3
03.06.2008  13:53                 0 xx6
03.06.2008  13:52             1'935 java_install_reg.log
03.06.2008  11:57            75'103 Setup Log 2008-06-03 #004.txt
03.06.2008  11:56           707'976 _iu14D2N.tmp
03.06.2008  11:05            31'849 Uninstall Log 2008-06-03 #002.txt
03.06.2008  10:58            91'006 avg8inst.log
03.06.2008  10:54            75'099 Setup Log 2008-06-03 #003.txt
03.06.2008  10:49             5'247 Setup Log 2008-06-03 #002.txt
03.06.2008  10:48            35'308 Uninstall Log 2008-06-03 #001.txt
03.06.2008  10:41            81'139 Setup Log 2008-06-03 #001.txt
02.06.2008  13:12                83 calog.txt
02.06.2008  10:23                81 dw.log
31.05.2008  13:09               127 D653F3EC.TMP
30.05.2008  16:59         2'675'362 Office SharePoint Server 2007 SDK 1.2 (0).log
30.05.2008  14:41                 3 Twain001.Mtx
30.05.2008  10:40               175 wecerr.txt
27.05.2008  17:47           262'448 P041QSHG.emf
27.05.2008  12:35           177'340 Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs (0).log
23.05.2008  17:20                 0 TWAIN.LOG
23.05.2008  16:59             3'734 msiutil(1).log
21.05.2008  12:24                 0 tmp23.tmp
21.05.2008  09:30             2'576 loader.log
20.05.2008  17:44           576'376 VGX242.tmp
07.04.2008  16:13         4'194'332 ExchangePerflog_8484fa313f7eaa7dc11c3815.dat
+ältere
              37 Datei(en)     18'762'360 Bytes
               0 Verzeichnis(se), 52'184'944'640 Bytes frei
         
__________________

Alt 04.06.2008, 13:31   #4
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Das sagt netstat, wenn die Pishingpage angezeigt wird:
Code:
ATTFilter
 TCP    NB-****:3559          dyn12-b57-access.superdsl.com.sg:http  WARTEND
  TCP    NB-****:3563          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3564          fc7208133.aspadmin.net:http  ZULETZT_ACK
  TCP    NB-****:3565          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3567          dyn12-b57-access.superdsl.com.sg:http  WARTEND
  TCP    NB-****:3569          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3571          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3576          fc7208133.aspadmin.net:http  ZULETZT_ACK
  TCP    NB-****:3579          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3581          AE22:epmap             HERGESTELLT
  TCP    NB-****:3582          AE22:1025              HERGESTELLT
  TCP    NB-****:3584          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3588          dyn12-b57-access.superdsl.com.sg:http  HERGESTEL
LT
         
Hosts:
Code:
ATTFilter
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost
         

DSS:
Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by **** on 2008-06-04 11:48:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as ****.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:40, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SiteAdvisor\6173\SAService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\SiteAdvisor\6173\SiteAdv.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Programme\Mindjet\MindManager Viewer 7\MindManagerViewer.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****.****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZCXV7ONZ\dss[1].exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\****.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6173\SiteAdv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://sharepoint.****.local
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {395E58B9-090C-461A-8F27-087D1C727945} (Web Conferencing) - h**p://****.******.de/joinie.cab
O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - h**p://www.mindjet.com/viewer/eng/MjMmViewer.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8B84E36B-7DEE-11D2-A457-0060976E5CAC} (ShowCal Control) - h**p://ae21/agendax/agenda/showcal.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3E12F51-0795-11D2-91CC-00C04FA31C90} (MS Investor Ticker) - h**p://********/comps/ticker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{501C42E5-35F5-49F8-9B7C-C0D7789941E3}: NameServer = 192.168.209.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: McAfee Application Installer Cleanup (0070011212564320) (0070011212564320mcinstcleanup) - Unknown owner - C:\DOKUME~1\****~1.AMR\LOKALE~1\Temp\007001~1.EXE (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Programme\SiteAdvisor\6173\SAService.exe
O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 10607 bytes

-- Files created between 2008-05-04 and 2008-06-04 -----------------------------

2008-06-04 10:44:01         0 d-------- C:\Programme\Trend Micro
2008-06-04 09:27:27         0 d-------- C:\Programme\SiteAdvisor
2008-06-04 09:24:55         0 d-------- C:\Programme\McAfee.com
2008-06-04 09:24:51         0 d-------- C:\Programme\Gemeinsame Dateien\McAfee
2008-06-04 09:24:47         0 d-------- C:\WINDOWS\LastGood
2008-06-04 09:24:43         0 d-------- C:\Programme\McAfee
2008-06-03 16:24:20 128275212 --a------ C:\backup.reg
2008-05-30 16:48:23         0 d-------- C:\Xml
2008-05-30 16:48:23         0 d-------- C:\ProjectTemplates
2008-05-30 16:48:23         0 d-------- C:\Common7
2008-05-30 16:47:48         0 d-------- C:\Programme\2007 Office System Developer Resources
2008-05-30 16:47:46         0 d-------- C:\Programme\Common Files
2008-05-27 12:35:44         0 d-------- C:\Programme\MSECache
2008-05-13 15:56:02         0 d-------- C:\Programme\uTorrent


