| |
| |||||||
Log-Analyse und Auswertung: Blauer Desktop mit Warnung, Smitfraud/BankfraudWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
21.07.2008, 21:45
| #1 |
  |  Blauer Desktop mit Warnung, Smitfraud/Bankfraud Ist die Identität dieser Datei geklärt (kann zu Windows gehören, muss aber nicht)? Code:
ATTFilter C:\WINDOWS\System32\ups.exe
%ComSpec%
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
21.07.2008, 21:53
| #2 | |
 | Blauer Desktop mit Warnung, Smitfraud/BankfraudZitat:
|
|
21.07.2008, 23:46
| #3 |
| | Blauer Desktop mit Warnung, Smitfraud/Bankfraud Gib bitte den Pfad des Bankfraud-Fundes und das Programm, welches ihn fand an
__________________Lass dein System außerdem mit blacklight auf Rootkits scannen. Poste das Ergebnis (link in meiner Signatur) Was hast du bei Msconfig verändert/Deaktiviert? Danke an Myrtille für die Hinweise  Geändert von -SilverDragon- (22.07.2008 um 00:17 Uhr) |
|
22.07.2008, 00:05
| #4 |
 | Blauer Desktop mit Warnung, Smitfraud/Bankfraud @ Silverdragon: JA, ich betreibe Onlinebanking........ Es war eine Englische Windows Sicherheitswarnung... also kein Virenscan..... Könnte evtl. was mit Smitfraud zu tun haben um die Software zu kaufen. In den letzten Stunden keine Meldung mehr. Aber seit der heutigen Infektion is da nix gelaufen... Vorher war der PC auch sauber... hab mir das alles durch nen falschen Klick heute morgen eingefangen  Führe gerade die U.G. Schritte aus.. kann aber sein das ich das erst heute Abend poste. UPS IST DRANN!!!! Schonmal Danke, Hunter Hier schonmal das Ergebniss des Scans von C:\Programme\cwawjjg\ProcEn.dll: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.21.1 2008.07.21 - AntiVir 7.8.1.11 2008.07.21 - Authentium 5.1.0.4 2008.07.22 - Avast 4.8.1195.0 2008.07.21 - AVG 8.0.0.130 2008.07.21 Win32/Heur BitDefender 7.2 2008.07.22 - CAT-QuickHeal 9.50 2008.07.21 - ClamAV 0.93.1 2008.07.21 - DrWeb 4.44.0.09170 2008.07.21 - eSafe 7.0.17.0 2008.07.21 - eTrust-Vet 31.6.5971 2008.07.21 - Ewido 4.0 2008.07.21 - F-Prot 4.4.4.56 2008.07.21 - F-Secure 7.60.13501.0 2008.07.21 - Fortinet 3.14.0.0 2008.07.21 - GData 2.0.7306.1023 2008.07.21 - Ikarus T3.1.1.34.0 2008.07.22 - Kaspersky 7.0.0.125 2008.07.22 - McAfee 5343 2008.07.21 - Microsoft 1.3704 2008.07.22 - NOD32v2 3285 2008.07.22 - Norman 5.80.02 2008.07.21 - Panda 9.0.0.4 2008.07.21 - PCTools 4.4.2.0 2008.07.21 - Prevx1 V2 2008.07.22 - Rising 20.54.02.00 2008.07.21 - Sophos 4.31.0 2008.07.22 Mal/EncPk-DG Sunbelt 3.1.1536.1 2008.07.18 - Symantec 10 2008.07.22 - TheHacker 6.2.96.385 2008.07.20 - TrendMicro 8.700.0.1004 2008.07.21 - VBA32 3.12.8.1 2008.07.21 - VirusBuster 4.5.11.0 2008.07.21 - Webwasher-Gateway 6.6.2 2008.07.21 - weitere Informationen File size: 106496 bytes MD5...: ab02758ba3534e015fcb092521f9b448 SHA1..: ccec8cf9b08acc13bcd59a6911b0f827657ff3e2 SHA256: bf0d0b87c6fe412fe22a482bc3df5eb45a13b1eae9bb605b857cd788dbb72f78 SHA512: 76ccc0ebbbeb89f54ce07e3ca4aa923e1a620f1e9651a8fc40b04a1e4df15a47 ceb4de139e51c5bbc6543dc413c643d697459be997456525879ba740635bcdd1 