-- Find3M Report ---------------------------------------------------------------

2008-06-04 09:44:50         0 d-------- C:\Programme\Google
2008-06-04 09:33:55         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\SiteAdvisor
2008-06-04 09:24:51         0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-03 17:52:58         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-03 11:53:22    534874 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-03 11:53:22    113540 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-03 11:50:04         0 d-------- C:\Programme\Picasa2
2008-06-02 13:13:00         0 d-------- C:\Programme\Windows Live Toolbar
2008-06-02 13:07:18         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\uTorrent
2008-05-30 14:41:05         0 d-------- C:\Programme\Paint Shop Pro 5
2008-05-30 14:34:21         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Help
2008-05-21 11:32:06         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\TuneUp Software
2008-05-20 11:56:16         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Skype
2008-05-13 09:25:20         0 d-------- C:\Programme\Microsoft Silverlight
2008-04-29 17:59:05         0 d-------- C:\Programme\MP3 Player Utilities 3.57
2008-04-21 16:35:10         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Sibelius Software
2008-04-21 16:17:35         0 d-------- C:\Programme\PDFCreator
2008-04-21 12:02:36         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Sonic
2008-04-21 12:02:24         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Leadertech
2008-04-11 11:45:09         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Adobe
2008-04-04 08:59:14         0 d-------- C:\Programme\WiredRed


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [07.02.2008 13:19]
"mcagent_exe"="C:\Programme\McAfee.com\Agent\mcagent.exe" [01.11.2007 19:12]
"SiteAdvisor"="C:\Programme\SiteAdvisor\6173\SiteAdv.exe" [28.08.2007 22:07]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [05.02.2007 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 
C:\Programme\Lenovo\HOTKEY\notifyf2.dll 06.09.2006 09:37 34344 C:\Programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 
C:\Programme\Lenovo\HOTKEY\tphklock.dll 14.12.2006 04:06 28672 C:\Programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG]
rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
"C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]
"C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
C:\WINDOWS\System32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]
rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY]
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrackPointSrv]
tp4serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVT Scheduler Proxy]
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

*Newly Created Service* - IPFILTERDRIVER
*Newly Created Service* - MCMSCSVC
*Newly Created Service* - MCNASVC
*Newly Created Service* - MCODS
*Newly Created Service* - MCPROXY
*Newly Created Service* - MCSHIELD
*Newly Created Service* - MCSYSMON
*Newly Created Service* - MFEAVFK
*Newly Created Service* - MFEBOPK
*Newly Created Service* - MFEHIDK
*Newly Created Service* - MFERKDK
*Newly Created Service* - MFESMFK
*Newly Created Service* - MPFP
*Newly Created Service* - SITEADVISOR_SERVICE



-- End of Deckard's System Scanner: finished at 2008-06-04 11:49:03 ------------
         

Geändert von funkymotion (04.06.2008 um 14:25 Uhr)

Alt 05.06.2008, 08:12   #5
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

hmm, unter Firefox funktioniert es, unter IE nicht;
Das erste was in's Auge fällt, sind die vielen 16-Einträge, die ich aber wegen Anomysierung nicht nachvollziehen kann, prüfe die ob Du alle kennst, bzw. nehme sie nacheinander raus...
Zitat:
O15 - Trusted Zone: h**p://sharepoint.****.local
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {395E58B9-090C-461A-8F27-087D1C727945} (Web Conferencing) - h**p://****.******.de/joinie.cab
O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - h**p://www.mindjet.com/viewer/eng/MjMmViewer.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8B84E36B-7DEE-11D2-A457-0060976E5CAC} (ShowCal Control) - h**p://ae21/agendax/agenda/showcal.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3E12F51-0795-11D2-91CC-00C04FA31C90} (MS Investor Ticker) - h**p://********/comps/ticker.cab
chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.06.2008, 15:17   #6
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

noch etwas zu dem Post unten:
SpywareBlaster
Verhindert die Installation zweifelhafter ActiveX-Controls....

chris
__________________
--> Ebay pishing trojaner

Alt 06.06.2008, 09:41   #7
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hallo,

Danke für die Antwort.

Eigentlich handelt es sich um mir bekannte Active X Controls.

Wenn ich die Dinger trotzdem ausschalten will, reicht es, diese in IE zu deaktivieren, oder mache ich das mit dem HijackThis?

Alt 06.06.2008, 09:54   #8
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

deaktivieren sollte reichen, mit HJ sind die Regeinträge weg...
(Da müsste man dann das von HJ erstellte Backup einspielen)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (06.06.2008 um 10:39 Uhr)

Alt 06.06.2008, 10:33   #9
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Ja, denke auch dass es was unbekanntes ist. Kein verdammter Scanner findet das Ding. Irgendwie scheint aber der ganze PC ein wenig in mitleidenschaft gezogen. Alle Netzwerkverbindungen seinen mir etwas langsam, Outlook hat zum Teil Probleme und stürzt ab...
Meinst du, in Windows zu einem Wiederherstellungspunkt zurückkehren könnte was bringen?

Alt 06.06.2008, 12:33   #10
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

wenn das nichts bringt, Combofix durchführen und Log posten...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.06.2008, 16:06   #11
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

hier das combofixLog:
Code:
ATTFilter
ComboFix 08-06-05.3 - *** 2008-06-06 15:47:26.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1498 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***.***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\***.***\Desktop\notepad.exe
C:\WINDOWS\Downloaded Program Files\setup.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-04 12:28 . 2008-06-04 12:28	<DIR>	d--------	C:\Programme\Windows Defender
2008-06-04 12:22 . 2008-06-04 12:23	<DIR>	d--------	C:\Programme\Windows Live Safety Center
2008-06-04 11:54 . 2008-06-04 11:54	<DIR>	d--------	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\Malwarebytes
2008-06-04 11:54 . 2008-06-04 11:54	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-04 10:44 . 2008-06-04 10:44	<DIR>	d--------	C:\Programme\Trend Micro
2008-06-04 09:27 . 2008-06-04 11:52	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-06-04 09:24 . 2008-06-04 12:05	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-06-03 16:25 . 2008-06-03 16:25	48,128	--a------	C:\Datenauszug aus Dokument 'ipv6monl_dll...'.shs
2008-06-03 16:24 . 2008-06-03 16:24	128,275,212	--a------	C:\backup.reg
2008-06-03 13:52 . 2008-06-03 15:11	<DIR>	d--------	C:\Dokumente und Einstellungen\***.***\.housecall6.6
2008-06-03 10:40 . 2008-06-04 09:25	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-03 09:13 . 2008-06-03 10:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-05-30 16:48 . 2008-05-30 16:48	<DIR>	d--------	C:\Xml
2008-05-30 16:48 . 2008-05-30 16:48	<DIR>	d--------	C:\ProjectTemplates
2008-05-30 16:48 . 2008-05-30 16:48	<DIR>	d--------	C:\Common7
2008-05-30 16:47 . 2008-05-30 16:47	<DIR>	d--------	C:\Programme\Common Files
2008-05-30 16:47 . 2008-05-30 16:48	<DIR>	d--------	C:\Programme\2007 Office System Developer Resources
2008-05-30 14:26 . 2008-06-03 10:47	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-05-27 12:35 . 2008-05-30 16:46	<DIR>	d--------	C:\Programme\MSECache
2008-05-27 12:34 . 2008-05-27 12:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-05-21 11:32 . 2008-05-21 11:32	<DIR>	d--------	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\TuneUp Software
2008-05-13 15:56 . 2008-05-13 15:56	<DIR>	d--------	C:\Programme\uTorrent
2008-05-13 15:55 . 2008-06-02 13:07	<DIR>	d--------	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\uTorrent

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 15:42	---------	d-----w	C:\Programme\Paint Shop Pro 5
2008-06-03 15:52	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-03 09:00	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-21 15:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-20 09:56	---------	d-----w	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\Skype
2008-05-13 07:25	---------	d-----w	C:\Programme\Microsoft Silverlight
2008-04-21 14:35	---------	d-----w	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\Sibelius Software
2008-04-21 14:17	---------	d-----w	C:\Programme\PDFCreator
2008-04-21 10:02	---------	d-----w	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\Sonic
2008-04-21 10:02	---------	d-----w	C:\Dokumente und Einstellungen\***.***\Anwendungsdaten\Leadertech
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	621,344	------w	C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51	187,168	------w	C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 07:56	1,846,016	------w	C:\WINDOWS\system32\win32k.sys
2008-03-20 07:56	1,846,016	------w	C:\WINDOWS\system32\dllcache\win32k.sys
2008-01-16 17:07	32	------w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-28 16:11	32,768	--sh--w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007112820071129\index.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-07 13:19 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
C:\Programme\Lenovo\HOTKEY\notifyf2.dll 2006-09-06 09:37 34344 C:\Programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
C:\Programme\Lenovo\HOTKEY\tphklock.dll 2006-12-14 04:06 28672 C:\Programme\Lenovo\HOTKEY\tphklock.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG]
--------- 2007-06-17 18:16 208896 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
C:\Programme\Lenovo\Client Security Solution\cssauth.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--------- 2004-08-04 14:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]
--------- 2006-05-18 16:24 196696 C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
--------- 2006-02-02 05:20 122940 C:\WINDOWS\System32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
--------- 2007-03-28 19:32 243248 C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--------- 2006-10-27 01:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--------- 2007-05-16 03:49 162584 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--------- 2007-05-16 03:50 138008 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--------- 2004-07-27 16:50 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--------- 2004-07-27 16:50 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--------- 2007-05-16 03:49 138008 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]
--------- 2007-06-17 18:16 200704 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--------- 2008-02-07 13:19 385024 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--------- 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY]
--------- 2007-03-09 07:49 66176 C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrackPointSrv]
--------- 2007-04-26 14:14 91184 C:\WINDOWS\system32\tp4serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVT Scheduler Proxy]
--------- 2007-02-08 13:19 536576 C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