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001278 timedatestamp.....: 0x48842664 (Mon Jul 21 06:02:12 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .zmuq 0x1000 0x14284 0x15000 6.75 2aef6b44e910be525736a7dea8e066f3 .agfcte 0x16000 0x7c1 0x1000 3.12 ccf82aa9f348e9f588d828511b0c8334 .nebngs 0x17000 0x1fcc 0x1000 0.63 88977e4625b053cc5661f7acdaa2ea99 .reloc 0x19000 0x194a 0x2000 6.01 716ff330b403f7ef58c853ab82f37d1e ( 4 imports ) > KERNEL32.dll: MulDiv, GetModuleFileNameW, VirtualFree, GlobalAlloc, CloseHandle, Sleep, FreeResource, GetProcAddress, GetModuleHandleW, GetFileAttributesExW, ReadProcessMemory, FindClose, MoveFileW, FindFirstFileW, GlobalAddAtomW, WaitForSingleObject, SetWaitableTimer, GetTickCount, VirtualAlloc, GetSystemTime, FindFirstChangeNotificationW, GetFileSize, LoadLibraryA, FindNextChangeNotification, LoadLibraryW > USER32.dll: WindowFromPoint, MessageBoxW, RegisterWindowMessageW, SetWindowTextW, SetCursorPos, GetDlgItem, LoadIconW, CreateWindowExW, DialogBoxParamW, GetSysColor, PostMessageW, UpdateWindow, GetMessageW, VkKeyScanW, DestroyIcon, DestroyMenu, TranslateMessage, LoadImageW, wsprintfW, SendDlgItemMessageW, SystemParametersInfoW, PostQuitMessage, SetLayeredWindowAttributes, IsDlgButtonChecked > GDI32.dll: DPtoLP, CreatePen, DeleteDC, GetObjectW, CreateCompatibleDC, SetTextColor, CreateSolidBrush, SetBkColor > ADVAPI32.dll: StartServiceW, LookupPrivilegeValueW, InitializeSecurityDescriptor, GetUserNameW, RegCreateKeyExW, RegSetValueExW, LookupAccountSidW ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Geändert von Hunter18180 (22.07.2008 um 00:45 Uhr) |
|
22.07.2008, 00:14
| #5 |
| | Blauer Desktop mit Warnung, Smitfraud/Bankfraud C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gxqhmnyb\steluvsf.exe habe ich auch mit der Suche nicht mehr gefunden.... habe vorhin nochmal den Scan drüberlaufen lassen.. vielleicht hats was geholfen Hier die UPS.exe (primär keine Funde): AhnLab-V3 2008.7.21.1 2008.07.21 - AntiVir 7.8.1.11 2008.07.21 - Authentium 5.1.0.4 2008.07.22 - Avast 4.8.1195.0 2008.07.21 - AVG 8.0.0.130 2008.07.21 - BitDefender 7.2 2008.07.22 - CAT-QuickHeal 9.50 2008.07.21 - ClamAV 0.93.1 2008.07.21 - DrWeb 4.44.0.09170 2008.07.21 - eSafe 7.0.17.0 2008.07.21 - eTrust-Vet 31.6.5971 2008.07.21 - Ewido 4.0 2008.07.21 - F-Prot 4.4.4.56 2008.07.21 - F-Secure 7.60.13501.0 2008.07.21 - Fortinet 3.14.0.0 2008.07.21 - GData 2.0.7306.1023 2008.07.21 - Ikarus T3.1.1.34.0 2008.07.22 - Kaspersky 7.0.0.125 2008.07.22 - McAfee 5343 2008.07.21 - Microsoft 1.3704 2008.07.22 - NOD32v2 3285 2008.07.22 - Norman 5.80.02 2008.07.21 - Panda 9.0.0.4 2008.07.21 - PCTools 4.4.2.0 2008.07.21 - Prevx1 V2 2008.07.22 - Rising 20.54.02.00 2008.07.21 - Sophos 4.31.0 2008.07.22 - Sunbelt 3.1.1536.1 2008.07.18 - Symantec 10 2008.07.22 - TheHacker 6.2.96.385 2008.07.20 - TrendMicro 8.700.0.1004 2008.07.21 - VBA32 3.12.8.1 2008.07.21 - VirusBuster 4.5.11.0 2008.07.21 - Webwasher-Gateway 6.6.2 2008.07.21 - weitere Informationen File