R1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 14:05]
R1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys [2007-06-17 18:16]
R2 TVT Backup Protection Service;TVT Backup Protection Service;C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe [2007-02-08 13:11]
R3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 14:05]
R3 Tp4Track;PS/2 TrackPoint Driver;C:\WINDOWS\system32\DRIVERS\tp4track.sys [2007-04-26 14:13]
R3 TVTI2C;Lenovo SM bus driver;C:\WINDOWS\system32\DRIVERS\Tvti2c.sys [2006-09-13 12:42]
S3 VSPerfDrv90;Performance Tools Driver 9.0;C:\Programme\Microsoft Visual Studio 9.0\Team Tools\Performance Tools\VSPerfDrv90.sys [2007-09-04 17:53]
S4 msvsmon90;Visual Studio 2008 Remote Debugger;"C:\Programme\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon90 []

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-06 13:48:18 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2008-01-30 09:17:31 C:\WINDOWS\Tasks\PMTask.job"
- C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-06 15:50:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\Lenovo\HOTKEY\tphklock.dll
.
Zeit der Fertigstellung: 2008-06-06 15:51:30
ComboFix-quarantined-files.txt  2008-06-06 13:51:24

              17 Verzeichnis(se), 52,663,734,272 Bytes frei
              22 Verzeichnis(se), 52,776,148,992 Bytes frei

170	--- E O F ---	2008-06-03 16:31:42
         

Alt 06.06.2008, 18:20   #12
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

da sind einige Einträge, die legitim als auch gefährlich sein können (es gibt dazu gleichnamige Trojaner/Viren);

TP4SERV.EXE, Spyware Remove
(selten und etwas älter,....)

Das sind:
C:\Programme\Lenovo\HOTKEY\tphklock.dll
C:\WINDOWS\system32\tp4serv.exe

Prüfe beide mal über Virustotal...
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:
C:\Programme\Lenovo\HOTKEY\tphklock.dll
C:\WINDOWS\system32\tp4serv.exe
Noch etwas; ComboFix hat eine Notepad.exe gelöscht, er legt aber vorher ein Backup an; Bitte suche im Ordner C:\Qoobox das entsprechende File und lass es ebenfalls online prüfen und poste das Ergebnis...

chris

Edit:
Blöde Frage am Rande:
Kannst Du von CD booten und den MBR neu schreiben lassen?
Der Befehl dazu lautet für die Wiederherstellungskonsole fixmbr;
Du fragst Dich sicher wozu.
Warnung: Neuartige Rootkits ersetzen Master Boot Record | Anti-Virus-Software | central IT - Das IDG-Kompetenznetzwerk
Und der ist mir bei einem anderen Thread über den Weg gelaufen, wo auch absolut nichts gefunden wurde, die Festplatte mehrmals formatiert wurde etc.
Erst nach fixmbr war ruhe...
Der Trojaner dort verlangte die TANs beim einlocken in die Bankpage...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (06.06.2008 um 18:38 Uhr) Grund: Noch was eingefallen...

Alt 10.06.2008, 10:22   #13
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



OK, Hier mal die Files:

tp4serv.exe
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.10	-
AntiVir	7.8.0.55	2008.06.10	-
Authentium	5.1.0.4	2008.06.09	-
Avast	4.8.1195.0	2008.06.09	-
AVG	7.5.0.516	2008.06.09	-
BitDefender	7.2	2008.06.10	-
CAT-QuickHeal	9.50	2008.06.09	-
ClamAV	0.92.1	2008.06.10	-
DrWeb	4.44.0.09170	2008.06.10	-
eSafe	7.0.15.0	2008.06.09	-
eTrust-Vet	31.6.5858	2008.06.08	-
Ewido	4.0	2008.06.09	-
F-Prot	4.4.4.56	2008.06.09	-
F-Secure	6.70.13260.0	2008.06.10	-
Fortinet	3.14.0.0	2008.06.10	-
GData	2.0.7306.1023	2008.06.10	-
Ikarus	T3.1.1.26.0	2008.06.10	-
Kaspersky	7.0.0.125	2008.06.10	-
McAfee	5313	2008.06.09	-
Microsoft	None	2008.06.10	-
NOD32v2	3171	2008.06.10	-
Norman	5.80.02	2008.06.09	-
Panda	9.0.0.4	2008.06.09	-
Prevx1	V2	2008.06.10	-
Rising	20.48.10.00	2008.06.10	-
Sophos	4.30.0	2008.06.10	-
Sunbelt	3.0.1145.1	2008.06.05	-
Symantec	10	2008.06.10	-
TheHacker	6.2.92.341	2008.06.10	-
VBA32	3.12.6.7	2008.06.09	-
VirusBuster	4.3.26:9	2008.06.09	-
Webwasher-Gateway	6.6.2	2008.06.10	-
weitere Informationen
File size: 91184 bytes
MD5...: 8309a9274a1d07827aaad01c0f383a87
SHA1..: 695600561862274ee32478689152a46232832d48
SHA256: 4f8763b4c860382ce4dfe3eb0920dc3e5c71620bdbd8e368f391ad844e738c2d
SHA512: 437e0928d1be639b9ac56d6ea0b9ce73d7ba0977f55ea774a58810843a28f85d
f384d7fa169e7bf7ed059a95edb05f1d1a9d6e59204f6f4629bafcefa51c2d44
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40bbd9
timedatestamp.....: 0x46309718 (Thu Apr 26 12:12:08 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x132d0 0x13400 6.55 0e45bb968af25132083899b394b40ea2
.data 0x15000 0x4454 0xc00 3.72 b483d58af9f590b1e6082301cb09ff3d
.rsrc 0x1a000 0x868 0xa00 2.96 fb56918bd65f5d84f2a71ff0991ace6f

( 5 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> ADVAPI32.dll: RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, RegCloseKey, RegOpenKeyExA
> KERNEL32.dll: Sleep, GetTickCount, lstrcmpiA, LoadLibraryA, ReleaseMutex, FreeLibrary, lstrlenA, CloseHandle, OpenProcess, lstrcatA, GetSystemDirectoryA, SystemTimeToFileTime, GetSystemTime, SetEvent, WaitForSingleObject, DeviceIoControl, ResetEvent, GetOverlappedResult, CreateThread, CreateFileA, CreateEventA, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetCurrentThreadId, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetACP, GetOEMCP, GetCPInfo, RtlUnwind, InterlockedExchange, VirtualQuery, SetStdHandle, FlushFileBuffers, MultiByteToWideChar, GetStringTypeA, GetStringTypeW, ReadFile, LCMapStringA, LCMapStringW, SetFilePointer, GetLocaleInfoA, VirtualProtect, GetSystemInfo, lstrcmpA, lstrcpyA, CreateProcessA, CreateMutexA, GetLastError, lstrcpynA, GetModuleHandleA, GetProcAddress, GetVersionExA, GetCommandLineA, SetEndOfFile
> GDI32.dll: StretchBlt, CreateBrushIndirect, CreateRectRgn, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, DeleteObject, DeleteDC, GetDeviceCaps, GetClipBox, SelectClipRgn, BitBlt
> USER32.dll: mouse_event, FindWindowA, DialogBoxParamA, GetSystemMetrics, GetWindowRect, SystemParametersInfoA, IntersectRect, OffsetRect, LoadStringA, LoadImageA, IsWindowVisible, SendMessageA, PostMessageA, GetClassNameA, GetAsyncKeyState, GetParent, GetCursorPos, DestroyMenu, TrackPopupMenu, SetForegroundWindow, AttachThreadInput, GetWindowThreadProcessId, CheckMenuItem, GetSubMenu, LoadMenuA, SetWindowPos, InvalidateRect, ReleaseDC, ShowWindow, GetDC, GetDesktopWindow, GetForegroundWindow, SetTimer, GetWindowLongA, wsprintfA, RemoveMenu, EnableMenuItem, PeekMessageA, PostQuitMessage, KillTimer, DefWindowProcA, SetWindowLongA, CreateWindowExA, RegisterClassExA, DispatchMessageA, TranslateMessage, GetMessageA, EnumChildWindows, WindowFromPoint, GetWindow, EndPaint, FillRect, DrawEdge, BeginPaint, ScrollDC, SetCursorPos, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, UpdateWindow, GetDoubleClickTime, GetClientRect, ClientToScreen, LoadCursorA, SetCursor, DestroyCursor, SetClassLongA, EndDialog, CheckDlgButton, IsDlgButtonChecked