size: 18432 bytes MD5...: a99f867e76cfdaa28ee305b93f70e84f SHA1..: 84d783c1608850f01da61bb375b381b43c81f261 SHA256: 410063ee60ae2322633a3e1169896405d6892a1623ef4e89113a0a6f8a191991 SHA512: 27fe76f74ee1ec17a03b35bb42cb35d5b35f7added3a79a5bae626daa91d959b 833b27ceb6423051d074d985aa846f16a8c6ade241ee3162686a5cf63830021b PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1003eb0 timedatestamp.....: 0x41107bab (Wed Aug 04 06:01:15 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x386e 0x3a00 5.92 a036ffae10f58da9e86d584f7aca9532 .data 0x5000 0x668 0x600 2.74 03da08456d5d77a031b50ac1029e9702 .rsrc 0x6000 0x3d0 0x400 3.29 c6495a0113e768c3121f3664b27022bc ( 7 imports ) > msvcrt.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _except_handler3, __p__fmode, _XcptFilter, _exit, _c_exit, wcscat, wcscpy, _controlfp, _cexit, __set_app_type, exit, wcslen > ADVAPI32.dll: RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegisterEventSourceW, ReportEventW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegDeleteKeyW > KERNEL32.dll: FormatMessageW, LocalFree, GetComputerNameW, GetCurrentProcess, CreateThread, ExitProcess, Sleep, LocalAlloc, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, ResetEvent, FreeLibrary, CreateProcessW, GetStartupInfoW, GetLastError, GetProcAddress, LoadLibraryW, EscapeCommFunction, WaitForSingleObject, SetEvent, CreateFileW, CloseHandle, GetCommModemStatus, WaitForMultipleObjects, WaitCommEvent, CreateEventW, SetCommMask > NETAPI32.dll: NetMessageBufferSend > USER32.dll: ExitWindowsEx > POWRPROF.dll: SetSuspendState, IsPwrHibernateAllowed, GetPwrCapabilities > ole32.dll: CoCreateInstance, CoInitialize, CoUninitialize ( 0 exports ) Geändert von Hunter18180 (22.07.2008 um 00:22 Uhr) |
|
22.07.2008, 00:40
| #6 | |
| | Blauer Desktop mit Warnung, Smitfraud/BankfraudZitat:
PS: Blacklight hat nix gefunden. |
|
22.07.2008, 01:16
| #7 |
| | Blauer Desktop mit Warnung, Smitfraud/Bankfraud Hier der Bericht der Malwarebytes: Alles gefundene gelöscht... Waren auch Daten dabei welche ich schon vorher vermeindlich gelöscht hatte......Interessant..... Ich denke auch das dieses besagte PC-Antispy das Programm war welches mir die Trojanermeldungen via Windows gesendet hat.... So, nun geh ich aber erstmal schlafen^^ Hoffe morgen mehr Erkenntnisse zu erhalten/liefern. Vielen Dank bisher. PHP-Code: |
|
22.07.2008, 11:24
| #8 |
| | Blauer Desktop mit Warnung, Smitfraud/Bankfraud Mach nun noch einen Scan mit SUPERAntiSpyware und poste davon das Logfile. Außerdem suche unter Systemsteuerung/Software nach "PCAntispy" und deinstallier es. |
|
| Themen zu Blauer Desktop mit Warnung, Smitfraud/Bankfraud |
| adobe, antivir, avgnt, avgnt.exe, avira, bho, canon, desktop, einstellungen, explorer, gainward, google, hijack, hkus\s-1-5-18, internet, internet explorer, jusched.exe, keine dateien, logfile, object, pdf, pop-up-blocker, problem, programme, registry, rundll, software, suche, system, trojaner, urlsearchhook, warnung, windows, windows xp |
Hybrid-Darstellung