( 0 exports )
         
tphklock.dll
Code:
ATTFilter
 Datei tphklock.dll empfangen 2008.06.10 09:50:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.10	-
AntiVir	7.8.0.55	2008.06.10	-
Authentium	5.1.0.4	2008.06.09	-
Avast	4.8.1195.0	2008.06.09	-
AVG	7.5.0.516	2008.06.09	-
BitDefender	7.2	2008.06.10	-
CAT-QuickHeal	9.50	2008.06.09	-
ClamAV	0.92.1	2008.06.10	-
DrWeb	4.44.0.09170	2008.06.10	-
eSafe	7.0.15.0	2008.06.09	-
eTrust-Vet	31.6.5858	2008.06.08	-
Ewido	4.0	2008.06.09	-
F-Prot	4.4.4.56	2008.06.09	-
F-Secure	6.70.13260.0	2008.06.10	-
Fortinet	3.14.0.0	2008.06.10	-
GData	2.0.7306.1023	2008.06.10	-
Ikarus	T3.1.1.26.0	2008.06.10	-
Kaspersky	7.0.0.125	2008.06.10	-
McAfee	5313	2008.06.09	-
Microsoft	None	2008.06.10	-
NOD32v2	3171	2008.06.10	-
Norman	5.80.02	2008.06.09	-
Panda	9.0.0.4	2008.06.09	-
Prevx1	V2	2008.06.10	-
Rising	20.48.10.00	2008.06.10	-
Sophos	4.30.0	2008.06.10	-
Sunbelt	3.0.1145.1	2008.06.05	-
Symantec	10	2008.06.10	-
TheHacker	6.2.92.341	2008.06.10	-
VBA32	3.12.6.7	2008.06.09	-
VirusBuster	4.3.26:9	2008.06.09	-
Webwasher-Gateway	6.6.2	2008.06.10	-
weitere Informationen
File size: 28672 bytes
MD5...: 04019e3cecbfcfed5bb2b0892ecd3e18
SHA1..: f744b2d5b6406967022a2e823785270ab212fcc2
SHA256: 6bceab6fd85f401c46b8b5f7e6fc72c038d95216f2b1836eab9fbc175cd9bc9e
SHA512: 3dfb1e0cb6db799c0ba8ce0c327ac7abebd32ed88f4063ba502568b6ceed87f2
24b9a638127916396ddfe7bfc55e7b281b1070c90605cfb981ea744714e718e8
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100031c7
timedatestamp.....: 0x4580b1b0 (Thu Dec 14 02:06:40 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x229c 0x3000 4.58 a985c061f551f47809dce1806852f0b7
.rdata 0x4000 0x908 0x1000 3.39 98c1603089faddb2a9f40c6cfa352a13
.data 0x5000 0x6a0 0x1000 2.38 55c1ca0210c557e2ea952d7e6676e757
.reloc 0x6000 0x326 0x1000 1.61 e3e4581445a31ff5f66f3dc80dedc5df

( 5 imports )
> KERNEL32.dll: DisableThreadLibraryCalls, OutputDebugStringA, CreateProcessA, SetThreadPriority, LocalReAlloc, LocalSize, OpenFileMappingA, FindClose, FindFirstFileA, ExitThread, WaitForSingleObject, GetExitCodeThread, OpenEventA, SetEvent, CreateFileMappingA, CreateEventA, GetShortPathNameA, CreateThread, CloseHandle, GetVersionExA, GetCurrentThreadId, WaitForMultipleObjects, MapViewOfFile, LocalFree, UnmapViewOfFile, LocalAlloc
> ADVAPI32.dll: RegNotifyChangeKeyValue, RegCreateKeyExA, ImpersonateLoggedOnUser, CreateProcessAsUserA, RevertToSelf, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, AllocateAndInitializeSid, SetEntriesInAclA, SetNamedSecurityInfoA, FreeSid
> USER32.dll: OpenInputDesktop, CloseDesktop, GetUserObjectInformationA, GetForegroundWindow, GetWindowThreadProcessId, GetGUIThreadInfo, keybd_event, wsprintfA, GetProcessWindowStation, EnumDesktopsA, GetThreadDesktop, OpenDesktopA, SetThreadDesktop, FindWindowA, PostMessageA
> WTSAPI32.dll: WTSFreeMemory, WTSQuerySessionInformationA
> MSVCRT.dll: malloc, _initterm, free, memset, sprintf, strcpy, strlen, vsprintf, strchr, fopen, fprintf, fflush, fclose, _adjust_fdiv

( 10 exports )
PMSVC_CloseFnFx, PMSVC_IsFnFxEnabled, PMSVC_OpenFnFx, PMSVC_VirtualNotifyFnFx, WLEventLock, WLEventLogoff, WLEventLogon, WLEventShutdown, WLEventStartup, WLEventUnlock
         
notepad.exe.vir

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.10	-
AntiVir	7.8.0.55	2008.06.10	-
Authentium	5.1.0.4	2008.06.09	-
Avast	4.8.1195.0	2008.06.09	-
AVG	7.5.0.516	2008.06.09	-
BitDefender	7.2	2008.06.10	-
CAT-QuickHeal	9.50	2008.06.09	-
ClamAV	0.92.1	2008.06.10	-
DrWeb	4.44.0.09170	2008.06.10	-
eSafe	7.0.15.0	2008.06.09	-
eTrust-Vet	31.6.5858	2008.06.08	-
Ewido	4.0	2008.06.09	-
F-Prot	4.4.4.56	2008.06.09	-
F-Secure	6.70.13260.0	2008.06.10	-
Fortinet	3.14.0.0	2008.06.10	-
GData	2.0.7306.1023	2008.06.10	-
Ikarus	T3.1.1.26.0	2008.06.10	-
Kaspersky	7.0.0.125	2008.06.10	-
McAfee	5313	2008.06.09	-
Microsoft	None	2008.06.10	-
NOD32v2	3171	2008.06.10	-
Norman	5.80.02	2008.06.09	-
Panda	9.0.0.4	2008.06.09	-
Prevx1	V2	2008.06.10	-
Rising	20.48.10.00	2008.06.10	-
Sophos	4.30.0	2008.06.10	-
Sunbelt	3.0.1145.1	2008.06.05	-
Symantec	10	2008.06.10	-
TheHacker	6.2.92.341	2008.06.10	-
VBA32	3.12.6.7	2008.06.09	-
VirusBuster	4.3.26:9	2008.06.09	-
Webwasher-Gateway	6.6.2	2008.06.10	-
weitere Informationen
File size: 432129 bytes
MD5...: f62ecd97d4e4e81e67399ab94af13e12
SHA1..: 0475bc938b7cc35cfa8a62f9efd5083894d31650
SHA256: 104194c431a9bf5ee742bd260932bec2dda42996201b21c304f299b6ad3a0ff2
SHA512: ab0e7c7d861c355c3828453940c69f3e3e1ee4618e3a1f61c3bb290efaecc248
a40896c445711eba94f1daf74f388de123b29884e58bf72ce6c59ad3597d25d5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x450558
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x4f60c 0x4f800 6.46 db90c74cbd1b2ebeac5bc0381b46e545
DATA 0x51000 0xa6c 0xc00 3.29 b3fa991cb96a607a4a19367ca2dd8a90
BSS 0x52000 0x870 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x53000 0x2158 0x2200 4.91 262f2899310bc423388814115dffa06a
.tls 0x56000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x57000 0x18 0x200 0.20 c0168dfefe04b143346f0f5139070821
.reloc 0x58000 0x52a8 0x5400 6.68 d0e69160d880a76b78240714297bc49d
.rsrc 0x5e000 0x11800 0x11800 5.26 ab89b351a5239874166726d904abb593

( 15 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetModuleFileNameA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey
> kernel32.dll: WriteFile, WinExec, VirtualAlloc, TerminateThread, SizeofResource, SetFilePointer, SetErrorMode, ReadFile, MultiByteToWideChar, MulDiv, LockResource, LoadResource, LoadLibraryA, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVersionExA, GetVersion, GetSystemDefaultLCID, GetProfileStringA, GetProcAddress, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFileAttributesA, GetCurrentThreadId, GetCurrentProcessId, GetCurrentProcess, FreeResource, FreeLibrary, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, CreateThread, CreateFileA, CompareStringA, CloseHandle
> gdi32.dll: UnrealizeObject, TextOutA, StretchDIBits, StretchBlt, StartPage, StartDocA, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetBkMode, SetBkColor, SetAbortProc, SelectPalette, SelectObject, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, PatBlt, MoveToEx, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetCurrentPositionEx, GetClipBox, GetBitmapBits, ExcludeClipRect, EnumFontsA, EndPage, EndDoc, Ellipse, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateICA, CreateFontIndirectA, CreateDIBitmap, CreateDCA, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt
> user32.dll: WindowFromPoint, WinHelpA, WaitMessage, WaitForInputIdle, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetCapture, SetActiveWindow, SendMessageA, SendDlgItemMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LockWindowUpdate, LoadStringA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsClipboardFormatAvailable, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRgn, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetUpdateRect, GetSystemMetrics, GetSystemMenu, GetSysColor, GetSubMenu, GetScrollPos, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EnumClipboardFormats, EndPaint, EnableWindow, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIcon, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreateWindowExA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BringWindowToTop, BeginPaint, CharLowerA, AdjustWindowRectEx
> comctl32.dll: ImageList_GetImageInfo, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_AddMasked, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> winspool.drv: OpenPrinterA, EnumPrintersA, DocumentPropertiesA, ClosePrinter
> comdlg32.dll: PageSetupDlgA, PrintDlgA, ChooseFontA, ReplaceTextA, FindTextA, ChooseColorA, GetSaveFileNameA, GetOpenFileNameA
> shell32.dll: ShellExecuteA, ExtractAssociatedIconA, DragQueryFileA, DragAcceptFiles
> ole32.dll: CoCreateInstance, CoGetMalloc, CoUninitialize, CoInitialize
> shell32.dll: SHBrowseForFolder, SHGetSpecialFolderLocation, SHGetPathFromIDList
> user32.dll: DdeCmpStringHandles, DdeFreeStringHandle, DdeQueryStringA, DdeCreateStringHandleA, DdeGetLastError, DdeFreeDataHandle, DdeUnaccessData, DdeAccessData, DdeCreateDataHandle, DdeClientTransaction, DdeNameService, DdePostAdvise, DdeSetUserHandle, DdeQueryConvInfo, DdeDisconnect, DdeConnect, DdeUninitialize, DdeInitializeA
> kernel32.dll: -, -, -, -, GlobalMemoryStatus

( 0 exports )
         
Habe gerade noch versucht das mit dem fixmbr. Leider kommt bei mir bei der Windows Installation, die Festplatte wurde nicht gefunden (Vermutlich die Festplattentreiber nicht gefunden). Da es sich um ein Lenovo Notebook ohne Diskettenlaufwerk handelt, wird es wohl nicht ganz einfach das fixmbr auszuführen. Gibt es vielleicht noch eine andere möglichkeit?

Alt 10.06.2008, 17:39   #14
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

die gescannten Sachen werden leider nicht erkannt...

Lassen wir mal den MBR analysieren...
(Danke myrtille und Gmer):
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Falls nicht, poste das Ergebnis (rechte Maustaste->Markieren->im Thread posten)

Dann können wir noch Trendmicros-Housecall probieren:
Trend Micro

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (10.06.2008 um 17:54 Uhr)

Alt 16.06.2008, 15:59   #15
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner



Hi,

Ich habe mit Nlite ne Windows CD erstellt womit ich booten konnte und somit auch den MBR neu schreiben.
Seitdem habe ich nichts mehr vom Trojaner gemerkt. Der hat sich wohl tatsächlich dort verborgen.
Trendmicro Housecall hab ich schon ganz am Anfang auch laufen lassen. Hat nichts gebracht.
Leider habe ich den MBR bereits geputzt, wär noch interessant gewesen, was da wirklich drin steckte.

Ich möchte dir für deine Hilfe danken. Ohne diese hätte ich das Problem nie gefunden.

Dafür gibts ein Kasten Bier

Antwort

Themen zu Ebay pishing trojaner
adaware, attention, avg, ebay, einloggen, erkannt, explorer, forum, google, help, karte, kreditkarte, netstat, online, pishing, scan, security, seite, server, services.exe, spyware, spyware doctor, system, trojane, trojaner, verbindung, virenscanner



Ähnliche Themen: Ebay pishing trojaner


  1. Windows 7: ebay.de & ebay.com werden unerwünschte Werbung umgeleitet.
    Plagegeister aller Art und deren Bekämpfung - 29.08.2015 (13)
  2. Ebay - Pishing
    Diskussionsforum - 17.05.2015 (1)
  3. zip-Anhang in Pishing-Mail geöffnet - Trojaner oder Virus auf meinem Laptop?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2014 (5)
  4. WIN 7,Trojaner Dofoil,Pishing beim Homebanking
    Lob, Kritik und Wünsche - 31.03.2014 (0)
  5. WIN 7,Trojaner Dofoil,Pishing beim Homebanking
    Log-Analyse und Auswertung - 31.03.2014 (13)
  6. Avast meldet Ebay-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.06.2013 (2)
  7. ebay trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (13)
  8. Ebay Trojaner und Avast
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (15)
  9. avast zeigt bei ebay trojaner an
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (7)
  10. Ebay Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (1)
  11. Ebay Trojaner Meldung durch Avast
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (9)
  12. Ebay Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.05.2013 (5)
  13. virus trojaner bei ebay und paypal
    Plagegeister aller Art und deren Bekämpfung - 08.09.2011 (3)
  14. Programm/Trojaner auf ebay Shop?
    Netzwerk und Hardware - 11.05.2007 (1)
  15. Ebay-Trojaner? MeinLogfile
    Log-Analyse und Auswertung - 03.10.2005 (3)
  16. Pishing-Mails von eBay
    Plagegeister aller Art und deren Bekämpfung - 14.05.2005 (2)

Zum Thema Ebay pishing trojaner - Hallo Leute, Kämpfe nun seit zwei Tagen mit demselben Virus. Wenn ich den Internetexplorer aufmache und auf Ebay gehe kommt sobald ich mich einlogge eine andere Seite, wo steht mal - Ebay pishing trojaner...
Archiv
Du betrachtest: Ebay pishing trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.